Was ist ein Passkey?

Passwörter sind seit Jahrzehnten der Standard, um sich bei Online-Diensten anzumelden – und zugleich eine der größten Schwachstellen der digitalen Welt. Sie werden vergessen, mehrfach verwendet oder bei Datenlecks gestohlen. Mit dem sogenannten Passkey hat sich ein neuer Standard etabliert, der das Passwort ersetzen und die Anmeldung sicherer und einfacher machen soll. In diesem Ratgeber erklären wir verständlich, was ein Passkey ist und wie er funktioniert.

Was ist ein Passkey?

Ein Passkey ist ein digitales Anmeldeverfahren, mit dem Sie sich ohne Passwort bei Webseiten und Apps anmelden können. Statt ein Kennwort einzutippen, bestätigen Sie die Anmeldung beispielsweise per Fingerabdruck, Gesichtserkennung oder der PIN Ihres Geräts. Der eigentliche Anmeldevorgang läuft dabei technisch im Hintergrund ab.

Passkeys basieren auf einem offenen Standard, der von der FIDO-Allianz und dem W3C entwickelt wurde. Große Anbieter wie Apple, Google und Microsoft unterstützen das Verfahren, weshalb es zunehmend Verbreitung findet.

Wie funktioniert ein Passkey technisch?

Im Kern nutzt ein Passkey ein Verfahren, das man als asymmetrische Kryptografie bezeichnet. Dabei wird beim Einrichten ein Schlüsselpaar erzeugt, das aus zwei zusammengehörigen Teilen besteht:

• Der öffentliche Schlüssel wird beim jeweiligen Online-Dienst gespeichert. Er ist für sich genommen nicht geheim und kann keinen Schaden anrichten, selbst wenn er bekannt wird.
• Der private Schlüssel verbleibt sicher auf Ihrem Gerät, etwa dem Smartphone oder Computer, und verlässt dieses normalerweise nicht.

Wenn Sie sich anmelden, sendet der Dienst eine Aufgabe an Ihr Gerät. Dieses löst die Aufgabe mithilfe des privaten Schlüssels und sendet das Ergebnis zurück. Der Dienst kann mit dem öffentlichen Schlüssel überprüfen, ob die Antwort korrekt ist – ohne dass der private Schlüssel jemals übertragen wird. Freigegeben wird dieser Vorgang durch Ihre Bestätigung per Fingerabdruck, Gesicht oder Geräte-PIN.

Warum sind Passkeys sicherer als Passwörter?

Der entscheidende Vorteil liegt darin, dass kein geheimes Passwort mehr über das Internet übertragen oder beim Anbieter gespeichert wird. Daraus ergeben sich mehrere Sicherheitsvorteile:

• Schutz vor Phishing: Ein Passkey ist fest mit der jeweiligen Webseite verknüpft. Eine gefälschte Seite kann ihn nicht abgreifen, da die Anmeldung nur für die echte Adresse funktioniert.
• Kein Diebstahl bei Datenlecks: Wird ein Anbieter gehackt, erbeuten Angreifer höchstens den öffentlichen Schlüssel, der allein wertlos ist.
• Keine schwachen oder wiederverwendeten Passwörter: Da kein Passwort existiert, entfallen typische Fehler wie zu einfache oder mehrfach genutzte Kennwörter.
• Keine Eingabe abfangbar: Es wird nichts eingetippt, was etwa durch Schadsoftware mitgelesen werden könnte.

Wie richtet man einen Passkey ein?

Das Einrichten ist bei den meisten Diensten unkompliziert. Der genaue Ablauf unterscheidet sich je nach Anbieter, folgt aber meist einem ähnlichen Muster:

• Melden Sie sich zunächst wie gewohnt bei Ihrem Konto an.
• Öffnen Sie die Sicherheits- oder Anmeldeeinstellungen des Dienstes.
• Wählen Sie die Option zum Erstellen eines Passkeys.
• Bestätigen Sie die Einrichtung mit der Sperrmethode Ihres Geräts, etwa Fingerabdruck, Gesichtserkennung oder PIN.

Anschließend können Sie sich künftig mit dieser Bestätigung anmelden. Viele Plattformen synchronisieren Passkeys zudem verschlüsselt über die Cloud, sodass sie auf mehreren eigenen Geräten verfügbar sind.

Was ist bei mehreren Geräten zu beachten?

Da der private Schlüssel an ein Gerät gebunden ist, stellt sich die Frage, was beim Wechsel oder Verlust eines Geräts passiert. Hier gibt es mehrere Mechanismen: Viele Anbieter synchronisieren Passkeys verschlüsselt zwischen den Geräten eines Nutzers. Zusätzlich lässt sich ein Passkey auf einem Gerät häufig auch nutzen, um sich kurzzeitig an einem anderen Gerät anzumelden, etwa per QR-Code. Es empfiehlt sich, bei wichtigen Konten mehr als einen Passkey oder eine alternative Anmeldemethode zu hinterlegen, damit Sie sich nicht aussperren.

Gibt es Nachteile?

Die Technik ist noch vergleichsweise jung. Nicht jeder Dienst unterstützt Passkeys bereits, und in manchen Situationen kann die Handhabung über verschiedene Geräte und Ökosysteme hinweg noch ungewohnt sein. Wer ein Gerät ohne Sperrmechanismus nutzt oder den Zugang verliert, sollte unbedingt auf hinterlegte Wiederherstellungsoptionen achten. Insgesamt überwiegen die Sicherheitsvorteile jedoch deutlich.

Fazit

Ein Passkey ermöglicht eine passwortlose Anmeldung, die deutlich sicherer und oft bequemer ist als das klassische Passwort. Da kein geheimes Kennwort übertragen oder gespeichert wird, sind Passkeys besonders widerstandsfähig gegen Phishing und Datenlecks. Wo immer ein Dienst Passkeys anbietet, lohnt es sich, diese Option zu nutzen – idealerweise ergänzt um eine sinnvolle Absicherung für den Fall eines Geräteverlusts.

Mehr zum Thema findest du in unserer Übersicht: IT-Sicherheit: Alle Artikel im Überblick.

Verwandte Artikel

• Was ist Social Engineering?
• Was ist ein Passwort-Manager und wie funktioniert er?
• Wie erstellt man ein sicheres Passwort?
• Was ist Zwei-Faktor-Authentifizierung (2FA)?
• Was ist ein Zero-Day-Exploit?