Jedes Mal, wenn wir uns bei einem Konto anmelden oder ein Gerät entsperren, müssen wir nachweisen, dass wir zum Zugriff darauf berechtigt sind. In der Vergangenheit erfolgte dieser Nachweis in Form eines Passworts: einer geheimen Zeichenfolge, die wir uns merken oder in einem Passwort-Manager speichern müssen.
Eine Passkey unterscheidet sich von einem Passwort dadurch, dass sie den Zugriff an etwas bindet, das du physisch besitzt — ein kryptografisches Token, das auf deinem Smartphone, Laptop oder Sicherheitsschlüssel gespeichert ist — zusammen mit einem biometrischen Faktor wie einem Fingerabdruck oder Gesichtsscan.
Ein gängiger Weg, den Unterschied zu beschreiben, ist:
- Passwort = etwas, das du weißt
- Passkey = etwas, das du hast + wer du bist
Obwohl dir beide Methoden Zugriff gewähren, unterscheiden sich die Wege, auf denen sie dieses Ziel erreichen, und das kann Sicherheit und Benutzerfreundlichkeit erheblich beeinflussen.
Was ist eine Passkey?
Eine Passkey ist wie ein Passwort, das auf deinem Gerät lebt und von den Konten, bei denen du dich anmeldest, mithilfe von Kryptografie überprüft werden kann. Passkeys basieren auf dem FIDO2-Standard (definiert von der FIDO Alliance(neues Fenster)) und der WebAuthn-API.
So funktioniert es:
Wenn eine Passkey erstellt wird, erzeugt dein Passwort-Manager ein zusammengehöriges Paar kryptografischer Schlüssel: einen öffentlichen Schlüssel und einen privaten Schlüssel.
- Der öffentliche Schlüssel wird mit dem Dienst geteilt, bei dem du dich registrierst.
- Der private Schlüssel bleibt in deinem Passwort-Manager oder auf deinem Gerät und verlässt es nie.
Während eines Anmeldeversuchs stellt der Dienst eine zufällige Challenge aus. Dein Gerät verwendet den privaten Schlüssel auf deinem Gerät, um diese Challenge zu signieren, und erzeugt so eine Antwort, die nur der passende private Schlüssel erzeugen konnte. Der Dienst überprüft dann die Signatur mit dem zuvor gespeicherten öffentlichen Schlüssel und bestätigt damit, dass du der rechtmäßige Kontoinhaber bist.
Weil der private Schlüssel dein Gerät nie verlässt, kann dich eine Phishing-Seite nicht dazu verleiten, ihn preiszugeben, wodurch Passkeys von Natur aus resistent gegen Phishing sind.
Sicherheitsvergleich: Passkey vs. Passwort
Ob du ein Passwort oder eine Passkey verwendest, hängt von verschiedenen Faktoren ab. Nicht jede Website bietet Passkeys als Option an. Aber für Websites, die das tun, gibt es mehrere Gründe, einen Wechsel in Betracht zu ziehen.
Passkeys gelten als sicherer als Passwörter, weil der geheime Schlüssel dein Gerät nie verlässt. Selbst wenn dich jemand mit einer gefälschten Website täuscht, Netzwerkverkehr abfängt oder einen Brute-Force-Angriff versucht, kann diese Person den privaten Schlüssel nicht erhalten — er bleibt in deinem Smartphone, Computer oder einem Security-Key-Dongle gespeichert. Solange du das Gerät mit einer PIN, einem Fingerabdruck oder einer anderen Form der Zwei-Faktor-Authentifizierung (2FA) schützt und eine zuverlässige Wiederherstellungsmethode hast, bietet dir eine Passkey eine stärkere, Phishing-sicherere Sicherheitseinrichtung als ein normales Passwort.
| Funktion | Passkeys | Passwörter |
| Authentifizierungsmethode | Public-Key-Kryptografie (privater Schlüssel auf dem Gerät gespeichert) | Geheime Zeichenfolge, die sich der Benutzer merkt |
| Phishing-Resistenz | Hoch | Niedrig |
| Wiederherstellungsoptionen | Gerätesicherung, Kontowiederherstellungsablauf | Zurücksetzen per E-Mail, Sicherheitsfragen |
| Benutzererfahrung | Biometrie oder PIN | Tippen oder Automatisches Ausfüllen |
| Kompatibilität | Wachsend | Universeller Support |
| Anfälligkeit für Wiederverwendung | Immer pro Website einzigartig | Häufiges Problem |
Benutzerfreundlichkeit und Benutzererfahrung von Passkeys
Abgesehen von den Sicherheitsvorteilen einer Passkey gibt es noch weitere Vorteile:
- Passkeys machen das Anmelden schneller, weil der Authentifizierungsablauf auf ein einziges Tippen oder einen einzigen Blick reduziert wird und so die Hürde des manuellen Eingebens von Passwörtern oder des Zurücksetzens vergessener Passwörter entfällt.
- Viele Passwort-Manager können Passkeys sicher über deine Geräte hinweg synchronisieren. Dadurch kann eine auf einem Smartphone erstellte Passkey auf einem Laptop, Tablet oder einem anderen Smartphone verwendet werden, ohne dass eine neue Registrierung erforderlich ist. Proton Pass funktioniert auf jeder Plattform und jedem Gerät, sodass du Passkeys auf jeder Website verwenden kannst, die sie unterstützt.
Nachteile und Sonderfälle von Passkeys
Obwohl Passkeys starke Sicherheit und eine reibungslose Anmeldung bieten, sind sie keine Allzwecklösung. Es gibt weiterhin einige Situationen, in denen die Verwendung einer Passkey Herausforderungen mit sich bringen kann.
Geräteverlust und Wiederherstellung
Wenn das Gerät, auf dem deine Passkey gespeichert ist, verloren geht, gestohlen wird oder beschädigt ist, musst du dich auf Sicherungsmechanismen verlassen, um den Zugriff wiederherzustellen. Die Wiederherstellung einer Passkey erfordert oft ein zweites Gerät oder eine Wiederherstellungsphrase. Wenn du also keinen gut durchdachten Wiederherstellungsablauf hast, riskierst du, den Zugriff auf deine Konten zu verlieren.
Lücken bei der Einführung
Einige Websites und Anwendungen haben die WebAuthn-/FIDO2-Standards, auf denen Passkeys basieren, noch nicht implementiert. Selbst bei denen, die das haben, kann der Passkey-Support begrenzt sein und sich auf bestimmte Ökosysteme oder Betriebssysteme beschränken.
Einschränkungen älterer Hardware
Ältere Geräte, etwa ältere Smartphones, Laptops ohne biometrische Sensoren oder Browser ohne WebAuthn-Support, können keine Passkeys erzeugen oder speichern.
Wann brauche ich noch ein Passwort?
Zusätzlich dazu, ein Passwort als Fallback eingerichtet zu haben, gibt es einige Situationen, in denen ein herkömmliches Passwort als deine primäre Zugriffsmethode erforderlich ist.
1. Websites ohne Passkey-Support
Bis sich Passkeys weit verbreitet haben, musst du dich bei manchen Websites möglicherweise noch auf Passwörter verlassen. In diesem Fall kannst du 2FA-Methoden wie ein OTP einrichten, um die Sicherheit zu erhöhen.
2. Öffentliche oder gemeinsam genutzte Computer
Wenn du nicht dein eigenes Gerät verwendest, ermöglicht das Eingeben eines Passworts (idealerweise in Kombination mit 2FA) einen vorübergehenden Zugriff, ohne dauerhafte Anmeldedaten zu hinterlassen.
3. Organisatorische Richtlinien und Compliance-Anforderungen
Unternehmensvorschriften, darunter staatliche oder finanzielle Standards, können Multi-Faktor-Einrichtungen verlangen, die weiterhin eine Passwort-Komponente enthalten, oder aus Audit-Zwecken einen regelmäßigen Passwortwechsel vorschreiben. Außerdem integrieren geschäftliche Lösungen für Single Sign-on (SSO) Passkeys manchmal nur als optionalen Faktor, während Passwörter die primären Anmeldedaten bleiben.
So führst du Passkeys ein
Der Umstieg auf Passkeys ist relativ einfach.
- Aktiviere den Passkey-Support in deinem Betriebssystem
- Lade einen Passwort-Manager herunter
- Wähle einen Passwort-Manager, der die Speicherung von Passkeys unterstützt, zum Beispiel Proton Pass.
- Füge deinem Passwort-Manager Passkeys hinzu
- Importiere vorhandene Passkeys oder erstelle neue direkt in der App.
- Registriere Passkeys bei unterstützten Diensten
- Wenn du dich auf einer Website registrierst oder anmeldest, die „Mit Passkey anmelden“ anbietet, wähle diese Option aus.
- Richte eine Wiederherstellungsmethode ein
- Aktiviere ein zweites Gerät, um eine Kopie der Passkey zu speichern, und notiere dir jede Wiederherstellungsphrase, die der Dienst bereitstellt.
FAQ
Kann ich eine Passkey verwenden, wenn ich keinen Passwort-Manager habe?
Ja, das kannst du. Die meisten modernen Betriebssysteme speichern Passkeys lokal (iCloud Keychain auf Apple-Geräten, Google Passwort-Manager auf Android, Windows Hello auf Windows). Ein spezieller Passwort-Manager kann die Synchronisierung zwischen Geräten vereinfachen und eine zusätzliche Sicherungsebene bieten, ist aber für die Verwendung von Passkeys nicht erforderlich.
Kann ich Passkeys auf älteren Geräten verwenden?
Passkeys setzen voraus, dass Betriebssystem und Browser die WebAuthn-/FIDO2-Standards unterstützen. Moderne Plattformen (iOS 15+, Android 14+, aktuelle macOS-Versionen, Windows 10 1903+ und aktuelle Versionen von Chrome/Edge/Firefox/Safari) funktionieren sofort. Ältere Smartphones, alte Browser oder Geräte vor iOS 15/Android 13 haben diesen Support nicht, daher könntest du auf diesen Geräten keine Passkey verwenden.
Was ist der Unterschied zwischen einer Passkey und einem physischen Token?
Eine Passkey ist ein Anmeldedatum, das auf einem Gerät oder in einem Passwort-Manager gespeichert und sicher über deine Geräte hinweg synchronisiert wird. Ein physisches Token (zum Beispiel ein YubiKey) ist dagegen ein eigenständiger Hardwareschlüssel, den du in dein Gerät einfügen musst. Ein physisches Token speichert den privaten Schlüssel nicht auf dem Host-Gerät, was eine bessere Isolierung bietet, erfordert aber, dass du das Token mit dir trägst und Sicherungen verwaltest. Beide Optionen bieten passwortlose, Phishing-resistente Authentifizierung, aber Passkeys setzen den Schwerpunkt auf Komfort und Synchronisierung, während physische Token die Hardware-Isolierung priorisieren.
Kann ich eine Passkey auf meinem Windows-PC verwenden?
Ja, moderne Windows-10/11-Builds unterstützen Passkeys über Windows Hello. Nachdem du in den Einstellungen „Kennwortlose Anmeldung“ aktiviert hast, kannst du dich mit einem Fingerabdruck, Gesichtserkennung oder einer PIN registrieren und authentifizieren, die den im Trusted Platform Module (TPM) gespeicherten privaten Schlüssel entsperrt. Ein TPM ist ein kleiner, manipulationsresistenter Chip, der in den meisten modernen PCs, Laptops und einigen Tablets eingebaut ist. Sein Zweck besteht darin, eine hardwarebasierte Vertrauenswurzel für sicherheitskritische Vorgänge bereitzustellen.
Was passiert, wenn ich mein Smartphone verliere?
Wenn dein Smartphone die einzige Kopie einer Passkey enthält, brauchst du eine im Voraus eingerichtete Sicherungsmethode, um den Zugriff wiederherzustellen. Das ist normalerweise ein anderes Gerät, ein Passwort-Manager oder eine vom Dienst bereitgestellte Wiederherstellungsphrase. Ohne Sicherung musst du dem Kontowiederherstellungsablauf des Dienstes folgen.
