Zum Inhalt springen
NeoGuard

Passkeys

Ein passwortloser Authentifizierungsstandard, der kryptografische Schlüsselpaare auf deinem Gerät nutzt und herkömmliche Passwörter durch Phishing-resistente, biometrisch gesicherte Anmeldung ersetzt.

Passkeys sind ein moderner Ersatz für Passwörter, basierend auf dem FIDO2/WebAuthn-Standard. Statt ein Passwort einzutippen, authentifizierst du dich per Biometrie (Fingerabdruck, Gesichtserkennung) oder PIN deines Geräts. Im Hintergrund übernimmt ein kryptografisches Schlüsselpaar die Verifizierung: Der private Schlüssel bleibt auf deinem Gerät, der öffentliche Schlüssel wird beim Dienst gespeichert. Der Server sieht dein Geheimnis nie.

Wie Passkeys funktionieren

  1. Wenn du einen Passkey bei einer Website registrierst, generiert dein Gerät ein einzigartiges Schlüsselpaar
  2. Der private Schlüssel wird sicher auf deinem Gerät gespeichert (im Secure Enclave oder TPM-Chip)
  3. Der öffentliche Schlüssel wird an die Website gesendet
  4. Beim Anmelden sendet die Website eine Challenge. Dein Gerät signiert sie mit dem privaten Schlüssel, nachdem du dich per Biometrie oder PIN verifiziert hast
  5. Die Website prüft die Signatur mit dem öffentlichen Schlüssel

Dieser Vorgang ist für dich unsichtbar. Du siehst eine Fingerabdruck-Abfrage oder Face ID, tippst auf Bestätigen, und bist eingeloggt.

Warum Passkeys sicherer sind als Passwörter

  • Phishing-sicher. Ein Passkey ist an die exakte Domain gebunden, für die er erstellt wurde. Eine Phishing-Seite mit ähnlicher URL kann deinen Passkey nicht anfordern, weil die Domain nicht übereinstimmt. Das eliminiert den häufigsten Angriffsvektor gegen Passwörter vollständig.
  • Kein geteiltes Geheimnis. Bei Passwörtern kennen sowohl du als auch der Server das Geheimnis. Wird der Server kompromittiert, leakt dein Passwort. Bei Passkeys hat der Server nur den öffentlichen Schlüssel, der für einen Angreifer wertlos ist.
  • Keine Wiederverwendung möglich. Jeder Passkey ist einzigartig für einen Dienst. Es gibt kein Äquivalent zu Credential Stuffing bei Passkeys.
  • Eingebauter zweiter Faktor. Ein Passkey kombiniert «etwas, das du hast» (dein Gerät) mit «etwas, das du bist» (Biometrie) oder «etwas, das du weisst» (PIN). Er ersetzt sowohl das Passwort als auch 2FA in einem Schritt.

Wo Passkeys heute funktionieren

Stand 2026 werden Passkeys von den meisten grossen Plattformen und Diensten unterstützt:

  • Betriebssysteme: iOS 16+, Android 14+, macOS Ventura+, Windows 11
  • Browser: Chrome, Safari, Firefox, Edge
  • Grosse Dienste: Google, Apple, Microsoft, Amazon, PayPal, GitHub, WhatsApp, viele Banken
  • Passwort-Manager: 1Password, Bitwarden, Dashlane und Apple Passwords unterstützen alle das Speichern und Synchronisieren von Passkeys über Geräte hinweg

Die Verbreitung wächst rasant. Google meldet, dass Passkey-Anmeldungen auf seiner Plattform inzwischen schneller und häufiger sind als Passwort+2FA.

Passkeys und Passwort-Manager

Du musst dich nicht zwischen Passkeys und einem Passwort-Manager entscheiden. Moderne Passwort-Manager speichern Passkeys neben herkömmlichen Zugangsdaten und synchronisieren sie über alle deine Geräte. Das löst die Haupteinschränkung gerätegebundener Passkeys: Wenn du dein Smartphone verlierst, sind deine Passkeys über die Cloud-Synchronisation des Passwort-Managers wiederherstellbar.

Für die Übergangsphase (noch unterstützt nicht jeder Dienst Passkeys) verwaltet ein Passwort-Manager beides: Passkeys für Dienste, die sie unterstützen, und starke einzigartige Passwörter für den Rest.

Einschränkungen

  • Noch nicht universell. Viele Dienste, besonders kleinere, unterstützen Passkeys noch nicht. Für einige Konten brauchst du weiterhin Passwörter.
  • Kontowiederherstellung. Wenn du alle Geräte verlierst und kein Passwort-Manager deine Passkeys synchronisiert, kann die Wiederherstellung schwierig werden. Konfiguriere immer eine Backup-Methode.
  • Unternehmenseinsatz. Passkeys teamweit auszurollen erfordert Planung. FIDO2-kompatible Hardware-Schlüssel (YubiKey) bieten eine verwaltbare Alternative für Organisationen.

Passkeys und Schweizer Compliance

Für nDSG-Zwecke qualifizieren Passkeys als starke Authentifizierungsmassnahme. Ihre Phishing-Resistenz und kryptografische Grundlage übertreffen die Sicherheit von Passwort+TOTP-Kombinationen. FINMA-regulierte Organisationen können Passkeys als Teil ihrer Multi-Faktor-Authentifizierungsanforderungen einsetzen, besonders in Kombination mit Hardware-Sicherheitsmodulen.

Verwandte Begriffe

2FA (Zwei-Faktor-Authentifizierung)Passwort-ManagerPhishing