Kurze Antwort: Ja, Passkeys sind sicher — und gegen die Angriffe, die tatsächlich Konten übernehmen, sind sie deutlich sicherer als Passwörter. Aber „sicher" heißt nicht „nichts zu bedenken". Die Risiken verschieben sich nur von dem, was du nicht kontrollieren kannst (eine gehackte Website), zu dem, was du kontrollierst (dein Gerät, dein Sync, deine Wiederherstellung). Dieser Leitfaden erklärt genau, wo Passkeys stark sind, wo die echten Risiken liegen und wie du sie so nutzt, dass sie sicher bleiben.
Warum Passkeys von Natur aus sicher sind
Ein Passkey ersetzt dein Passwort durch ein kryptografisches Schlüsselpaar. Dein Gerät behält einen privaten Schlüssel, der es nie verlässt; die Website speichert nur einen öffentlichen Schlüssel. Zum Anmelden signiert dein Gerät eine einmalige Challenge — du tippst und überträgst nie ein Geheimnis. Diese eine Designentscheidung beseitigt die häufigsten Wege, auf denen Konten fallen:
- Kein geteiltes Geheimnis zum Phishen. Ein Passkey ist an die exakte Website-Domain gebunden, sodass eine täuschend ähnliche Phishing-Seite deinen echten Passkey buchstäblich nicht auslösen kann. Das ist das Entscheidende, denn Phishing schlägt selbst starke Passwörter. (Siehe was ist Phishing.)
- Keine Passwort-Datenbank zum Leaken. Wird eine Website gehackt, leakt sie nur öffentliche Schlüssel — für einen Angreifer nutzlos. Die endlose Parade von Credential-Leaks ist für dieses Konto schlicht bedeutungslos.
- Nichts Wiederverwendbares wird gesendet. Credential Stuffing und Passwort-Wiederverwendung — die Ursache der meisten Kontoübernahmen — greifen nicht mehr, weil es kein wiederverwendbares Geheimnis zum Abgreifen gibt.
Für den direkten Vergleich siehe Passkeys vs Passwörter.
Was kann also schiefgehen?
Die Schwachstelle ist nicht die Kryptografie — es ist die Logistik. Hier die ehrliche Risikoliste:
- Ein vollständig kompromittiertes Gerät. Läuft Malware oder ein Keylogger bereits mit tiefem Zugriff auf deinem Telefon oder Laptop, kann er nach dem Entsperren möglicherweise eine Sitzung missbrauchen. Passkeys schützen die Anmeldung; sie reparieren kein bereits vergiftetes Gerät. Halte dein Betriebssystem aktuell und meide Apps abseits des Stores.
- Dein entsperrtes Gerät in den falschen Händen. Ein Passkey wird durch deine Biometrie oder Geräte-PIN entsperrt. Jemand mit deinem Telefon und deiner PIN könnte eine Anmeldung bestätigen. Eine nicht-triviale PIN und biometrische Sperre schließen das Meiste davon.
- Die einzige Kopie verlieren. Ist ein Passkey gerätegebunden und nicht synchronisiert, kann ein verlorenes oder defektes Gerät den Verlust des Zugriffs auf dieses Konto bedeuten.
- Vertrauen in den Sync. Synchronisierte Passkeys sind nur so sicher wie das Konto, über das sie synchronisieren. Ein schwach geschütztes Apple-, Google- oder Manager-Konto wird zum neuen Single Point of Failure — daher braucht dieses Konto ein eigenes starkes Master-Passwort und 2FA.
Beachte: Bei keinem dieser Punkte geht es darum, die Verschlüsselung zu brechen — es geht um Gerätehygiene und Wiederherstellung. Das ist eine viel kleinere, besser kontrollierbare Fläche als „jede der Hunderten Websites, die mein Passwort halten, könnte gehackt werden".
Passkeys vs Passwort + 2FA
Oft wird gefragt, ob ein Passkey wirklich sicherer ist als ein starkes Passwort mit Zwei-Faktor-Authentifizierung. Für die meisten Konten: ja.
| Passwort + 2FA | Passkey | |
|---|---|---|
| Auf Fake-Seite phishbar | Ja (Passwort und sogar Codes) | Nein — an echte Domain gebunden |
| Server speichert nutzbares Geheimnis | Ja (gehashtes Passwort) | Nein — nur einen öffentlichen Schlüssel |
| Anfällig für SIM-Swapping | Bei SMS-Codes | Nein |
| Schritte, die du ausführst | Passwort tippen, dann Code bestätigen | Ein biometrisches Tippen |
Ein Passkey vereint faktisch etwas, das du hast (dein Gerät), mit etwas, das du bist (deine Biometrie) in einem einzigen, phishing-resistenten Schritt — deshalb gilt er als stärkere Form der Multi-Faktor-Anmeldung, nicht als Abkürzung. Wo SMS-2FA im Spiel ist, ist der Abstand noch größer, da Codes SIM-Swapping-Angriffen ausgesetzt sind.
So hältst du deine Passkeys in der Praxis sicher
- Sperre dein Gerät richtig — Biometrie an, eine starke PIN, automatische Sperre, aktuelles Betriebssystem.
- Synchronisiere über ein wiederherstellbares Zuhause. Passkeys in einem plattformübergreifenden Passwort-Manager zu speichern bedeutet, dass sie nicht auf einem Gerät oder in einem Ökosystem gefangen sind, mit einem klaren Wiederherstellungsweg bei Verlust des Telefons.
- Schütze das Sync-Konto. Was auch immer deine Passkeys hält — Apple, Google oder ein Manager — braucht ein starkes, einzigartiges Master-Passwort und eine eigene 2FA.
- Halte eine Backup-Anmeldung bereit. Registriere für wichtige Konten einen zweiten Passkey (oder Wiederherstellungscodes), damit ein einzelnes verlorenes Gerät dich nie aussperrt.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Ein Manager mit integrierter 2FA & Passkeys → NordPassTOTP & Passkeys speichern · XChaCha20-Verschlüsselung · Zero-Knowledge-Tresor · Gratis-Tarif→Fazit
Sind Passkeys sicher? Ja — und gegen Phishing, Credential Stuffing, Wiederverwendung und Datenbank-Leaks sind sie sicherer als jedes Passwort, das du wählen könntest. Die verbleibenden Risiken sind nicht kryptografisch; sie betreffen dein Gerät und deine Wiederherstellung: Sperre dein Gerät, synchronisiere deine Passkeys über ein geschütztes, wiederherstellbares Konto und halte eine Backup-Anmeldung für die Konten bereit, die zählen. Tu das, und Passkeys sind nicht nur sicher — sie sind die sicherste Alltagsanmeldung, die es 2026 gibt.
Redaktioneller Leitfaden auf Basis des dokumentierten FIDO2/WebAuthn-Passkey-Modells (gerätegebundener privater Schlüssel, Verifizierung per öffentlichem Schlüssel, Domain-Bindung) und üblicher Praxis der Kontosicherheit. Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann ohne Mehrkosten für dich anfallen.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Sichere deine Konten ab → NordPassStarke, einzigartige Passwörter · Leck-Scanner · Gratis-Tarif→Häufig gestellte Fragen
Sind Passkeys wirklich sicher?
Ja — gegen die Bedrohungen, die die meisten Konten übernehmen, sind Passkeys sicherer als Passwörter. Ein Passkey ist ein kryptografisches Schlüsselpaar: Der private Schlüssel bleibt auf deinem Gerät und wird nie an die Website gesendet, die nur einen öffentlichen Schlüssel speichert. Es gibt kein geteiltes Geheimnis zum Phishen, keine Passwort-Datenbank zum Leaken und nichts Wiederverwendbares, das man in andere Logins einschleusen könnte. Die verbleibenden Risiken betreffen nicht die Kryptografie, sondern die Logistik: Geräteverlust, Vertrauen in den Sync-Ort und Kontowiederherstellung. Das ist beherrschbar und weit kleiner als die Passwort-Risiken, die sie ersetzen.
Kann ein Passkey gehackt oder gestohlen werden?
Der private Schlüssel eines Passkeys lässt sich nicht wie ein Passwort von dir phishen, weil er das Gerät nie verlässt und an die exakte Website-Domain gebunden ist — eine gefälschte Login-Seite kann ihn nicht auslösen. Es gibt auch kein serverseitiges Geheimnis, das bei einem Leak gestohlen werden könnte; eine gehackte Website leakt nur nutzlose öffentliche Schlüssel. Die realistische Angriffsfläche ist ein vollständig kompromittiertes Gerät mit bereits laufender Malware oder jemand mit deinem entsperrten Telefon und dessen PIN. Starke Gerätesicherheit (Biometrie, eine nicht-triviale PIN, ein aktuelles Betriebssystem) schließt fast diese ganze Lücke.
Was passiert mit meinen Passkeys, wenn ich mein Telefon verliere?
Das hängt davon ab, wo sie liegen. Die meisten Passkeys synchronisieren über einen Anbieter — Apple iCloud Keychain, Google Password Manager oder einen plattformübergreifenden Passwort-Manager — sodass die Anmeldung an diesem Konto auf einem neuen Gerät sie wiederherstellt. Ist ein Passkey gerätegebunden und nicht synchronisiert, kann der Verlust des Geräts den Verlust dieses Passkeys bedeuten — deshalb sollte jedes Konto auch eine Backup-Anmeldemethode oder Wiederherstellungscodes haben. Passkeys in einem wiederherstellbaren, plattformübergreifenden Manager zu speichern verhindert, dass ein einziges verlorenes oder defektes Gerät dich aussperrt.
Ist ein Passkey sicherer als ein Passwort mit 2FA?
In den meisten Fällen ja. Ein Passwort plus ein SMS- oder App-Code sind zwei Geheimnisse, die du weiterhin eintippst oder bestätigst, und beide lassen sich auf einer überzeugenden Fake-Seite phishen — und SMS-Codes sind SIM-Swapping-Angriffen ausgesetzt. Ein Passkey ist von Natur aus phishing-resistent: Er funktioniert nur auf der echten Domain und überträgt nichts Wiederverwendbares. Er vereint faktisch etwas, das du hast (dein Gerät), und etwas, das du bist (deine Biometrie), in einem Schritt — deshalb behandeln Sicherheitsteams Passkeys als stärkere Form der Multi-Faktor-Authentifizierung, nicht als schwächere Abkürzung.
Ist es sicher, Passkeys in einem Passwort-Manager zu speichern?
Ja, und es ist oft die sicherste praktische Wahl. Ein seriöser Passwort-Manager speichert deine Passkeys in einem Zero-Knowledge-, Ende-zu-Ende-verschlüsselten Tresor, synchronisiert sie über all deine Geräte und gibt ihnen ein einziges wiederherstellbares Zuhause, statt sie verstreut oder an ein einzelnes Ökosystem gebunden zu lassen. Schütze diesen Tresor mit einem starken, einzigartigen Master-Passwort und 2FA, und du erhältst die Phishing-Resistenz von Passkeys plus einen klaren Wiederherstellungsweg, falls ein Gerät verloren geht.
