Stell dir vor, du könntest dich bei all deinen Online-Konten anmelden, ohne dir auch nur ein einziges Passwort merken zu müssen. Keine komplizierten Zeichenkombinationen mehr, kein verzweifeltes Zurücksetzen vergessener Kennwörter und vor allem keine Angst mehr vor Phishing-Attacken. Das klingt zu schön, um wahr zu sein? Willkommen in der Welt der Passkeys – einer Technologie, die gerade dabei ist, unsere gesamte Art der Online-Authentifizierung zu revolutionieren.
Was sind Passkeys eigentlich?
Passkeys sind im Grunde genommen digitale Schlüssel, die auf deinem Gerät gespeichert werden und herkömmliche Passwörter komplett überflüssig machen. Anders als bei klassischen Kennwörtern, die du dir merken und bei jedem Login eintippen musst, funktionieren Passkeys vollautomatisch im Hintergrund. Die Technologie basiert auf dem FIDO2-Standard und nutzt asymmetrische Verschlüsselung – aber keine Sorge, du musst kein Krypto-Experte sein, um sie zu verstehen oder zu nutzen.
Die Funktionsweise ist eigentlich ganz simpel. Wenn du einen Passkey für einen Dienst einrichtest, erstellt dein Gerät ein Schlüsselpaar. Der eine Schlüssel ist öffentlich und wird beim Dienst gespeichert, der andere ist privat und bleibt sicher auf deinem Gerät. Bei der Anmeldung sendet der Dienst eine Anfrage an dein Gerät, das diese mit dem privaten Schlüssel signiert. Der Dienst kann dann mit dem öffentlichen Schlüssel überprüfen, ob die Signatur echt ist. Das Geniale daran ist, dass der private Schlüssel niemals dein Gerät verlässt und auch nicht über das Netzwerk übertragen wird.
Die technische Grundlage: FIDO2 und WebAuthn
Hinter Passkeys steckt der FIDO2-Standard, eine Entwicklung der FIDO Alliance, zu der Tech-Giganten wie Apple, Google, Microsoft, PayPal und viele andere gehören. FIDO steht für Fast Identity Online und wurde bereits 2012 ins Leben gerufen, um das Internet sicherer zu machen. Die neueste Spezifikation FIDO2 kombiniert zwei wichtige Komponenten: WebAuthn und CTAP.
WebAuthn ist eine vom World Wide Web Consortium standardisierte Web-API, die es Websites ermöglicht, passwortlose Authentifizierung anzubieten. Diese JavaScript-basierte Schnittstelle ist bereits in allen gängigen Browsern integriert, darunter Chrome, Edge, Safari und Firefox. Das Client to Authenticator Protocol, kurz CTAP, sorgt dafür, dass dein Gerät – sei es ein Smartphone, ein Sicherheitsschlüssel oder dein Laptop – mit dem Browser kommunizieren und als Authentifikator auftreten kann.
Die Schönheit dieses Systems liegt in seiner Offenheit. Da FIDO2 ein offener Standard ist, können alle Hersteller und Entwickler ihn implementieren, ohne Lizenzgebühren zahlen zu müssen. Das beschleunigt die Verbreitung enorm und sorgt dafür, dass die Technologie nicht in den Händen einzelner Unternehmen liegt.
Passkeys in der Praxis: So einfach geht’s
Die Einrichtung eines Passkeys ist kinderleicht und dauert buchstäblich nur eine Minute. Angenommen, du möchtest dich bei PayPal mit einem Passkey anmelden. Du gehst einfach in deine Kontoeinstellungen, wählst die Option zur Erstellung eines Passkeys und bestätigst die Aktion mit deinem Fingerabdruck, Face ID oder einer PIN. Fertig! Von nun an kannst du dich bei PayPal anmelden, ohne jemals wieder dein Passwort eingeben zu müssen.
Besonders praktisch ist die geräteübergreifende Synchronisation. Wenn du einen Passkey auf deinem iPhone erstellst, wird er automatisch über die iCloud auf all deine Apple-Geräte übertragen – natürlich mit Ende-zu-Ende-Verschlüsselung, sodass selbst Apple keinen Zugriff darauf hat. Das Gleiche funktioniert bei Google zwischen Android-Smartphones und dem Chrome-Browser oder bei Microsoft über Windows Hello. Und wenn du lieber unabhängig von den großen Ökosystemen bleiben möchtest, unterstützen auch Passwort-Manager wie Bitwarden, 1Password und NordPass mittlerweile die Verwaltung von Passkeys.
Der aktuelle Stand: Über eine Milliarde Nutzer weltweit
Die Zahlen sind beeindruckend. Mehr als eine Milliarde Menschen haben bereits mindestens einen Passkey aktiviert. Das Bewusstsein für die Technologie ist innerhalb von nur zwei Jahren von 39 auf 57 Prozent gestiegen. Noch bemerkenswerter ist die Infrastruktur-Bereitschaft: Über 95 Prozent aller iOS- und Android-Geräte sind passkey-fähig, und mehr als 90 Prozent haben die Funktionalität bereits aktiviert.
Die Anzahl der Dienste, die Passkeys unterstützen, wächst rasant. Zu den Vorreitern gehören Zahlungsanbieter wie PayPal, Mastercard und Visa sowie Kryptobörsen wie Binance und Coinbase. Auch Tech-Plattformen haben die Zeichen der Zeit erkannt: Amazon, Google, Microsoft, Apple, eBay, GitHub, Dropbox, Adobe, WhatsApp und TikTok bieten bereits Passkey-Unterstützung an. Selbst Banken, die traditionell eher vorsichtig bei neuen Technologien sind, steigen ein. American Express, Bank of America, Capital One und Wells Fargo gehören zu den Finanzinstituten, die Passkeys bereits implementiert haben.
Andrew Shikiar, der Executive Director der FIDO Alliance, prognostiziert, dass bis Ende 2025 jede vierte der weltweit größten 1.000 Websites Passkey-Login anbieten wird. Besonders spannend sind die Entwicklungen im Banking-, Payment- und Travel-Sektor, wo für 2025 bedeutende Durchbrüche erwartet werden.
Warum Passkeys die Zukunft sind: Die Vorteile im Überblick
Der größte Vorteil von Passkeys liegt in ihrer Phishing-Resistenz. Da der private Schlüssel niemals übertragen wird und Passkeys domainspezifisch erstellt werden, können Betrüger nichts damit anfangen. Selbst wenn du auf eine täuschend echt aussehende Phishing-Seite gerätst, wird der Passkey dort einfach nicht funktionieren. Die Website-Adresse muss exakt übereinstimmen, ansonsten verweigert das System die Authentifizierung.
Ein weiterer enormer Pluspunkt ist die Bequemlichkeit. Du musst dir keine komplexen Passwörter mehr merken und kannst nichts vergessen. Die Anmeldung erfolgt mit einem Fingerabdruck, einem Blick in die Kamera oder einer kurzen PIN-Eingabe – alles Methoden, die du ohnehin schon nutzt, um dein Smartphone zu entsperren. Das macht den Login nicht nur sicherer, sondern auch deutlich schneller. Bitwarden berichtete von einem Anstieg der täglichen Passkey-Erstellungen um 550 Prozent, allein im letzten Quartal 2024 wurden über eine Million neue Passkeys angelegt.
Für Unternehmen sind die Kostenvorteile beachtlich. Die Anzahl der Helpdesk-Anfragen wegen vergessener Passwörter sinkt drastisch, Betrugsraten gehen zurück, und die Kosten für SMS-basierte Zwei-Faktor-Authentifizierung entfallen. Laut einer Studie überwiegen die langfristigen Einsparungen deutlich die initialen Implementierungskosten. Zudem erfüllen Passkeys die strengen Anforderungen vieler Aufsichtsbehörden an phishing-resistente Multi-Faktor-Authentifizierung, wie sie beispielsweise das US National Institute of Standards and Technology für Bundesbehörden vorschreibt.
Die Herausforderungen: Nicht alles ist perfekt
So vielversprechend Passkeys auch sind, die Technologie ist noch nicht vollständig ausgereift. Eine der größten Herausforderungen ist die fragmentierte Implementierung. Jeder Anbieter scheint Passkeys ein wenig anders umzusetzen, was für Verwirrung bei den Nutzern sorgen kann. Mal wird ein Passkey zusätzlich zum Passwort angeboten, mal ersetzt er es komplett. Diese Inkonsistenz macht es schwer, sich schnell mit der neuen Technologie vertraut zu machen.
Die Geräteabhängigkeit ist ein weiteres Problem. Wenn du dein Smartphone verlierst oder es kaputt geht und keine Backups deiner Passkeys in der Cloud hast, kann der Zugriff auf deine Konten kompliziert werden. Deshalb ist es wichtig, entweder die Cloud-Synchronisation zu nutzen oder mehrere Geräte mit Passkeys einzurichten. Die meisten Dienste bieten glücklicherweise weiterhin alternative Wiederherstellungsmethoden an, wie E-Mail-Verifizierung oder Backup-Codes.
Ein häufig übersehener Nachteil ist die mangelnde Möglichkeit zum Teilen. Während du ein Passwort problemlos mit Familienmitgliedern oder Kollegen teilen kannst (auch wenn das aus Sicherheitsgründen nicht empfohlen wird), ist das bei Passkeys nicht so einfach möglich. Jeder Passkey ist an ein bestimmtes Gerät oder Konto gebunden. Für gemeinsam genutzte Accounts, etwa bei Streaming-Diensten oder Teamzugängen, kann das unpraktisch sein.
Die Kompatibilität mit älteren Systemen stellt Unternehmen vor Herausforderungen. Besonders in Umgebungen mit lokalem Active Directory oder Legacy-Systemen kann die Integration von Passkeys schwierig bis unmöglich sein. Auch die unterschiedlichen Ansätze von Apple, Google und Microsoft zur Passkey-Speicherung erschweren eine einheitliche Verwaltung in heterogenen IT-Landschaften.
Praxistipps: So steigst du am besten ein
Wenn du mit Passkeys loslegen möchtest, empfehle ich dir, klein anzufangen. Such dir ein oder zwei Konten aus, die du häufig nutzt und bei denen der Dienst Passkeys unterstützt. Google, Microsoft, PayPal oder eBay sind gute Einstiegskandidaten, da sie die Technologie bereits umfassend implementiert haben.
Achte darauf, dass deine Geräte kompatibel sind. Du benötigst mindestens iOS 16 auf iPhones und iPads, Android 9 oder höher, macOS Ventura (13) oder Windows 10 beziehungsweise 11. Bei Browsern solltest du Chrome ab Version 109, Edge ab 109, Safari ab 16 oder Firefox ab Version 122 nutzen. Die meisten modernen Geräte erfüllen diese Anforderungen bereits.
Überlege dir eine Backup-Strategie. Entweder nutzt du die Cloud-Synchronisation der Plattformanbieter oder speicherst deine Passkeys in einem plattformübergreifenden Passwort-Manager. Kaspersky Password Manager unterstützt beispielsweise Passkeys unter Windows bereits jetzt, Android-Support ist für Juli 2025 geplant und iOS/macOS für August 2025. So bist du nicht an ein einzelnes Ökosystem gebunden und kannst auch bei Gerätewechseln problemlos auf deine Accounts zugreifen.
Wichtig ist auch zu wissen, dass die meisten Dienste derzeit noch die parallele Nutzung von Passkey und Passwort erlauben. Das gibt dir eine Sicherheitsnetz, falls mal etwas mit dem Passkey nicht klappt. Allerdings bleibt damit auch das unsichere Passwort eine potenzielle Schwachstelle. Einige Anbieter wie Microsoft und Synology bieten deshalb die Option, das Passwort komplett zu entfernen, sobald ein Passkey eingerichtet ist.
Der Blick in die Zukunft: Was kommt 2025 und danach?
Die Entwicklungen versprechen spannende Fortschritte. Microsoft führt synchronisierte Passkeys für Windows ein, was Milliarden von Nutzern den Zugang zu dieser Technologie erleichtern wird. Die Integration in Microsoft Entra ID ermöglicht es Unternehmen, gerätegebundene Passkeys über die Microsoft Authenticator-App zu verwalten – ein wichtiger Schritt für die Akzeptanz im Enterprise-Bereich.
E-Commerce-Plattformen setzen verstärkt auf Passkeys, um Kaufabbrüche wegen vergessener Passwörter zu reduzieren. Auch für die Bestätigung von Kreditkartenzahlungen werden Passkeys zunehmend eingesetzt, was den Checkout-Prozess erheblich beschleunigt. Der Travel- und Hospitality-Sektor entdeckt die Vorteile ebenfalls, besonders für Vielreisende, die sich häufig von unterschiedlichen Geräten aus anmelden müssen.
Ein besonders interessanter Trend ist der Einsatz gegen KI-getriebene Phishing-Angriffe. Mit der zunehmenden Raffinesse von Deepfakes und automatisiert erstellten Phishing-Mails wird die inhärente Phishing-Resistenz von Passkeys immer wertvoller. Experten gehen davon aus, dass künstliche Intelligenz Cyberkriminellen ermöglichen wird, immer überzeugendere personalisierte Angriffe zu starten – genau dagegen bieten Passkeys einen wirksamen Schutz.
Die FIDO Alliance arbeitet an weiteren Verbesserungen der Portabilität. Ein neuer Standard soll es ermöglichen, Passkeys noch einfacher zwischen verschiedenen Plattformen und Passwort-Managern zu übertragen. Das würde das Problem der Ökosystem-Abhängigkeit lösen und die Freiheit der Nutzer erhöhen.
Einige Prognosen gehen sogar so weit zu sagen, dass Passkeys bis 2027 zur dominierenden Form der Online-Authentifizierung werden und sowohl traditionelle Passwörter als auch konventionelle Multi-Faktor-Authentifizierung überholen könnten. Ob das realistisch ist, bleibt abzuwarten – aber die Richtung ist eindeutig.
Fazit: Der Abschied vom Passwort hat begonnen
Passkeys sind keine ferne Zukunftsvision mehr, sondern bereits Realität. Mit über einer Milliarde aktiver Nutzer und einer stetig wachsenden Zahl unterstützender Dienste hat die passwortlose Authentifizierung den Sprung in den Mainstream geschafft. Die Technologie bietet überzeugende Vorteile: höhere Sicherheit durch Phishing-Resistenz, deutlich mehr Komfort und langfristige Kostenersparnisse.
Natürlich gibt es noch Herausforderungen zu meistern. Die Implementierung ist fragmentiert, nicht alle Dienste unterstützen Passkeys bereits, und die Geräteabhängigkeit erfordert durchdachte Backup-Strategien. Aber diese Kinderkrankheiten sind typisch für jede neue Technologie und werden mit zunehmender Adoption gelöst.
Für dich als Nutzer bedeutet das: Jetzt ist der perfekte Zeitpunkt, um mit Passkeys zu experimentieren. Such dir ein paar Dienste aus, die du täglich nutzt, richte dort Passkeys ein und erlebe selbst, wie angenehm passwortlose Anmeldung sein kann. Du musst nicht gleich all deine Accounts umstellen – aber je früher du anfängst, desto besser bist du für die passwortlose Zukunft gerüstet.
Die Ära der Passwörter neigt sich dem Ende zu. Nach Jahrzehnten der Herrschaft schwacher, wiederverwendeter und vergessener Kennwörter ist es Zeit für etwas Besseres. Passkeys sind nicht perfekt, aber sie sind ein gewaltiger Schritt in die richtige Richtung. Eine Zukunft, in der wir uns keine komplexen Zeichenkombinationen mehr merken müssen und trotzdem sicherer unterwegs sind als je zuvor – diese Zukunft hat bereits begonnen.
