- Was sind Passkeys?
- Sind Passkeys an ein Gerät gebunden?
- Kann ich mich auch ohne Cloud-Zugriff über ein anderes Gerät anmelden?
- Wie sicher sind Passkeys?
- Welche Betriebssysteme unterstützen das Passkey-Verfahren?
- Welche Browser unterstützen Passkeys?
- Werden Passkeys bald all unsere Passwörter ersetzen?
Internet ohne Passwörter: Was ihr jetzt über Passkeys wissen müsst

Die Sicherheit des eigenen Accounts steht und fällt in aller Regel mit dem Passwort. Genau das ist aber oftmals ein Problem. Denn noch immer nutzen viele Menschen ein und dasselbe Passwort für mehrere Dienste. Kommt es bei einem dieser Dienste zum Datenklau, ist dementsprechend schnell die gesamte digitale Identität dieser Menschen betroffen.
Die Tech-Branche reagierte darauf mit der Einführung der Zwei-Faktor-Authentifizierung (2FA). Zusätzlich zum Passwort musste dann noch ein zusätzlicher Faktor, meist ein zeitlich begrenzt gültiger Zahlencode, eingegeben werden. 2FA sorgte zwar dafür, dass die Passwortsicherheit weniger wichtig wurde, das Prinzip hatte aber ebenfalls gewisse Nachteile.
Zum einen bieten zwar die großen Tech-Konzerne heute alle 2FA an, bei kleineren Web-Diensten oder Onlineshops ist die Technik aber nach wie vor eher die Ausnahme. Außerdem dauert der Anmeldeprozess dadurch länger, was für ungeduldige Naturen ebenfalls ein Nachteil ist.
Der richtige Einsatz von Passwortmanagern kann den Umgang mit Passwort und 2FA zwar deutlich vereinfachen, es bleibt jedoch eine Einstiegshürde, die vor allem für technisch weniger versierte Nutzer:innen ein Problem ist.
Was wäre aber, wenn wir einfach komplett auf Passwörter verzichten können, ohne Sicherheit einbüßen zu müssen? Genau das ist das Konzept hinter den Passkeys.
Ein Passkey ist im Prinzip eine lange Zeichenkette, die beim Einrichten von eurem Endgerät zufällig generiert wird. Im Gegensatz zum Passwort müsst ihr euch diese Zeichenkette nicht selbst merken. Das übernimmt euer Smartphone oder Computer.
Auch wird der Passkey an sich – im Gegensatz zum Passwort – nicht mit dem Webdienst geteilt, bei dem ihr euch damit anmeldet. Vielmehr wird bei der Anmeldung eine sogenannte Challenge an euer Endgerät gesendet. Die wiederum wird von eurem Gerät kryptografisch signiert. Der Webdienst weiß damit, dass ihr den privaten Schlüssel besitzt, der eure Identität belegt, ohne diesen Schlüssel selbst einsehen zu können.
Als Nutzer müsst ihr lediglich die Gesichtserkennung oder den Fingerabdruckscanner eures Endgeräts nutzen, um euch gegenüber eurem eigenen Endgerät zu verifizieren. Diese biometrischen Daten werden aber nur zur Freigabe des Passkeys auf dem Gerät verwendet und nicht an den Webdienst übertragen, bei dem ihr euch anmeldet.
Nein. Ein privater Schlüssel kann über die Cloud mit mehreren Geräten geteilt werden. Auf die Art verliert ihr den Zugang zu euren mit Passkeys gesicherten Accounts nicht, falls euch mal euer Smartphone abhandenkommen sollte.
Ja, auch das ist möglich. Wenn ihr beispielsweise den Rechner einer anderen Person verwendet, dann könnt ihr euch beim Login einen QR-Code anzeigen lassen. Den scannt ihr dann beispielsweise mit einem Smartphone, auf dem der entsprechende Passkey hinterlegt ist, und schon seid ihr angemeldet. Möglich ist das sowohl mit iOS als auch mit Android.
Passkeys sind schon deshalb sicherer als Passwörter, weil die häufig zum Diebstahl von Login-Daten genutzten Phishing-Methoden nicht mehr funktionieren. Ihr seid schlicht nicht in der Lage, versehentlich eure Anmeldedaten an Kriminelle herauszugeben. Und euer Smartphone oder Computer verifiziert euch nur gegenüber der bei der Anmeldung genutzten Website oder App.

Android, Windows und die Apple-Betriebssysteme unterstützen bereits von Haus aus das Passkey-Verfahren. (Grafik: Google)
Die Passkey-Funktion könnt ihr sowohl unter Android und Windows als auch unter den Apple-Betriebssystemen iOS, iPadOS und macOS einsetzen. Bei Letzterem müsst ihr lediglich sicherstellen, dass sowohl iCloud-Schlüsselbund als auch Zwei-Faktor-Authentifizierung in den Einstellungen aktiviert ist. Außerdem benötigt ihr mindestens macOS Ventura oder iOS 16. Microsoft-Nutzer:innen benötigen wiederum mindestens Windows 10. Unter Android steht das Verfahren seit Version 9 zur Verfügung.
Derzeit werden Passkeys von Safari, Chrome und Edge unterstützt. Nur Firefox wird die Funktion wohl erst ab Version 120 unterstützen. Die soll im November 2023 veröffentlicht werden.
Auch Passwortmanager unterstützen teilweise bereits das Passkey-Verfahren. Bereits verfügbar ist das Feature beispielsweise in 1Password, Nordpass, Roboform oder Dashlane.
Dank der Unterstützung durch Apple, Google und Microsoft steht dem Einsatz von Passkeys heute fast nichts mehr im Wege. Damit sich das Verfahren aber flächendeckend im Netz durchsetzt, muss die Technik auch von Websites und Apps eingesetzt werden. Da hapert es allerdings noch ein wenig. Bis wir also wirklich ganz ohne Passwörter auskommen, dürfte es noch ein wenig dauern.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Nochmal, es muss möglich sein, sich ohne ein weiteres Gerät oder eine andere aktive Session in seinen Konten anmelden zu können. Daher bezweifle ich stark, dass irgendwann nur noch Passkeys genutzt werden.
Szenario Wohnungsbrand, alle Geräte unbrauchbar. Kein Smartie, Tablet, Laptop. Und morgen von der Notunterkunft will ich mich bei irgendeinem Konto anmelden. Einen Passkey kann ich hier nicht nur nicht verwenden, sondern auch nicht generieren, da ich mich ja nicht anmelden kann. Meine Backup-Codes sind leider auch verbrannt. Und nun?
Es muss immer eine Option geben, sich nur mit seinem Passwort in seinen Konten anmelden zu können.
Was passiert denn, wenn das Smartphone mit dem Passkey geklaut wird und der Kriminelle das Smartphone z.B. durch Ausspähen des Codes oder Brute Force Angriff entsperrt? Dann hat er Zugriff auf alle Dienste.
Das Problem des Passwortes wird scheinbar nur vom Webdienst auf das Endgerät des Users verschoben. In der Folge würde dieses in Zukunft verstärkten Angriffen ausgesetzt, bpsw. durch Diebstahl, Trickbetrug oder dergleichen. Der Fingerabdruck oder die Gesichtserkennung schützen hier nur bedingt.
Ja, es verschiebt das Risiko vom Webdienst zum Endgerät, damit stehen Sie im Endeffekt aber deutlich besser da. Selbst wenn die Endgeräte dann in Zukunft höherem Risiko ausgesetzt sind, physische Diebstähle und Angriffe skalieren viel schlechter als Phishing oder andere digitale Methoden und sind für die Täter mit einem VIEL höheren Risiko behaftet.
Dann brauche ich also nur den Fingerabdruck (oder den Finger) einer Person und kann damit dann das Gerät entsperren?