Was ist ein Passkey konkret?

Ein **Passkey** ist ein kryptografisches Schlüsselpaar (öffentlich + privat), das auf deinem Gerät gespeichert wird (Smartphone, Computer, YubiKey). Der private Schlüssel verlässt das Gerät NIEMALS. Wenn du dich bei einer Website anmeldest, sendet diese eine kryptografische Aufgabe, dein Gerät signiert sie mit deinem privaten Schlüssel (per Biometrie oder PIN entsperrt), und die Website prüft die Signatur mit dem öffentlichen Schlüssel. **Es wird kein Passwort übertragen oder gespeichert**. Phishing unmöglich (die Signatur funktioniert nur auf der korrekten Website).

Passkeys vs. Passwörter: Was sind die echten Vorteile im Jahr 2026?

**Passkeys** beseitigen 3 große Passwort-Risiken: (1) Phishing unmöglich — die kryptografische Signatur funktioniert NUR auf der exakt korrekten Website; (2) kein Passwort zum Merken oder Tippen, biometrische Entsperrung in 1 Sekunde; (3) kein serverseitig gespeichertes Geheimnis (man kann nicht stehlen, was nicht existiert). Nachteil 2026: Nur eine Minderheit der großen Websites unterstützt sie, gegenüber praktisch allen bei Passwörtern. Ein Passwort-Manager wie Bitwarden oder NordPass verwaltet während des Übergangs beides.

Werden Passkeys die Passwörter 2026 ersetzen?

**Noch nicht im Jahr 2026**. Die Verbreitung schreitet bei den GAFAM (Google, Apple, Microsoft, Github, Amazon unterstützen Passkeys) schnell voran, bleibt auf Nischen-Websites aber begrenzt. Stand 2026 unterstützt ein wachsender, aber weiterhin minderheitlicher Anteil großer Websites Passkeys, und nur ein kleiner Teil der Nutzer hat sie aktiviert. Der Übergang wird über 5-10 Jahre erfolgen. In der Zwischenzeit koexistieren **Passkeys + Passwort + 2FA**, und ein Manager wie NordPass oder Bitwarden verwaltet alle drei.

Unterstützen NordPass und Bitwarden Passkeys?

**Ja, seit 2024**. NordPass und Bitwarden können beide Passkeys für kompatible Websites speichern und synchronisieren. Du kannst Bitwarden also als plattformübergreifenden Passkey-Anbieter nutzen (iOS, Android, Windows, macOS, Linux). Das umgeht den Lock-in von Apple Keychain (nur iOS) oder Google Password Manager (nur Android). **Hauptvorteil**: Deine Passkeys werden über ihre Zero-Knowledge-Verschlüsselung auf all deinen Geräten synchronisiert.

Welche Websites unterstützen Passkeys 2026 tatsächlich?

**Breite Verbreitung** (Passkeys verfügbar und empfohlen): Google, Apple ID, Microsoft, Github, Amazon, eBay, PayPal, Adobe, Best Buy, Yahoo. **Teilweise Verbreitung** (Passkeys verfügbar, aber optional): LinkedIn, X (ehem. Twitter), Shopify, Cloudflare, Coinbase, Robinhood. **Noch nicht** (Juni 2026): die meisten europäischen Banken, viele B2B-SaaS, Nischen-E-Commerce-Sites, Behördendienste. Aktuelle Liste auf passkeys.directory prüfen.

Sollte man Passkeys jetzt aktivieren?

**Ja, überall wo möglich**. Sofortige Vorteile: Phishing-Unmöglichkeit (Signatur funktioniert nur auf der korrekten Website), kein Passwort zum Merken oder Tippen, schnelle biometrische Entsperrung. Behalte dein Bitwarden-Passwort als Fallback-Methode aktiv (falls du dein Gerät verlierst oder Passkeys nicht synchronisiert sind). Empfehlung: Aktiviere Passkeys bei Google, Apple ID, Github und allen kritischen Konten, bei denen es angeboten wird.

Passkeys vs. Passwörter 2026: Das Ende der Passwort-Manager?

📌 Kontext 2026: NordPass und Bitwarden speichern beide seit 2024 Passkeys geräteübergreifend. Falls du noch keinen Tresor gewählt hast, ist NordPass weiterhin unsere Mainstream-Empfehlung #1 (XChaCha20, flüssige Passkey-Synchronisierung, 1,49 €/Monat) — Bitwarden behält den Vorsprung bei Open Source / Self-Host.

Passkeys sind ein großer Durchbruch bei der Authentifizierung: kein Passwort zum Merken, Anti-Phishing per Design, schnelle biometrische Entsperrung. Doch im Juni 2026 ersetzen sie Passwörter noch nicht — der Übergang wird schrittweise über 5-10 Jahre erfolgen. So navigierst du durch diese Übergangsphase.

Passkeys 2026: hervorragend, wo unterstützt, aber die meisten großen Websites und die große Mehrheit der Nischenseiten hängen noch von Passwörtern ab. NordPass oder Bitwarden bleibt unverzichtbar.

01 — Was ist ein Passkey genau?

Ein Passkey ist ein kryptografisches Schlüsselpaar (öffentlich + privat), das auf deinem Gerät gespeichert wird. Der private Schlüssel verlässt das Gerät nie — geschützt durch Biometrie oder PIN. Bei der Anmeldung sendet die Website eine kryptografische Aufgabe, die dein Gerät lokal signiert. Die Website prüft die Signatur mit dem öffentlichen Schlüssel. Kein Passwort wird übertragen. Das Ergebnis: Phishing wird per Design unmöglich — die Signatur funktioniert nur auf dem exakten kryptografischen Ursprung der Website.

Ein Passkey ist ein kryptografisches Schlüsselpaar, das auf deinem Gerät gespeichert wird:

Privater Schlüssel: Verlässt das Gerät NIEMALS. Geschützt durch Biometrie (Face ID, Touch ID, Windows Hello) oder lokale PIN.
Öffentlicher Schlüssel: wird bei der Registrierung an die Website gesendet.

Bei einer Anmeldung:

Die Website sendet eine kryptografische Aufgabe (zufällig) an deinen Browser
Dein Gerät fordert dich zum Entsperren auf (Biometrie oder PIN)
Der private Schlüssel signiert die Aufgabe
Die Website prüft die Signatur mit dem öffentlichen Schlüssel
✅ Erfolgreiche Anmeldung ohne übertragenes Passwort

Wichtige Konsequenz: Phishing unmöglich (Signatur funktioniert NUR auf der korrekten Website, da an den kryptografischen Ursprung gebunden).

02 — Verbreitung im Juni 2026: Der Stand der Dinge

Große Websites mit starker Verbreitung:

Google (alle Apps + Workspace)
Apple ID
Microsoft (privates Konto + Microsoft 365)
Amazon
Github
eBay, PayPal, Best Buy, Adobe, Yahoo

Teilweise Verbreitung:

LinkedIn, X (Twitter), Shopify, Cloudflare, Coinbase, Robinhood

Noch nicht:

Große europäische Banken (BNP, Société Générale usw.)
Nischen-E-Commerce-Sites
Behördendienste (impots.gouv.fr, Ameli usw.)
Die meisten B2B-SaaS
Presseseiten, Foren, Communities

Grobe Einschätzung Juni 2026: Eine Minderheit der großen globalen Websites unterstützt Passkeys, und der Anteil der Nutzer, die sie auf mindestens einer Website aktiviert haben, bleibt klein — die aktuelle Liste kompatibler Websites findet sich auf passkeys.directory.

02 bis — Was die Koexistenz in der Praxis ändert

Selbst dort, wo Passkeys verfügbar sind, bleibt das Erlebnis 2026 von Dienst zu Dienst ungleichmäßig. Mehrere Reibungspunkte sollte man einplanen:

Passwörter bleiben oft ein verpflichtender Fallback: Viele Dienste bieten Passkeys als Option an, behalten aber den Passwort-Bildschirm als Standard. Manchmal muss man explizit auf „Anders anmelden → Passkey" klicken.
Die Synchronisierung hängt von deinem Ökosystem ab: Ein in der Apple Keychain (iCloud Keychain) erstellter Passkey wird auf Apple-Geräten geteilt, ist aber nicht direkt auf Windows oder Android nutzbar, ohne einen plattformübergreifenden Manager (NordPass, Bitwarden, 1Password) oder ein Übertragungsverfahren zu verwenden.
Manche Dienste erzwingen eine regelmäßige Passwort-Reauthentifizierung auch bei aktivem Passkey, für sensible Aktionen.

Praktische Konsequenz: Ein plattformübergreifender Tresor bleibt unverzichtbar, um Rest-Passwörter zu speichern und als einheitlicher Passkey-Anbieter außerhalb des Apple-Ökosystems zu dienen. Das Anti-Phishing-Versprechen der Passkeys hält (es ist eine kryptografische Eigenschaft von WebAuthn/FIDO2, keine Meinung), aber die Abdeckung ist noch nicht universell.

03 — Vorteile Passkeys vs. Passwörter

Kriterium	Passwörter	Passkeys
Merken	Master-Passwort + 2FA	Keines (Biometrie)
Phishing	Anfällig	Unmöglich per Design
Wiederverwendung	Menschliches Risiko	Keines (Schlüssel pro Website)
Server-Kompromittierung	Hash zu knacken	Unbrauchbar (kein Geheimnis gespeichert)
Brute Force	Möglich bei schwachem Master	Unmöglich (256-Bit-Zufallsschlüssel)
UX	Tippen + Autofill	Biometrisches Tippen
Mehrere Geräte	Sync über Manager	Sync über OS/Manager
Übertragung	Export/Import	Wird standardisiert

Passkeys gewinnen bei fast jedem Sicherheitskriterium. Passwörter behalten den Vorteil der totalen Portabilität und universellen Verfügbarkeit.

04 — NordPass + Passkeys: Die Gewinnerkombination 2026

Ein aufgeklappter Laptop auf einem Schreibtisch

NordPass und Bitwarden unterstützen Passkeys seit 2024. Du kannst also:

Deine Passkeys in NordPass speichern (oder Bitwarden) (statt in Apple Keychain oder Google Password Manager)
Über all deine Geräte synchronisieren (iOS, Android, Windows, macOS, Linux) per Zero-Knowledge-Verschlüsselung
Deine Passwörter behalten im selben Tresor für Websites, die noch keine Passkeys unterstützen
Schrittweise migrieren: Passkeys auf kompatiblen Websites aktivieren, Passwörter + 2FA bei anderen behalten

Großer Vorteil: Du vermeidest den Apple-only-Lock-in (Keychain funktioniert nicht auf Android) oder Google-only (Password Manager eingeschränkt auf iOS).

05 — So aktivierst du Passkeys jetzt

Bei Google: myaccount.google.com → Sicherheit → Passkeys und Sicherheitsschlüssel → Passkey erstellen.

Bei Apple ID: Einstellungen → [dein Name] → Anmelden & Sicherheit → Passkeys.

Bei Github: Settings → Password and authentication → Passkeys → Add a passkey.

Bei Microsoft: account.microsoft.com → Sicherheit → Erweiterte Sicherheitsoptionen → Passkeys.

Umstellungsstrategie:

Zuerst bei Google + Apple ID aktivieren (zentrale Konten)
Dann bei Github / Microsoft (wenn du Entwickler bist)
Dann bei PayPal / Amazon (Finanz-/E-Commerce-Konten)
Bitwarden-Passwort + 2FA TOTP überall als Fallback behalten

06 — Risiken und Grenzen von Passkeys

Geräteverlust: Wenn deine Passkeys nicht synchronisiert sind (Apple Keychain offline) und du dein iPhone verlierst, ist das Wiederherstellungsverfahren lang (oft: Rückgriff auf Passwort + 2FA per E-Mail/SMS). Daher der Wert eines plattformübergreifenden Managers wie NordPass oder Bitwarden.
Ökosystem-Lock-in: Apple, Google, Microsoft pushen ihre eigenen Passkey-Anbieter, um dich in ihrem Garten zu halten. Bitwarden bricht diesen Lock-in auf.
Ungleichmäßige Verbreitung: Solange die meisten Websites sie nicht unterstützen, brauchst du immer Passwörter. Bitwarden verwaltet beides.
Konto-Wiederherstellung: Wenn du all deine Geräte UND deine Bitwarden-Backups verlierst, ist es vorbei. Daher die Bedeutung verschlüsselter Manager-Backups (Tools → Export Vault).

07 — Fazit 2026

Passkeys sind besser als Passwörter bei fast jedem Sicherheitskriterium. Doch im Juni 2026 ist der Übergang noch teilweise: Die meisten großen Websites und die große Mehrheit der Nischenseiten hängen noch von Passwörtern ab.

Empfehlung: Setze auf eine Hybridstrategie:

✅ Passkeys überall aktiviert, wo möglich (Anti-Phishing, schnelle UX)
✅ NordPass Premium oder Bitwarden, um Passkeys UND Passwörter zu speichern (plattformübergreifend) — siehe unser Ranking der besten Passwort-Manager 2026, um den richtigen zu wählen
✅ TOTP-2FA bei kritischen Konten, die noch auf Passwort laufen
✅ Regelmäßige Manager-Backups (verschlüsselter Export)
✅ Für Konten, die noch auf Passwort laufen, prüfe deren aktuelle Stärke mit unserem Passwort-Stärke-Prüfer

In 5-10 Jahren können wir vom Ende der Passwörter sprechen. Nicht im Jahr 2026.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

NordPass Premium ansehen →Passkey-Anbieter seit 2024 · 1,49 €/Monat im 2-Jahres-Plan→

08 — Mehr zum Thema

Vollständiger NordPass-Test 2026
Bitwarden vs. 1Password
Öffentliche Methodik
Glossar Passwörter & Authentifizierung — Definitionen für Passkey, FIDO2, WebAuthn, TOTP, Phishing und mehr

Verbreitungsdaten: öffentliche passkeys.directory-Verzeichnisse und offizielle Ankündigungen der Anbieter (Google, Apple, Microsoft, GitHub usw.). Verbreitungsprozentsätze sind indikative Schätzungen, keine erschöpfenden Messungen.