Eine typische Support-Situation: Ein Konto wird übernommen, obwohl ein „starkes Passwort“ verwendet wurde. Häufig lag das Problem nicht am Passwort selbst, sondern an Phishing, Datenleaks oder Wiederverwendung. Passkeys setzen genau dort an: Statt ein Geheimnis einzugeben, wird eine kryptografische Anmeldung genutzt, die in der Praxis deutlich weniger anfällig für Abfangangriffe ist.
Warum Passwörter im Alltag so oft scheitern
Passwörter sind ein gemeinsamer Schwachpunkt von Menschen und Systemen: Sie müssen merkbar sein, werden oft wiederverwendet und können über verschiedene Wege entwendet werden. Selbst gute Passwortregeln helfen nur begrenzt, wenn Anmeldedaten auf einer Fake-Seite eingegeben werden oder ein Dienst kompromittiert wird.
Häufige Angriffswege auf Login-Daten
- Phishing: Login-Seiten werden täuschend echt nachgebaut, inklusive SSO-Buttons und 2FA-Prompts.
- Credential Stuffing: geleakte Kombinationen aus E-Mail und Passwort werden automatisiert auf anderen Diensten getestet.
- Man-in-the-Browser/Info-Stealer: Schadsoftware liest Eingaben, Cookies oder Session-Token aus.
- Social Engineering: Nutzer werden zu „Passwort-Reset“ oder „Gerätefreigabe“ überredet.
Wer E-Mail-Kommunikation härten möchte, findet ergänzende Maßnahmen in Phishing stoppen: E-Mail-Sicherheit für Alltag und Büro. Für zusätzliche Schutzschichten bei klassischen Logins ist MFA sicher nutzen eine sinnvolle Vertiefung.
Wie Passkeys technisch funktionieren – ohne Marketing-Mythen
Ein Passkey ist keine „neue Art Passwort“, sondern ein Schlüsselpaar. Das Gerät erzeugt einen privaten und einen öffentlichen Schlüssel. Der öffentliche Schlüssel wird beim Dienst hinterlegt; der private Schlüssel bleibt auf dem Gerät bzw. im geschützten Schlüsselbund. Bei der Anmeldung signiert das Gerät eine Challenge, und der Dienst prüft die Signatur mit dem gespeicherten öffentlichen Schlüssel.
Was dabei sicherheitsrelevant ist
Public-Key-Kryptografie sorgt dafür, dass aus dem öffentlichen Schlüssel kein Login-Geheimnis zurückgerechnet werden kann. Zusätzlich ist die Anmeldung an die Ziel-Domain gebunden: Eine Fake-Seite mit anderer Domain kann keine gültige Signatur für den echten Dienst erhalten. Dadurch sind Passkeys in der Praxis deutlich resistenter gegen klassische Phishing-Workflows.
Wo der Passkey gespeichert wird
Je nach Plattform liegen Passkeys in einem System-Schlüsselbund (z. B. iCloud-Schlüsselbund, Google Password Manager, Windows Hello/Plattform-Store) oder in einem externen Sicherheitsschlüssel. Für den Nutzer wirkt das wie „Face ID/Fingerprint/PIN bestätigen“, tatsächlich wird damit der private Schlüssel freigegeben, ohne ihn offenzulegen.
Welche Risiken bleiben – und wie sie realistisch gemindert werden
Passkeys lösen nicht jedes Konto- und Gerätrisiko. Der Angreifer muss zwar nicht mehr an ein Passwort kommen, kann aber andere Wege nutzen. Wichtig ist daher, die verbleibenden Angriffsflächen zu kennen und gezielt zu reduzieren.
Geräteverlust und Gerätesperre
Geht ein Smartphone oder Notebook verloren, entscheidet die Gerätesperre über das Risiko. Eine kurze PIN oder fehlende Sperre kann die lokale Freigabe von Passkeys erleichtern. Empfohlen ist ein starker Geräte-PIN/Passcode sowie biometrische Entsperrung nur als Komfort, nicht als alleinige Kontrolle.
Cloud-Synchronisierung und Account-Recovery
Viele Nutzer synchronisieren Passkeys über Cloud-Konten. Damit verschiebt sich das „Kronjuwel“: Der Schutz des Apple-/Google-/Microsoft-Kontos wird kritischer. Hier sollten Recovery-Optionen (Wiederherstellungscode, vertrauenswürdige Geräte, Recovery-Kontakte) bewusst geprüft und auf das Nötigste reduziert werden. Eine schwache Kontowiederherstellung kann sonst die eigentliche Stärke der Passkeys unterlaufen.
Session-Diebstahl bleibt möglich
Passkeys schützen die Anmeldung, aber nicht automatisch die bestehende Sitzung. Wenn Malware Cookies oder Session-Tokens stiehlt, kann ein Angreifer unter Umständen eine aktive Sitzung übernehmen. Dagegen helfen Endpoint-Hygiene, Browser-Härtung und restriktive Rechtevergabe. Passend dazu: Browser absichern: Tracking stoppen und Konten schützen.
Umstieg in der Praxis: so wird es sauber und ohne Lockout
Der beste Passkey bringt wenig, wenn der Zugriff im Notfall scheitert. Das Ziel ist ein Setup, das bequem ist, aber auch bei Gerätewechsel, Verlust oder Plattform-Mix funktioniert.
Vorbereitung: Konten priorisieren und Recovery klären
Startpunkt sind Konten mit hohem Schadenpotenzial: E-Mail-Postfach, Cloud-Speicher, Banking-Identitäten, Admin- und Entwicklerkonten. Vor dem Aktivieren von Passkeys sollten die Wiederherstellungswege geprüft werden: Zweites Gerät, Backup-Codes, Hardware-Key, alternative Kontaktadresse. Dadurch wird verhindert, dass ein defektes Gerät zum Totalausfall führt.
Passkeys auf mehreren Geräten einrichten
Praktisch bewährt hat sich: mindestens zwei unabhängige Anmeldewege. Das kann „Smartphone + Laptop“ oder „Smartphone + externer Security Key“ sein. Bei Plattformwechsel (z. B. Android zu iOS) sollte vorab getestet werden, wie der jeweilige Dienst den Transfer oder die Neuregistrierung von Passkeys handhabt.
Wenn ein Dienst noch keine Passkeys anbietet
Für solche Dienste bleibt ein starkes, uniques Passwort im Passwortmanager plus Mehrfaktor-Login sinnvoll. Dabei sollte auf push-basierte Freigaben ohne Nummernabgleich verzichtet werden, wenn der Anbieter bessere Methoden bietet (z. B. TOTP oder FIDO2/WebAuthn-basierte Faktoren).
Kurze Schritte, die sofort messbar helfen
- Für das wichtigste E-Mail-Konto Passkeys aktivieren, danach Recovery-Optionen testen (zweites Gerät, Backup-Codes).
- Auf mindestens einem weiteren Gerät oder einem Hardware-Sicherheitsschlüssel einen zweiten Passkey registrieren.
- Gerätesperre auf „stark“ stellen: längere PIN/Passcode, automatische Sperre nach kurzer Zeit, keine geteilten Geräte-PINs.
- Alte Login-Methoden prüfen: Wo möglich SMS-Login deaktivieren und unsichere Wiederherstellungsmethoden ausmisten.
- In Browsern gespeicherte Altcookies regelmäßig bereinigen und Erweiterungen auf das Nötigste reduzieren.
Unternehmen: Passkeys einführen, ohne Support-Chaos zu erzeugen
In Organisationen entscheidet nicht nur die Technik, sondern auch Rollout und Prozesse. Ein stabiler Ansatz ist, Passkeys zunächst für privilegierte Konten und besonders gefährdete Teams (IT, Finance, HR) einzuführen und erst danach breit auszurollen.
Richtlinien, die in der Praxis funktionieren
Wichtig sind klare Regeln zur Gerätebindung, zum Umgang mit privaten Geräten und zur Wiederherstellung. Für Admin-Konten sollten separate, besonders geschützte Anmeldewege existieren (z. B. dedizierte Admin-Workstations, getrennte Browserprofile, getrennte Identitäten). Bei Windows-Umgebungen lohnt es sich, das Thema Geräte- und Kontenabsicherung zusammen zu betrachten, etwa über zentrale Policies und Update-Disziplin. Ergänzend hilft Windows Updates absichern – Patch-Management ohne Ausfälle.
Rollout-Fallen: Helpdesk, Gerätewechsel, Offboarding
Der Helpdesk braucht definierte Abläufe für verlorene Geräte, defekte Telefone und Mitarbeiteraustritt. Ohne diese Prozesse steigt der Druck, „zur Not wieder SMS“ zu aktivieren. Besser ist ein kontrollierter Notfallpfad mit zeitlich begrenzten Wiederherstellungsmechanismen und nachvollziehbarer Freigabe. Außerdem sollten Konten so konfiguriert sein, dass Passkeys mit Gerätemanagement und Conditional Access zusammenspielen (z. B. nur aus verwalteten Geräten, je nach Schutzbedarf).
Entscheidungshilfe: welche Passkey-Variante passt zum Szenario?
| Szenario | Empfehlung | Begründung |
|---|---|---|
| Privat, nur Smartphone + Laptop | Passkeys im Plattform-Schlüsselbund + zweites Gerät als Backup | Gute Usability, schnelle Wiederherstellung bei Gerätewechsel |
| Hohes Risiko (Admin, Freelancer mit Kunden-Logins) | Hardware-Sicherheitsschlüssel zusätzlich registrieren | Unabhängig von Cloud-Sync und Geräte-Ökosystem, robust im Notfall |
| Geteilte Geräte/Schichtbetrieb | Keine Passkeys in geteilten Profilen; separate Nutzerprofile erzwingen | Trennung von Schlüsseln und Sitzungen reduziert Querzugriffe |
| Organisation mit MDM und Compliance | Plattform-Passkeys + Gerätezustand als Zugriffskriterium | Skalierbar, kontrollierbar, weniger Supportaufwand als Token-only |
Typische Fragen aus der Praxis – kurz und technisch sauber
Sind Passkeys dasselbe wie „Login mit Face ID“?
Face ID/Touch ID/Windows Hello sind in der Regel die lokale Freigabe (Nutzerverifikation) für den privaten Schlüssel. Der Passkey selbst ist das kryptografische Schlüsselpaar im Hintergrund.
Können Passkeys „geleakt“ werden wie Passwörter?
Der öffentliche Schlüssel ist nicht geheim und darf beim Dienst liegen. Der private Schlüssel sollte den sicheren Speicher nicht verlassen. Risiken entstehen vor allem bei kompromittierten Geräten, schwacher Gerätesperre oder unsauberer Kontowiederherstellung.
Was ist, wenn ein Dienst Passkeys anbietet, aber weiterhin Passwort erlaubt?
Dann bleibt das Passwort ein potenzieller Angriffsweg. Wo möglich sollte das Passwort entfernt oder zumindest durch strikte MFA und risk-based Kontrollen abgesichert werden. Wenn das nicht geht, ist ein einzigartiges Passwort im Passwortmanager Pflicht.
Ersetzen Passkeys immer MFA?
Passkeys beinhalten eine starke Authentisierung, weil Besitz (Schlüssel) und lokale Verifikation kombiniert werden. Je nach Risiko kann dennoch ein zusätzlicher Faktor oder ein Schritt für besonders sensible Aktionen sinnvoll sein (z. B. Zahlungsfreigaben, Admin-Aktionen).
Weitere Einordnung und angrenzende Themen finden sich unter IT-Sicherheit.
