Ich erinnere mich noch genau an den Abend, an dem ich das erste Mal wirklich verstanden habe, wie kaputt das Passwort-System ist. Ich saß vor meinem dritten Monitor, Kaffee wurde kalt, und auf dem Bildschirm: mein eigenes Passwort – geleakt in einer Have-I-Been-Pwned-Abfrage. Nicht irgendein altes Wegwerfkennwort. Das echte. Aus dem Jahr, in dem ich dachte, ich wäre schon „zu clever“ für so etwas.
Wir nutzen Passwörter seit über 60 Jahren. Fernando Corbató führte sie 1961 am MIT ein – als temporäre Lösung, wohlgemerkt. Sogar er selbst hat bis zu seinem Tod 2019 zugegeben, dass das System nie wirklich funktioniert hat und er seine eigenen Passwörter in einem Notizbuch aufbewahrte. Einem analogen Notizbuch. 2019. Das sagt eigentlich alles.
Heute sind Passwörter das größte Einzelrisiko in der digitalen Sicherheit. Über 80 % aller erfolgreichen Cyberangriffe basieren auf gestohlenen oder schwachen Zugangsdaten – Credential Stuffing, Phishing, Brute Force. Die Zahlen sind brutal: Ein durchschnittlicher Datenschutzverstoß kostet Unternehmen 2023 bereits 4,45 Millionen Dollar (IBM Cost of a Data Breach Report). Und 47 % der Nutzer brechen einen Online-Kauf ab, wenn sie ihr Passwort vergessen haben.
Hier kommen Passkeys ins Spiel. Nicht als weiteres Sicherheitspflaster auf einer blutenden Wunde, sondern als fundamentaler Paradigmenwechsel: Die FIDO-Allianz (gegründet von Apple, Google, Microsoft, PayPal und weiteren Schwergewichten) hat mit dem FIDO2-Standard eine Authentifizierungsmethode entwickelt, die Passwörter schlicht überflüssig macht. Und der Zeitplan ist klar: 2026 ist das Jahr, in dem Passkeys vom Nischen-Feature zum Mainstream werden.
„Ein Passwort kann man klauen, erraten oder leaken – einen Passkey nicht, weil er niemals dein Gerät verlässt und nur für eine einzige Website funktioniert.“
Die Technik hinter dem Klick: Wie funktionieren Passkeys?
Bevor wir zur Einrichtung kommen, müssen wir kurz unter die Haube schauen. Denn wer versteht, wie Passkeys funktionieren, begreift auch, warum sie so viel sicherer sind.
Ein Passkey ist ein digitaler Berechtigungsnachweis, der auf asymmetrischer Kryptographie basiert. Er ersetzt Passwörter durch ein Schlüsselpaar: Ein öffentlicher Schlüssel liegt auf dem Server, ein privater Schlüssel bleibt sicher auf dem Endgerät. Die Authentifizierung erfolgt lokal via Biometrie oder PIN.
Das Public-Key-Verfahren: Dein Gerät kennt das Geheimnis – der Server nicht
Das Herzstück von Passkeys ist asymmetrische Kryptographie – klingt kompliziert, ist aber mit einer Analogie sofort klar.
Stell dir ein Vorhängeschloss vor. Du hast das einzige Exemplar dieses Schlosses, das du an jeden verschicken kannst – und jeder kann damit etwas abschließen. Aber aufmachen kann nur du, weil du den einzigen passenden Schlüssel besitzt. Genau so funktioniert Public-Key-Kryptographie.
Wenn du einen Passkey für eine Website erstellst, generiert dein Gerät spontan ein kryptographisches Schlüsselpaar:
- Öffentlicher Schlüssel (Public Key): Wird auf dem Server der Website gespeichert. Für sich allein ist er wertlos – er kann keine Authentifizierung durchführen.
- Privater Schlüssel (Private Key): Bleibt ausnahmslos auf deinem Gerät. In einem gesicherten Hardware-Bereich (dem sogenannten Secure Enclave bei Apple, dem TPM-Chip bei Windows, oder dem StrongBox-Subsystem bei Android). Er verlässt diesen Bereich nie – nicht einmal du selbst kannst ihn im Klartext auslesen.
Der eigentliche Login-Vorgang läuft dann so ab:
- Website sendet eine Challenge: Der Server schickt eine einmalige, zufällige Zeichenfolge (die „Challenge“) an dein Gerät.
- Gerät signiert die Challenge: Dein privater Schlüssel – der das Gerät nie verlässt – unterschreibt diese Challenge mathematisch. Das Ergebnis ist eine Signatur, die nur mit deinem privaten Schlüssel erzeugt werden kann.
- Server verifiziert die Signatur: Der Server prüft die eingehende Signatur mit dem gespeicherten öffentlichen Schlüssel. Stimmt sie überein, ist die Identität bestätigt – ohne dass jemals ein gemeinsames Geheimnis übertragen wurde.
Das ist der entscheidende Unterschied zum Passwort: Beim klassischen Passwort schicke ich mein Geheimnis zum Server und hoffe, dass er es sicher aufbewahrt. Mit einem Passkey beweise ich meinen Besitz des privaten Schlüssels, ohne ihn jemals preiszugeben.
Der Server lernt damit nur, dass du den korrekten privaten Schlüssel besitzt – mehr nicht. Selbst wenn Hacker den Server kompromittieren, finden sie dort nur öffentliche Schlüssel. Die sind, wie der Name schon sagt, ohnehin öffentlich – und ohne den privaten Schlüssel auf deinem Gerät komplett nutzlos.
Zusätzlich ist jeder Passkey domain-spezifisch: Beim Erstellen wird die exakte Ursprungsdomain (z.B. amazon.de) fest in den Passkey eingebacken. Ein Passkey, der für amazon.de erstellt wurde, funktioniert auf amaz0n.de nicht – technisch unmöglich. Die Prüfung findet kryptografisch statt, nicht durch eine einfache String-Überprüfung, die man vielleicht austricksen könnte. Das ist das „Origin-Bound“-Prinzip, auf das ich gleich noch im Detail eingehe.
Der biometrische Scan (Fingerabdruck, Gesicht) oder die PIN, die du beim Login eingibst, entsperrt dabei nicht das Konto auf dem Server – er entsperrt lediglich den privaten Schlüssel auf deinem eigenen Gerät. Das Biometrie-Datum verlässt deinen Chip ebenfalls nie.
Tech-Quick-Fact: Was ist ein TPM-Chip? TPM steht für „Trusted Platform Module“ – ein dedizierter Sicherheitschip auf dem Mainboard. Er speichert kryptografische Schlüssel in einer gehärteten Umgebung, die selbst gegen physische Angriffe resistent ist. Windows 11 schreibt einen TPM 2.0-Chip vor. Praktisch alle modernen PCs seit 2016 haben ihn – oft muss er aber erst im BIOS/UEFI aktiviert werden.
Der FIDO2 und WebAuthn Standard: Was steckt dahinter?
FIDO2 ist der Dachstandard, der Passkeys möglich macht. „FIDO“ steht für „Fast Identity Online“ – die FIDO-Allianz entwickelt seit 2012 offene Standards für sichere Authentifizierung ohne Passwörter.
FIDO2 besteht aus zwei Protokollen:
- WebAuthn (Web Authentication): Definiert die API, über die Websites und Apps Passkeys erstellen und nutzen. Wird vom W3C (World Wide Web Consortium) gepflegt. Im Januar 2025 wurde der Working Draft für WebAuthn Level 3 veröffentlicht.
- CTAP (Client to Authenticator Protocol): Definiert die Kommunikation zwischen dem Browser/Betriebssystem und dem Authenticator (dein Fingerabdrucksensor, Secure Enclave, etc.).
Praktisch bedeutet das: Wenn eine Website dich per Passkey anmeldet, ruft dein Browser die WebAuthn-API auf. Der Browser kommuniziert dann über CTAP mit dem Authenticator auf deinem Gerät. Das Ganze ist so standardisiert, dass es auf Chrome, Safari, Firefox und Edge funktioniert – auf Windows, macOS, iOS, Android und ChromeOS.
Im Juli 2025 veröffentlichte das US-amerikanische NIST die finale Version seiner digitalen Identitätsrichtlinien (SP 800-63-4). Darin werden Passkeys als „syncable authenticators“ formal anerkannt und erreichen damit den Authenticator Assurance Level 2 (AAL2) – das bedeutet: Sie sind offiziell gut genug für Behörden und kritische Infrastrukturen.
Zusammenfassend: FIDO2 und WebAuthn sind die offenen Standards, die sicherstellen, dass Passkeys plattformübergreifend, interoperabel und nachweislich sicher sind – kein proprietärer Trick eines einzelnen Herstellers.
Sicherheit im Fokus: Warum Passkeys Phishing unmöglich machen
„Phishing-resistent“ klingt wie ein Marketing-Versprechen. Lass mich erklären, warum es technische Realität ist.
Beim klassischen Phishing lockt eine gefälschte Website dich dazu, dein Passwort einzugeben. Die Seite sieht aus wie paypal.com, ist aber paypa1.com. Du tippst dein Passwort – der Angreifer hat es. Game over. Aktuell ist dies einigen Bundestagsabgeordnet passiert, die auf so etwas wohl hingefallen zu sein scheinen.
Mit einem Passkey passiert das nicht. Warum? Weil das Origin-Bound-Prinzip physikalisch verhindert, dass ein Passkey auf der falschen Domain verwendet wird.
Hier ist die genaue Ablaufkette beim Phishing-Versuch:
- Du landest auf
paypa1.com(Fake). - Die Fake-Site bittet deinen Browser um Passkey-Authentifizierung.
- Dein Browser übermittelt den Origin
paypa1.coman dein Gerät. - Dein Gerät sucht nach einem Passkey für
paypa1.com. Findet keinen – weil du nur einen fürpaypal.comhast. - Authentication schlägt fehl. Angreifer bekommt nichts.
Selbst wenn ein Angreifer als Man-in-the-Middle agiert und die echte PayPal-Authentifizierung in Echtzeit weiterleitet: Die kryptografische Signatur gilt nur für die spezifische Challenge dieser einen Session und ist danach wertlos. Replay-Angriffe sind unmöglich.
Vergleich: Passkeys vs. Zwei-Faktor-Authentifizierung (2FA)
| Eigenschaft | Passwort + SMS-2FA | Passwort + TOTP-App | Passkey |
|---|---|---|---|
| Phishing-resistent | ❌ Nein | ❌ Nein (Real-Time-Phishing möglich) | ✅ Ja |
| SIM-Swap-Angriff möglich | ❌ Ja | ✅ Nein | ✅ Nein |
| Server-Leak zeigt Geheimnis | ❌ Ja (Passwort-Hash) | ❌ Ja (TOTP-Secret) | ✅ Nein (nur Public Key) |
| Nutzbarkeit | Mittel | Mittel | Sehr hoch |
| Brute Force möglich | ❌ Ja | ✅ Nein | ✅ Nein |
| Basis-Faktor | Wissen | Wissen + Besitz | Besitz + Biometrie |
SMS-2FA ist zwar besser als kein zweiter Faktor, aber SIM-Swap-Angriffe machen sie angreifbar. Die UAE-Zentralbank und die indische Reserve Bank haben 2025/2026 SMS-basierte OTPs im Finanzbereich deshalb bereits verboten. Selbst TOTP-Apps (Google Authenticator, Authy) können durch Real-Time-Phishing ausgehebelt werden: Ein Angreifer leitet den TOTP-Code sofort weiter, bevor er abläuft.
Passkeys haben kein solches Angriffsfenster – weil kein shared Secret existiert, das übertragen werden müsste.
Zusammenfassend: Passkeys machen Phishing nicht nur schwieriger – sie machen es technisch unmöglich, weil kein Geheimnis existiert, das man stehlen könnte, und die Bindung an eine Domain kryptografisch erzwungen wird.
Passkeys einrichten: Die vollständigen Schritt-für-Schritt-Anleitungen
Hier wird’s konkret. Ich führe dich durch alle drei großen Plattformen.
Einrichtung unter Windows 11 mit Windows Hello
Voraussetzungen:
- Windows 11 (Version 22H2 oder neuer)
- TPM 2.0 aktiviert (im BIOS/UEFI prüfen)
- Windows Hello eingerichtet (PIN, Fingerabdruck oder Gesichtserkennung)
- Microsoft-Konto oder lokales Konto mit PIN
Schritt 1 – Windows Hello einrichten (falls noch nicht geschehen): Einstellungen → Konten → Anmeldeoptionen → Windows Hello PIN / Fingerabdruckerkennung / Gesichtserkennung → Einrichten
Ohne Windows Hello kann Windows keinen Passkey schützen. Die biometrischen Daten verbleiben im TPM-Chip und werden nie an Microsoft übertragen.
Schritt 2 – Passkey auf einer Website erstellen (am Beispiel Google):
- Öffne
myaccount.google.comin Edge oder Chrome. - Navigiere zu
Sicherheit → Passkeys → Passkey erstellen. - Windows zeigt einen Dialog: „Passkey für [dein Konto] speichern?“
- Bestätige mit Windows Hello (PIN, Fingerabdruck oder Gesicht).
- Done. Der Passkey wird lokal im Windows-Credential-Manager gespeichert und – wenn du mit einem Microsoft-Konto angemeldet bist – verschlüsselt in der Microsoft-Cloud synchronisiert.
Schritt 3 – Passkeys verwalten: Einstellungen → Konten → Passkeys – hier siehst du alle gespeicherten Passkeys und kannst einzelne löschen.
Tech-Quick-Fact: Passkeys auf Windows ohne Microsoft-Konto Auch mit lokalem Windows-Konto funktionieren Passkeys. Allerdings werden sie dann nur lokal gespeichert und nicht synchronisiert. Für Sync-Funktionalität brauchst du entweder ein Microsoft-Konto oder einen Drittanbieter-Passwortmanager wie Bitwarden oder 1Password.
Einrichtung auf Apple-Geräten (iOS, iPadOS & macOS)
Apple hat Passkeys tief ins System integriert – der iCloud-Schlüsselbund ist der Speicherort, und die Synchronisation zwischen iPhone, iPad und Mac läuft völlig automatisch, sofern du überall mit derselben Apple-ID eingeloggt bist.
Voraussetzungen:
- iOS 16+ / iPadOS 16+ / macOS Ventura (13)+
- iCloud-Schlüsselbund aktiviert
- Face ID, Touch ID oder Geräte-PIN eingerichtet
iCloud-Schlüsselbund aktivieren (falls nötig):
- iPhone/iPad:
Einstellungen → [Dein Name] → iCloud → Passwörter und Schlüsselbund → An - Mac:
Systemeinstellungen → [Dein Name] → iCloud → Passwörter und Schlüsselbund → An
Passkey erstellen (am Beispiel einer Website in Safari):
- Besuche eine Passkey-kompatible Website und gehe zu den Sicherheitseinstellungen.
- Wähle „Passkey erstellen“ oder „Passkey hinzufügen“.
- Safari zeigt automatisch ein Bottom-Sheet: „Passkey für [Website] sichern?“
- Bestätige mit Face ID / Touch ID.
- Der Passkey wird Ende-zu-Ende-verschlüsselt im iCloud-Schlüsselbund gespeichert.
Passkeys verwalten:
- iPhone/iPad:
Einstellungen → Passwörter– hier werden Passkeys und Passwörter zusammen angezeigt. - Mac:
Systemeinstellungen → Passwörter– identische Ansicht, da synchronisiert.
Besonderheit Apple: Der private Schlüssel wird in der Secure Enclave des Apple-Chips (A- oder M-Serie) gespeichert. Die Secure Enclave ist ein vollständig isolierter Co-Prozessor, der nicht einmal das Betriebssystem selbst auslesen kann.
Tech-Quick-Fact: Ende-zu-Ende-Verschlüsselung im iCloud-Schlüsselbund Apple verschlüsselt Passkeys im iCloud-Schlüsselbund mit einem Schlüssel, der nur auf deinen vertrauenswürdigen Geräten existiert. Selbst Apple kann deine Passkeys nicht entschlüsseln. Das ist echter Zero-Knowledge-Ansatz.
Einrichtung auf Android-Smartphones
Android nutzt den Google Passwortmanager als Standard-Speicherort – oder einen Drittanbieter-Passwortmanager deiner Wahl. Ab Android 9 ist WebAuthn unterstützt, die komfortabelste Passkey-Erfahrung bietet aber Android 14+.
Voraussetzungen:
- Android 9+ (empfohlen: Android 14+)
- Google-Konto auf dem Gerät
- Biometrie (Fingerabdruck / Gesichtserkennung) oder Geräte-PIN eingerichtet
- Chrome als Browser (oder eine App, die WebAuthn unterstützt)
Passkey erstellen:
- Besuche eine kompatible Website in Chrome (oder öffne eine unterstützte App).
- Gehe zu den Sicherheitseinstellungen und wähle „Passkey erstellen“.
- Android zeigt ein Bottom-Sheet mit der Frage, wo du den Passkey speichern möchtest: Google Passwortmanager oder ein verbundener Drittanbieter.
- Bestätige mit Fingerabdruck oder PIN.
- Der Passkey wird im Google-Konto gespeichert und automatisch auf alle deine Android-Geräte sowie auf Chrome (Windows/Mac) synchronisiert.
Passkeys verwalten: Einstellungen → Passwörter → Google Passwortmanager oder direkt unter passwords.google.com.
Zusammenfassend: Die Einrichtung von Passkeys ist auf allen Plattformen ein Zwei-Minuten-Job – und danach läuft der Login mit einem Fingertipp. Einmal eingerichtet, willst du nicht zurück.
Die Synchronisation: Wie Passkeys über Gerätegrenzen hinweg funktionieren
Ein häufiges Missverständnis: „Mein Passkey ist auf dem iPhone, also kann ich mich am Windows-PC nicht damit einloggen.“
Falsch. Passkeys sind für Ökosystem-übergreifenden Einsatz gebaut – und es gibt zwei Mechanismen dafür.
Mechanismus 1: Cloud-Synchronisation (gleiche Ökosystem)
| Ökosystem | Speicherort | Sync zwischen… |
|---|---|---|
| Apple | iCloud-Schlüsselbund | iPhone ↔ iPad ↔ Mac (mit gleicher Apple-ID) |
| Google Passwortmanager | Android ↔ Chrome auf Windows/Mac (mit gleichem Google-Konto) | |
| Microsoft | Windows Credential Manager | Windows-Geräte (mit Microsoft-Konto) |
| Drittanbieter | 1Password, Bitwarden, Dashlane | Plattformübergreifend, alle Geräte |
Mechanismus 2: Cross-Device Authentication via QR-Code
Stell dir vor, du sitzt an einem Windows-PC, hast dort keinen Passkey gespeichert, aber deinen Passkey auf dem iPhone. Kein Problem:
- Der Browser zeigt beim Login „Anderes Gerät verwenden“ oder „QR-Code scannen“.
- Du scannst den QR-Code mit deinem iPhone.
- iPhone und PC kommunizieren über Bluetooth (um sicherzustellen, dass das Gerät physisch in der Nähe ist – kein Remote-Hijacking möglich).
- Du bestätigst auf dem iPhone mit Face ID.
- Der Login am PC ist abgeschlossen – der Passkey verlässt dabei nie das iPhone.
Diese Cross-Device-Authentifizierung ist standardisiert und funktioniert zwischen allen Plattformen: iPhone → Windows-PC, Android → Mac, etc.
Die FIDO-Allianz arbeitet außerdem an CXP (Credential Exchange Protocol) – einem Standard zum sicheren Transfer von Passkeys zwischen verschiedenen Passwortmanagern. 2025 wurde dieser Standard weiterentwickelt; er löst das Problem, dass du bisher bei einem Anbieter „gefangen“ bist.
Das „Worst-Case-Szenario“: Gerät verloren oder gestohlen
Genau diese Frage stellt mir fast jeder, dem ich Passkeys erkläre: „Und wenn ich mein Handy verliere?“
Antwort: In den meisten Fällen passiert gar nichts Schlimmes – und hier ist der Grund.
Szenario A: Du hast mehrere Geräte im gleichen Ökosystem
Deine Passkeys sind in der Cloud synchronisiert. Verlierst du dein iPhone, aber hast noch ein iPad oder einen Mac mit derselben Apple-ID? Alle Passkeys sind dort verfügbar. Das iPhone lässt sich remote über iCloud.com → Mein iPhone suchen → Löschen aus dem Ökosystem entfernen.
Das gleiche gilt für Android/Google: Verlierst du dein Android-Smartphone, sind alle Passkeys weiterhin über den Google Passwortmanager zugänglich – auf deinem anderen Android-Gerät, oder in Chrome auf dem Laptop.
Szenario B: Du verlierst alle deine Geräte
Das ist das echte Worst-Case-Szenario. Hier sind die Optionen nach Plattform:
- Apple: Apple-ID-Account-Wiederherstellung über
iforgot.apple.com. Dieser Prozess kann mehrere Tage dauern, da Apple streng prüft. Ein vorab eingerichteter Recovery Key (in den Apple-ID-Einstellungen) beschleunigt den Prozess erheblich. Alternativ: Wiederherstellungskontakte hinzufügen. - Google: Google bietet seit Herbst 2025 Recovery Contacts – eine Vertrauensperson kann bei der Kontowiederherstellung helfen. Einrichten unter
g.co/recovery-contacts. Klassische Fallback-Optionen sind Backup-Codes und hinterlegte Telefonnummern/E-Mails. - Microsoft: Kontowiederherstellung über
account.live.com/resetpassword.aspxmit alternativer E-Mail oder Telefonnummer.
Was passiert mit einem gestohlenen Gerät?
Ein Dieb, der dein entsperrtes Smartphone in die Hände bekommt, könnte theoretisch auf Passkeys zugreifen. Deshalb ist die Gerätesicherheit (starker PIN, Biometrie, automatische Sperre) weiterhin wichtig. Auf einem gesperrten Gerät ist ein Passkey-Missbrauch ohne Biometrie/PIN jedoch unmöglich.
Meine persönliche Empfehlung für maximale Resilienz:
- Passkeys in Cloud-Synchronisation aktivieren (Apple/Google/Microsoft-Konto).
- Recovery-Methoden des Cloud-Kontos pflegen (aktuelle Telefonnummer, E-Mail).
- Für hochkritische Konten (Banking, E-Mail) einen physischen FIDO2-Sicherheitsschlüssel (z.B. YubiKey) als zusätzliche Backup-Methode registrieren.
- Backup-Codes – wo angeboten – offline sicher aufbewahren (ausgedruckt, in einem Tresor).
„Ein verlorenes Gerät ist kein verlorenes Konto – solange du dein Cloud-Ökosystem mit denselben Maßstäben absicherst wie das Konto selbst.“
Zusammenfassend: Der Verlust eines Passkey-Geräts ist dank Cloud-Synchronisation meist unproblematisch. Die eigentliche Schwachstelle ist das Cloud-Konto dahinter – das muss stark geschützt sein.
Kompatibilität: Wo kann man Passkeys heute schon nutzen?
Die gute Nachricht: Deutlich mehr Dienste als du vielleicht denkst. Laut FIDO-Allianz ermöglichen Passkeys bereits über 15 Milliarden Konten passwortfreie Anmeldungen. 48 % der Top-100-Websites weltweit unterstützen Passkeys – mehr als doppelt so viele wie noch 2022.
Unterstützte Plattformen (Auswahl, Stand 2026):
| Dienst | Passkey | Hinweis |
|---|---|---|
| Google / Gmail | ✅ | Standard-Anmeldeoption |
| Microsoft / Xbox | ✅ | Windows Hello Integration |
| Apple-ID | ✅ | Hardware-gebunden |
| Amazon | ✅ | Auch für .de-Konten |
| PayPal | ✅ | Seit 2023 |
| eBay | ✅ | Seit 2024 |
| GitHub | ✅ | ~1,4 Mio. registrierte Passkeys |
| X (Twitter) | ✅ | iOS/Android-App |
| ✅ | ||
| Adobe | ✅ | |
| Dropbox | ✅ | |
| Nintendo | ✅ | |
| Shopify | ✅ | B2B-Fokus |
| 1Password | ✅ | Passkey als Master-Authentifizierung |
Wo noch kein Passkey möglich ist:
Viele mittelgroße Dienste und Banken (in Deutschland) sind noch im Rollout. Erkennbar ist Passkey-Support entweder an einem entsprechenden Hinweis bei der Anmeldung, oder du prüfst die Sicherheitseinstellungen deines Kontos unter „Anmeldeoptionen“ oder „Passkeys“.
Eine aktuelle, community-gepflegte Liste findest du unter passkeys.directory – da kannst du Dienste nach Kategorie filtern.
Systemvoraussetzungen auf einen Blick:
| Plattform | Mindestanforderung |
|---|---|
| Windows | Windows 10, TPM 2.0, Chrome 109+ / Edge 109+ |
| macOS | Ventura (13)+, Safari 16+ |
| iOS / iPadOS | iOS 16+ |
| Android | Android 9+, Chrome 109+ |
| Linux | Chrome 109+ / Firefox 122+ (eingeschränkt) |
Passkeys und Passwort-Manager: Eine neue Ära
„Brauche ich meinen Passwortmanager dann noch?“ – Spoiler: Ja, aber er verändert sich.
Ich habe meine eigenen Erfahrungen damit auf addis-techblog.de ausführlich dokumentiert: Im Artikel Passkeys im Alltag – kann der Passwort-Manager weg? beschreiben wir, wie sich der tägliche Umgang mit Logins verändert hat und ob Passwortmanager noch eine Daseinsberechtigung haben. Die kurze Antwort: Sie haben eine, aber eine andere.
Klassische Passwortmanager speichern Passwörter – einen shared Secret, der auf dem Server landet. Passkeys eliminieren genau das. Dennoch spielen Passwortmanager weiter eine Rolle, weil:
- Nicht alle Dienste Passkeys unterstützen – klassische Passwörter bleiben noch Jahre parallel nötig.
- Drittanbieter-Manager ermöglichen plattformübergreifende Sync – unabhängig von Apple, Google oder Microsoft.
- Sie übernehmen die Passkey-Speicherung – als Alternative zum OS-eigenen Schlüsselbund.
Aktuelle Passkey-Unterstützung der großen Passwortmanager:
| Manager | Passkeys speichern | Plattform-unabhängig | Kosten |
|---|---|---|---|
| 1Password | ✅ | ✅ | Ab ~2,99 €/Monat |
| Bitwarden | ✅ | ✅ | Kostenlos / 10 €/Jahr |
| Dashlane | ✅ | ✅ | Ab ~4,99 €/Monat |
| NordPass | ✅ | ✅ | Ab ~1,99 €/Monat |
| Apple Passwörter | ✅ | ❌ (nur Apple) | Kostenlos |
| Google Password Manager | ✅ | Teilweise (Chrome) | Kostenlos |
Bitwarden ist mein persönlicher Favorit für alles, was plattformübergreifend sein soll – Open Source, selbst-hostbar, und die Passkey-Unterstützung funktioniert zuverlässig. Wem Komfort im Apple-Ökosystem reicht, für den ist die native Passwörter-App inzwischen absolut ausreichend.
„Der Passwortmanager stirbt nicht durch Passkeys – er wandelt sich vom Passwort-Tresor zum universellen Identitäts-Hub.“
Zusammenfassend: Passkeys ersetzen das Passwort, nicht den Passwortmanager. Tools wie Bitwarden oder 1Password speichern Passkeys plattformübergreifend und überbrücken die Zeit bis zur vollständigen Passkey-Adoption.
Fazit: Der Fahrplan für eine passwortlose Zukunft
Lass mich mit Zahlen schließen, die für sich sprechen: 75 % der globalen Nutzer kennen Passkeys inzwischen. 87 % der Unternehmen haben sie bereits eingeführt oder sind im Roll-out. Die Login-Erfolgsrate mit Passkeys liegt bei 93 % – gegenüber 63 % bei klassischer Authentifizierung. Und in einer Welt, in der ein durchschnittlicher Datenschutzverstoß 4,45 Millionen Dollar kostet, ist „ich warte noch ab“ keine vernünftige Strategie mehr.
Mein persönlicher Fahrplan, den ich dir empfehle:
Sofort (diese Woche):
- Google-Konto auf Passkey umstellen (5 Minuten, größter Sicherheitsgewinn pro Zeitaufwand).
- Microsoft-Konto Passkey hinzufügen.
- Apple-ID auf Passkey umstellen.
Kurzfristig (nächste 4 Wochen):
- Alle Dienste mit sensiblen Daten (Banking, PayPal, eBay, Amazon) auf Passkey umstellen, wo möglich.
- Recovery-Methoden aller Cloud-Konten aktualisieren.
Mittelfristig:
- Passwortmanager evaluieren – brauche ich einen Drittanbieter für Plattformunabhängigkeit?
- Bei verbleibenden Passwort-Konten auf starke, einzigartige Passwörter + TOTP-2FA setzen.
Passkeys sind keine Zukunftsmusik mehr. Sie sind jetzt verfügbar, sie funktionieren, und sie sind einfacher zu benutzen als Passwörter. Es gibt 2026 keinen guten Grund mehr, damit zu warten.
„Im Jahr 2026 ist ein Online-Konto ohne Passkey eigentlich nur noch ein Scheunentor, das auf den nächsten Sturm wartet.“
