Zum Inhalt springen
NeoGuard

Passkeys

Ein passwortloser Authentifizierungsstandard, der kryptografische Schlüsselpaare auf Ihrem Gerät nutzt und herkömmliche Passwörter durch Phishing-resistente, biometrisch gesicherte Anmeldung ersetzt.

Passkeys sind ein moderner Ersatz für Passwörter, basierend auf dem FIDO2/WebAuthn-Standard. Statt ein Passwort einzutippen, authentifizieren Sie sich per Biometrie (Fingerabdruck, Gesichtserkennung) oder PIN Ihres Geräts. Im Hintergrund übernimmt ein kryptografisches Schlüsselpaar die Verifizierung: Der private Schlüssel bleibt auf Ihrem Gerät, der öffentliche Schlüssel wird beim Dienst gespeichert. Der Server sieht Ihr Geheimnis nie.

Wie Passkeys funktionieren

  1. Wenn Sie einen Passkey bei einer Website registrieren, generiert Ihr Gerät ein einzigartiges Schlüsselpaar
  2. Der private Schlüssel wird sicher auf Ihrem Gerät gespeichert (im Secure Enclave oder TPM-Chip)
  3. Der öffentliche Schlüssel wird an die Website gesendet
  4. Beim Anmelden sendet die Website eine Challenge. Ihr Gerät signiert sie mit dem privaten Schlüssel, nachdem Sie sich per Biometrie oder PIN verifiziert haben
  5. Die Website prüft die Signatur mit dem öffentlichen Schlüssel

Dieser Vorgang ist für Sie unsichtbar. Sie sehen eine Fingerabdruck-Abfrage oder Face ID, tippen auf Bestätigen, und sind eingeloggt.

Warum Passkeys sicherer sind als Passwörter

  • Phishing-sicher. Ein Passkey ist an die exakte Domain gebunden, für die er erstellt wurde. Eine Phishing-Seite mit ähnlicher URL kann Ihren Passkey nicht anfordern, weil die Domain nicht übereinstimmt. Das eliminiert den häufigsten Angriffsvektor gegen Passwörter vollständig.
  • Kein geteiltes Geheimnis. Bei Passwörtern kennen sowohl Sie als auch der Server das Geheimnis. Wird der Server kompromittiert, leakt Ihr Passwort. Bei Passkeys hat der Server nur den öffentlichen Schlüssel, der für einen Angreifer wertlos ist.
  • Keine Wiederverwendung möglich. Jeder Passkey ist einzigartig für einen Dienst. Es gibt kein Äquivalent zu Credential Stuffing bei Passkeys.
  • Eingebauter zweiter Faktor. Ein Passkey kombiniert «etwas, das Sie haben» (Ihr Gerät) mit «etwas, das Sie sind» (Biometrie) oder «etwas, das Sie wissen» (PIN). Er ersetzt sowohl das Passwort als auch 2FA in einem Schritt.

Wo Passkeys heute funktionieren

Stand 2026 werden Passkeys von den meisten grossen Plattformen und Diensten unterstützt:

  • Betriebssysteme: iOS 16+, Android 14+, macOS Ventura+, Windows 11
  • Browser: Chrome, Safari, Firefox, Edge
  • Grosse Dienste: Google, Apple, Microsoft, Amazon, PayPal, GitHub, WhatsApp, viele Banken
  • Passwort-Manager: 1Password, Bitwarden, Dashlane und Apple Passwords unterstützen alle das Speichern und Synchronisieren von Passkeys über Geräte hinweg

Die Verbreitung wächst rasant. Google meldet, dass Passkey-Anmeldungen auf seiner Plattform inzwischen schneller und häufiger sind als Passwort+2FA.

Passkeys und Passwort-Manager

Sie müssen sich nicht zwischen Passkeys und einem Passwort-Manager entscheiden. Moderne Passwort-Manager speichern Passkeys neben herkömmlichen Zugangsdaten und synchronisieren sie über alle Ihre Geräte. Das löst die Haupteinschränkung gerätegebundener Passkeys: Wenn Sie Ihr Smartphone verlieren, sind Ihre Passkeys über die Cloud-Synchronisation des Passwort-Managers wiederherstellbar.

Für die Übergangsphase (noch unterstützt nicht jeder Dienst Passkeys) verwaltet ein Passwort-Manager beides: Passkeys für Dienste, die sie unterstützen, und starke einzigartige Passwörter für den Rest.

Einschränkungen

  • Noch nicht universell. Viele Dienste, besonders kleinere, unterstützen Passkeys noch nicht. Für einige Konten brauchen Sie weiterhin Passwörter.
  • Kontowiederherstellung. Wenn Sie alle Geräte verlieren und kein Passwort-Manager Ihre Passkeys synchronisiert, kann die Wiederherstellung schwierig werden. Konfigurieren Sie immer eine Backup-Methode.
  • Unternehmenseinsatz. Passkeys teamweit auszurollen erfordert Planung. FIDO2-kompatible Hardware-Schlüssel (YubiKey) bieten eine verwaltbare Alternative für Organisationen.

Passkeys und Schweizer Compliance

Für nDSG-Zwecke qualifizieren Passkeys als starke Authentifizierungsmassnahme. Ihre Phishing-Resistenz und kryptografische Grundlage übertreffen die Sicherheit von Passwort+TOTP-Kombinationen. FINMA-regulierte Organisationen können Passkeys als Teil ihrer Multi-Faktor-Authentifizierungsanforderungen einsetzen, besonders in Kombination mit Hardware-Sicherheitsmodulen.

Verwandte Begriffe

2FA (Zwei-Faktor-Authentifizierung)Passwort-ManagerPhishing