Du meldest dich an, indem du auf dein Telefon blickst — kein getipptes Passwort, nichts zu vergessen, nichts abzuphishen. Das ist ein Passkey, und 2026 ist es die Technologie, die das Passwort still ersetzt. Dieser Leitfaden erklärt klar, was ein Passkey ist, wie er funktioniert, warum er sicherer ist als ein Passwort und wie du deine Passkeys auf all deinen Geräten verfügbar hältst.
Was ein Passkey ist
Ein Passkey ersetzt dein Passwort durch ein kryptografisches Schlüsselpaar. Wenn du einen Passkey für eine Seite erstellst, erzeugt dein Gerät zwei Schlüssel:
- einen privaten Schlüssel, der nie dein Gerät verlässt, geschützt durch dein Gesicht, deinen Fingerabdruck oder deine PIN;
- einen öffentlichen Schlüssel, den die Website speichert.
Zum Anmelden sendet die Seite eine einmalige Aufforderung; dein Gerät signiert sie mit dem privaten Schlüssel und sendet die Signatur zurück. Die Seite überprüft sie mit dem öffentlichen Schlüssel. Du tippst oder überträgst nie ein Geheimnis — du genehmigst einfach mit deiner Biometrie. Es ist etwas, das du hast (das Gerät, das den Schlüssel hält) plus etwas, das du bist (deine Biometrie).
Passkey vs. Passwort
Ein Passwort ist ein geteiltes Geheimnis: Du und die Seite haltet es beide, du tippst es ein, und jeder, der es stiehlt, abphisht oder errät, wird zu dir. Ein Passkey ist ein Schlüsselpaar: Die private Hälfte bleibt auf deinem Gerät und wird nie gesendet, und die Seite behält nur die für Diebe nutzlose öffentliche Hälfte.
| Passwort | Passkey | |
|---|---|---|
| Geheimnis auf Server gespeichert | Ja (gehasht) | Nein — nur ein öffentlicher Schlüssel |
| Phishbar | Ja | Nein (an die echte Domain gebunden) |
| Über Seiten hinweg wiederverwendbar | Oft (schlecht) | Nie — pro Seite einzigartig |
| Du musst es dir merken | Ja | Nein |
Für die übergeordnete Gewohnheit, in die er passt, siehe was ist ein Passwort-Manager und was ist eine Passphrase.
Warum Passkeys sicherer sind
- Kein geteiltes Geheimnis — ein Server-Einbruch gibt nur öffentliche Schlüssel preis, die niemanden anmelden können. Die endlose Parade von Passwort-Datenbank-Leaks hört einfach auf, eine Rolle zu spielen.
- Phishing-resistent — ein Passkey ist an die exakte Website-Domain gebunden, sodass eine täuschend ähnliche Phishing-Seite deinen echten Passkey nicht auslösen kann. Das ist der große Punkt, da Phishing selbst starke Passwörter besiegt. (Siehe was ist Phishing.)
- Nichts Wiederverwendbares wird gesendet — Credential Stuffing und Passwort-Wiederverwendung, die Ursache der meisten Kontoübernahmen, greifen nicht mehr.
Wie Passkeys gespeichert und synchronisiert werden
Deine privaten Schlüssel leben auf deinen Geräten, aber sie synchronisieren meist, sodass du nicht an ein einziges Gerät gebunden bist:
- Plattform-Synchronisierung — Apple iCloud-Schlüsselbund, Google Passwortmanager, Microsoft — praktisch, wenn du in einem Ökosystem lebst.
- Ein plattformübergreifender Passwort-Manager — speichert deine Passkeys und synchronisiert sie über iPhone, Android, Windows, Mac und Browser, sodass du nicht an einen einzigen Anbieter gebunden bist und ein wiederherstellbares Zuhause für sie hast.
Die Fragen der Ökosystem-Bindung und Wiederherstellung sind die wichtigste praktische Reibung bei Passkeys — und ein plattformübergreifender Manager ist die sauberste Antwort.
Speichere deine Passkeys auf jedem Gerät → BitwardenOpen Source · Plattformübergreifende Passkey-Speicherung (iPhone, Android, Windows, Mac, Browser) · Zero-Knowledge-Tresor mit 2FA→Wo du Passkeys nutzen kannst
Die Verbreitung ist 2026 breit — Google, Apple, Microsoft, Amazon, PayPal und viele Banken unterstützen Passkeys, mit nativer Handhabung in den großen Browsern und Betriebssystemen. Viele kleinere Seiten nutzen noch Passwörter, also ist das realistische Setup hybrid: Nutze Passkeys, wo immer angeboten, und einen Passwort-Manager mit starker 2FA für den Rest. Um tiefer in Einrichtung und Vergleich einzusteigen, siehe Passkeys vs. Passwörter und Passkeys auf Google, Apple & Microsoft einrichten.
Das Fazit
Ein Passkey meldet dich mit einem privaten Schlüssel auf deinem Gerät an, entsperrt durch dein Gesicht oder deinen Fingerabdruck, statt durch ein Geheimnis, das du tippst. Weil es kein geteiltes Geheimnis gibt und Passkeys an die echte Seite gebunden sind, besiegen sie Phishing, Credential Stuffing, Wiederverwendung und Datenbank-Leaks in einem Zug. Nutze Passkeys überall, wo sie angeboten werden, speichere sie in einem plattformübergreifenden Manager, damit du nie gebunden bist, und behalte einen Passwort-Manager mit 2FA für die Seiten, die noch nicht aufgeholt haben.
Redaktioneller Leitfaden auf Basis des dokumentierten FIDO2/WebAuthn-Passkey-Modells (geräteeigener privater Schlüssel, Public-Key-Verifizierung, Domain-Bindung). Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann ohne Mehrkosten für dich anfallen.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Sichere deine Konten ab → NordPassStarke, einzigartige Passwörter · Leck-Scanner · Gratis-Tarif→
