Ich erinnere mich noch genau an den Moment, als mein E-Mail-Konto gehackt wurde. Nicht weil ich ein schwaches Passwort hatte – nein, ich hatte brav Groß- und Kleinbuchstaben gemischt, Sonderzeichen eingebaut, die ganze Pflichtprogramm-Prozedur. Das Problem war eine täuschend echte Login-Seite, auf der ich mein Passwort freiwillig eingegeben habe. Phishing. Klassisch. Teuer. Und vollkommen vermeidbar – wenn ich damals schon Passkeys genutzt hätte.
Das Ende des Passworts ist längst nicht mehr Science-Fiction. Apple, Google und Microsoft drücken 2026 gemeinsam aufs Gas, und die Zahlen sind eindeutig: Laut FIDO Alliance unterstützen bereits 48 % der 100 meistbesuchten Websites der Welt Passkeys – doppelt so viele wie noch im Vorjahr. Täglich werden fast eine Million neue Passkeys registriert. Und trotzdem fragen mich Freunde und Familie regelmäßig: „Was ist das eigentlich – und brauche ich das wirklich?“
Dieser Artikel ist meine ehrliche Antwort darauf. Kein Marketing-Sprech, kein Kryptographie-Kurs, nur das, was du wirklich wissen musst.
Was zum Teufel ist ein Passkey?
Ich liebe Analogien, also hier kommt eine: Stell dir vor, du hast ein besonderes Schloss zuhause, das mit einem einzigartigen Puzzle funktioniert. Die eine Hälfte des Puzzles liegt beim Anbieter (also zum Beispiel bei Amazon oder Google). Die andere Hälfte liegt sicher auf deinem Gerät – auf deinem Smartphone, Laptop oder Tablet. Nur wenn beide Hälften exakt zusammenpassen, geht die Tür auf. Und das Beste: Du musst dir die Hälfte auf deinem Gerät niemals merken. Dein Telefon kennt sie einfach.
Technisch nennt sich das asymmetrische Kryptographie – aber ich verspreche, das ist das einzige Mal, dass ich dieses Wort in diesem Artikel benutze. Was du wissen musst: Es gibt einen „öffentlichen Schlüssel“ (der liegt beim Dienst, den du nutzt) und einen „privaten Schlüssel“ (der verlässt dein Gerät niemals). Der Standard dahinter heißt FIDO2 – was für „Fast Identity Online“ steht – und wurde von Apple, Google und Microsoft gemeinsam entwickelt. Das technische Protokoll, das im Browser läuft, nennt sich WebAuthn, was einfach „Web Authentication“ bedeutet, also die Methode, wie sich dein Browser mit dem Server verständigt.
Warum Phishing damit nicht mehr funktioniert
Hier wird’s für mich richtig spannend. Beim klassischen Passwort tippst du dein Geheimnis in ein Formular – und hoffst, dass du auf der richtigen Seite bist. Ein Hacker kann eine täuschend echte Fake-Version von amazon.de bauen, du gibst dein Passwort ein, und schwupps – er hat es.
Bei einem Passkey funktioniert das prinzipiell nicht. Dein Gerät weiß genau, für welche Website der Schlüssel gilt. Wenn du auf einer Fake-Seite landest, die sich als „amaz0n.de“ ausgibt, verweigert dein Gerät einfach stillschweigend den Dienst. Es gibt keinen Schlüssel, der passt – und damit nichts, was der Hacker abgreifen könnte. Die FIDO Alliance hat nach der Einführung von Passkeys bei Mercari, einem der größten japanischen Marktplätze, null Phishing-Vorfälle gezählt. Null.
„Ein Passkey ist wie ein Haustürschlüssel, der sich automatisch selbst ändert, sobald jemand versucht, ihn zu kopieren – und der nur bei deiner echten Haustür funktioniert, nirgendwo sonst.“
Passkey vs. Passwort: Der direkte Vergleich
Damit du wirklich siehst, wo der Unterschied liegt, hier die wichtigsten Punkte auf einen Blick:
| Feature | Traditionelles Passwort | Passkey |
|---|---|---|
| Phishing-Gefahr | Sehr hoch – kann auf Fake-Seiten gestohlen werden | Praktisch unmöglich – technisch an die echte Domain gebunden |
| Nutzer-Aufwand | Hoch – muss erstellt, gemerkt und getippt werden | Minimal – Face ID, Fingerabdruck oder Geräte-PIN reichen |
| Speicherort | Server des Anbieters (kann gehackt werden) & Gedächtnis | Lokal auf dem Gerät / verschlüsselt in der Hersteller-Cloud |
| Wiederverwendung | Häufig (großes Sicherheitsrisiko) | Nicht möglich – jeder Passkey ist einzigartig |
| Verfügbarkeit auf Websites | 100 % – überall unterstützt | ~48 % der Top-100-Seiten, wachsend |
| Kann geleakt werden? | Ja – bei Datenpannen beim Anbieter | Nein – der private Schlüssel verlässt dein Gerät nie |
| Login-Geschwindigkeit | Langsam (tippen, korrigieren, vergessen…) | Bis zu 4× schneller laut Plattformmessungen |
Zusammenfassend: Passkeys schlagen klassische Passwörter in allen sicherheitsrelevanten Kategorien klar – der einzige echte Nachteil ist die noch nicht vollständige Verbreitung auf allen Websites.
Wie richte ich einen Passkey in der Praxis ein?
Ich weiß, was du jetzt denkst: „Klingt gut, aber wie kompliziert ist das?“ Die ehrliche Antwort: Es ist einfacher als ein neues Passwort zu erstellen. Lass mich das an drei konkreten Beispielen zeigen.
Beispiel 1: Google-Konto
- Geh in deinem Google-Konto auf myaccount.google.com und dann auf „Sicherheit“.
- Scrolle zu „Passkeys und Sicherheitsschlüssel“ und tippe auf „Passkey erstellen“.
- Dein Gerät fragt dich nach einer Bestätigung – Face ID, Fingerabdruck oder deine Geräte-PIN.
- Fertig. Ab sofort kannst du dich bei Google mit deinem Gesicht oder Finger anmelden – kein Passwort, keine SMS, kein nichts.
Google hat Passkeys übrigens für seine zwei Milliarden Gmail-Nutzer bereits zur bevorzugten Standard-Methode gemacht. Das ist kein Experiment mehr – das ist die neue Realität.
Beispiel 2: Amazon
Amazon unterstützt Passkeys über die Kontoverwaltung unter „Anmelden & Sicherheit“. Der Ablauf ist identisch: Du wirst einmalig gebeten, dich mit deinem bestehenden Passwort zu verifizieren, dann erstellst du den Passkey per Biometrie. Der nächste Login läuft dann ohne Passwort.
Beispiel 3: PayPal
PayPal gehört laut Dashlane zu den aktivsten Passkey-Plattformen weltweit. Auch hier: Einstellungen → Sicherheit → Passkey erstellen → Fingerabdruck oder Gesichtserkennung bestätigen. Der gesamte Prozess dauert unter 60 Sekunden.
Was passiert dabei technisch – ganz ohne Kryptographie?
Wenn du auf „Passkey erstellen“ tippst, passiert folgendes: Dein Gerät generiert automatisch das einzigartige Schlüsselpaar. Der öffentliche Schlüssel geht an den Server von Amazon, Google oder PayPal. Der private Schlüssel bleibt auf deinem Gerät und wird dort durch deine biometrische Bestätigung (Fingerabdruck, Face ID) oder deine Geräte-PIN gesichert. Beim nächsten Login fragt der Server dein Gerät: „Beweise, dass du der Richtige bist.“ Dein Gerät antwortet mit einer signierten Nachricht, die nur mit deinem privaten Schlüssel erstellt werden kann – und der Server vergleicht das mit seinem öffentlichen Schlüssel. Passt. Tür auf.
Du tust dabei nichts weiter als draufzuschauen oder den Finger draufzulegen.
Zusammenfassend: Einen Passkey einzurichten dauert unter einer Minute und erfordert kein technisches Vorwissen – dein Gerät übernimmt die gesamte Kryptographie im Hintergrund.
Was passiert, wenn mein Handy ins Wasser fällt?
Das ist die Frage, die ich am häufigsten höre – und sie ist absolut berechtigt. Denn wenn der Passkey nur auf meinem Handy lebt und das Handy kaputt ist… bin ich dann ausgesperrt?
Kurze Antwort: Nein – wenn du ein gängiges System verwendest.
Apple: iCloud Keychain synchronisiert alles
Wenn du ein iPhone oder iPad nutzt und in iCloud angemeldet bist, werden deine Passkeys automatisch und verschlüsselt über die iCloud Keychain auf allen deinen Apple-Geräten synchronisiert. Das heißt: Passkey auf dem iPhone erstellt → automatisch auch auf dem iPad und dem Mac verfügbar. Fällt das iPhone ins Wasser, loggst du dich auf dem iPad ein. Kein Datenverlust.
Und falls du wirklich alle Apple-Geräte verlierst: Über die iCloud-Wiederherstellung – geschützt durch dein Apple-Konto-Passwort und Zwei-Faktor-Authentifizierung – kommst du wieder an deine Daten, inklusive Passkeys.
Google: Passkeys wandern durch die Google Cloud
Android-Nutzer können sich auf den Google Passwort-Manager verlassen, der Passkeys geräteübergreifend synchronisiert. Hast du auf deinem Samsung-Handy einen Passkey für Netflix erstellt, steht er auch auf deinem Pixel-Tablet bereit – automatisch, verschlüsselt, ohne dass du etwas tun musst. Microsoft folgt demselben Prinzip und aktiviert seit März 2026 Passkey-Synchronisation über seinen Entra-Dienst automatisch für alle Nutzer.
Was ist, wenn du das Ökosystem wechselst? (iPhone zu Android)
Das war lange der große Schwachpunkt – und er ist mittlerweile gelöst. Die Cross-Device Authentication per QR-Code funktioniert so: Du loggst dich auf einem neuen Gerät ein, wählst „Passkey von einem anderen Gerät nutzen“, hältst dein altes Handy dazu – und scannst den QR-Code. Die beiden Geräte verbinden sich kurz per Bluetooth, dein altes Handy bestätigt, und der Login klappt.
Noch besser: Mit iOS 26 (September 2025) hat Apple das Credential Exchange Protocol (CXP) eingeführt, das einen sicheren, Ende-zu-Ende-verschlüsselten Transfer von Passkeys zwischen Ökosystemen erlaubt. Wechselst du also von iPhone zu Android, kannst du deine Passkeys heute sauber rüberziehen – ohne CSV-Export, ohne Klartextdateien.
Der sichere Fallback
Wichtig zu wissen: Kein seriöser Dienst hat Passkeys als einzige Login-Option. Solange nicht alle Nutzer weltweit umgestiegen sind, gibt es immer einen Fallback auf Passwort + Zwei-Faktor-Authentifizierung. Du wirst also nie komplett ausgesperrt.
Zusammenfassend: Die Angst vor dem Datenverlust ist verständlich, aber unbegründet – Apple und Google synchronisieren Passkeys automatisch und verschlüsselt, und das Credential Exchange Protocol macht auch Ökosystem-Wechsel sicher.
Kann der Passwort-Manager jetzt endlich weg?
Ich will ehrlich sein, weil ich diesen Artikel nicht damit beenden möchte, dir etwas zu verkaufen, das nicht stimmt: Nein – noch nicht. Aber das „noch“ ist wichtig.
Grund 1: Noch nicht alle Websites unterstützen Passkeys
Laut FIDO Alliance unterstützen 48 % der 100 meistbesuchten Websites Passkeys – das ist beeindruckend, aber eben auch: Die andere Hälfte noch nicht. Für dein Online-Banking, deinen Lieblings-Webshop oder das Forum, in dem du täglich postest, brauchst du möglicherweise noch Jahre ein klassisches Passwort. Und das muss sicher, einzigartig und lang sein. Ein Passwort-Manager bleibt dafür unersetzlich.
Laut aktuellen Zahlen haben inzwischen 69 % der Konsumenten mindestens einen Passkey – aber das bedeutet auch, dass nahezu jeder gleichzeitig noch Dutzende Passwort-geschützte Konten hat. Der Passwort-Manager ist das Sicherheitsnetz für alles, was noch nicht passkey-fähig ist.
Grund 2: Moderne Passwort-Manager verwalten jetzt auch Passkeys
Das ist der eigentlich spannende Trend: Bitwarden, 1Password und Dashlane können Passkeys direkt speichern und verwalten. Das macht sie zu universellen Anmeldezentralen – egal ob Passkey oder klassisches Passwort.
Der große Vorteil gegenüber Apple oder Google: Unabhängigkeit vom Ökosystem. Wenn du deine Passkeys in 1Password speicherst, sind sie auf iPhone, Android, Windows und Mac gleichermaßen abrufbar – ohne an Apple oder Google gebunden zu sein. Das ist besonders interessant, wenn du beruflich mehrere Betriebssysteme nutzt oder Wert auf datenschutzfreundliche Alternativen legst. Bitwarden ist dabei besonders attraktiv, weil es Open-Source ist und einen dauerhaft kostenlosen Plan anbietet.
Die Zukunft: Ein Manager für alles
Passkey-Unterstützung ist heute eine Basisanforderung an jeden Passwort-Manager, kein Differenzierungsmerkmal mehr – was zählt, ist plattformübergreifende Synchronisation. Mittelfristig werden sich Passwort-Manager zu „Credential-Managern“ entwickeln, die Passkeys, klassische Passwörter, Zwei-Faktor-Codes und möglicherweise sogar digitale Ausweise unter einem Dach verwalten.
„Wer 2026 seinen Passwort-Manager kündigt, weil er jetzt Passkeys hat, ist wie jemand, der seinen Regenschirm wegwirft, weil heute die Sonne scheint – der nächste Schauer kommt bestimmt.“
Zusammenfassend: Behalte deinen Passwort-Manager – aber aktiviere parallel Passkeys überall, wo es möglich ist. Die Kombination aus beidem ist aktuell die sicherste Lösung.
Fazit & Handlungsempfehlung
Lass mich kurz zusammenfassen, was du nach diesem Artikel wissen solltest:
Passkeys sind keine Zukunftsmusik mehr. 96 % aller Geräte sind bereits passkey-fähig, und die großen Plattformen – Google, Apple, Microsoft – haben die Weichen gestellt. Über eine Milliarde Passkeys wurden weltweit bereits erstellt, und der Trend beschleunigt sich.
Was du heute tun solltest:
Fang bei deinen wichtigsten Konten an – Google, Apple ID, Microsoft-Konto – und aktiviere dort Passkeys. Das dauert jeweils unter einer Minute und macht diese Konten sofort deutlich sicherer. Dann erweitere schrittweise auf Dienste wie Amazon, PayPal oder dein Online-Banking, sobald diese nachziehen.
Deinen Passwort-Manager behältst du vorerst. Nutze ihn aber mit einem kritischen Blick: Kann er bereits Passkeys verwalten? Falls nicht, ist jetzt ein guter Zeitpunkt, zu Bitwarden oder 1Password zu wechseln, die beide bereits vollständig passkey-fähig sind.
Die Passwort-Ära geht zu Ende – aber sie geht langsam. Branchenanalysten gehen davon aus, dass die meisten Teams, die 2026 noch passwortbasierte Authentifizierung betreiben, diese parallel bis mindestens 2027 weiterlaufen lassen werden. Das ist kein Grund zur Panik, aber ein klarer Hinweis: Wer jetzt anfängt, ist früh dran. Wer wartet, holt irgendwann auf.
Ich habe Passkeys vor einem Jahr bei meinen ersten Konten aktiviert – und ich vermisse mein altes Passwort für Google ungefähr so sehr wie mein erstes Nokia-Handy. Gar nicht.
