Passkeys ersetzen das klassische Passwort durch ein kryptografisches Schlüsselpaar, das an dein Gerät und deine Biometrie gebunden ist. Statt dir ein Passwort zu merken, entsperrst du deinen Account per Fingerabdruck, Gesichtserkennung oder Geräte-PIN. 30 Prozent der Deutschen wurden 2025 laut Bitkom Opfer von Phishing-Angriffen. Passkeys machen genau diese Angriffsform technisch unmöglich. Trotzdem nutzen bisher nur 18 Prozent der Deutschen die neue Technik, obwohl 96 Prozent aller Geräte bereits passkey-fähig sind.
Wie funktionieren Passkeys technisch?
Hinter Passkeys steckt asymmetrische Public-Key-Kryptografie, der gleiche Mechanismus, der auch Online-Banking und sichere Websites absichert. Beim Erstellen eines Passkeys erzeugt dein Gerät ein Schlüsselpaar: einen privaten und einen öffentlichen Schlüssel.
Der private Schlüssel verlässt dein Gerät nie. Er wird im sicheren Speicherbereich deines Smartphones oder Laptops abgelegt, geschützt durch biometrische Daten oder deinen Geräte-PIN. Der öffentliche Schlüssel wird an den Dienst übermittelt, bei dem du dich registrierst.
Beim Login sendet der Server eine zufällige Aufgabe (Challenge) an dein Gerät. Dein Gerät signiert diese Aufgabe mit dem privaten Schlüssel, nachdem du dich per Fingerabdruck oder Gesichtserkennung identifiziert hast. Der Server prüft die Signatur mit dem öffentlichen Schlüssel. Stimmt alles überein, bist du eingeloggt.
Warum Phishing keine Chance hat
Der entscheidende Vorteil gegenüber Passwörtern: Passkeys sind kryptografisch an die Domain des Dienstes gebunden. Wenn du einen Passkey für google.com erstellst, funktioniert er ausschließlich auf google.com. Eine gefälschte Seite wie g00gle.com kann den Passkey nicht auslösen. Es gibt kein Geheimnis, das du versehentlich auf einer Phishing-Seite eintippen könntest, weil du gar nichts eintippst.
Passkeys basieren auf dem FIDO2/WebAuthn-Standard, der von der FIDO Alliance gemeinsam mit dem W3C entwickelt wurde. Hinter der Allianz stehen Apple, Google und Microsoft. Diese Dreier-Koalition sorgt dafür, dass Passkeys auf praktisch allen modernen Betriebssystemen funktionieren.
Passkeys vs. Passwörter: der direkte Vergleich
Die Login-Erfolgsrate mit Passkeys liegt bei 93 Prozent, bei Passwörtern nur bei 63 Prozent. Der Grund: vergessene Passwörter, Tippfehler und fehlgeschlagene Zwei-Faktor-Codes fallen komplett weg. Auch die Geschwindigkeit spricht eine klare Sprache.
| Eigenschaft | Passwort | Passkey |
|---|---|---|
| Phishing-Schutz | keiner (Eingabe auf Fake-Seite möglich) | vollständig (kryptografisch an Domain gebunden) |
| Login-Geschwindigkeit | durchschnittlich 30 Sekunden | ca. 10 Sekunden (3x schneller) |
| Erfolgsrate beim Login | 63 % | 93 % |
| Speicherort | Server-Datenbank (als Hash) | privater Schlüssel nur auf deinem Gerät |
| Wiederverwendung möglich | ja (häufig identisch bei mehreren Diensten) | nein (ein Schlüsselpaar pro Dienst) |
| Anfällig für Datenlecks | ja (gestohlene Hashes knackbar) | nein (öffentlicher Schlüssel nutzlos ohne Gerät) |
| Zwei-Faktor nötig | empfohlen | nein (Biometrie + Gerät = zwei Faktoren) |
Ein Passkey vereint zwei Sicherheitsfaktoren in einem Schritt: Besitz (dein Gerät) und Biometrie (dein Fingerabdruck oder Gesicht). Damit erfüllt er die Anforderungen an Multi-Faktor-Authentifizierung, ohne dass du einen separaten Code eingeben musst.
Welche Dienste unterstützen Passkeys?
48 Prozent der 100 meistgenutzten Websites bieten inzwischen Passkey-Unterstützung an. Die wichtigsten Plattformen haben den Wechsel bereits vollzogen oder aktiv eingeleitet.
Google war einer der Vorreiter: Über 800 Millionen Google-Konten nutzen bereits Passkeys. Seit 2024 ist der Passkey die bevorzugte Login-Methode für neue Konten. Microsoft ging im Mai 2025 noch einen Schritt weiter und machte Passkeys zum Standard für alle neuen Microsoft-Konten. Amazon zog mit 175 Millionen aktivierten Passkey-Konten nach. Apple integriert Passkeys seit iOS 16 und macOS Ventura tief ins Betriebssystem, synchronisiert über den iCloud-Schlüsselbund.
Auch im Alltag sind Passkeys angekommen: PayPal, eBay, LinkedIn und WhatsApp unterstützen die passwortlose Anmeldung. Im deutschen Bankensektor zeichnet sich ebenfalls ein Trend ab. Erste Institute testen Passkeys als Alternative zur klassischen TAN-Eingabe.
So richtest du einen Passkey ein
Die Einrichtung dauert selten länger als eine Minute. Am Beispiel eines Google-Kontos:
- Öffne die Kontoeinstellungen unter myaccount.google.com
- Navigiere zu "Sicherheit" und dann "Passkeys und Sicherheitsschlüssel"
- Tippe auf "Passkey erstellen"
- Dein Gerät fragt nach biometrischer Bestätigung (Fingerabdruck, Face ID oder Geräte-PIN)
- Fertig. Der Passkey wird automatisch gespeichert
Auf iOS landen Passkeys im iCloud-Schlüsselbund und synchronisieren sich über alle Apple-Geräte. Auf Android übernimmt der Google Passwort-Manager die Synchronisation. Unter Windows speichert Windows Hello den Passkey lokal auf dem Rechner.
Die meisten Dienste bieten die Passkey-Option unter Einstellungen, Sicherheit oder Login-Methoden an. Suche nach Begriffen wie "Passkey", "Passwortlos" oder "Sicherheitsschlüssel".
Was passiert bei Geräteverlust?
Die größte Sorge vieler Nutzer: Was, wenn das Smartphone kaputtgeht oder gestohlen wird? Die kurze Antwort: Passkeys gehen nicht verloren, solange du Cloud-Sync nutzt.
Auf Apple-Geräten synchronisiert der iCloud-Schlüsselbund deine Passkeys automatisch. Du meldest dich einfach auf einem neuen iPhone mit deiner Apple-ID an, und alle Passkeys sind wieder da. Google macht es auf Android-Geräten genauso über den Google Passwort-Manager. Voraussetzung ist in beiden Fällen, dass die Synchronisation aktiviert ist.
Zusätzlich empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), Passkeys auf mehreren Geräten zu registrieren. Wenn du für einen Dienst sowohl auf dem Smartphone als auch auf dem Laptop einen Passkey anlegst, hast du immer ein Backup. Fast alle Dienste, die Passkeys unterstützen, behalten außerdem das Passwort als Fallback-Option bei. Du kannst dich im Notfall also weiterhin klassisch einloggen.
CXP/CXF: Passkeys plattformübergreifend mitnehmen
Ein großes Problem wird 2026 gelöst: der plattformübergreifende Transfer von Passkeys. Bisher waren Passkeys im Apple-Ökosystem oder Google-Ökosystem eingesperrt. Das neue CXP/CXF-Format (Credential Exchange Protocol/Format) ermöglicht erstmals den sicheren Export und Import von Passkeys zwischen verschiedenen Plattformen und Passwortmanagern.
Apple wird mit iOS 26 die erste Plattform sein, die CXP/CXF unterstützt. Bitwarden ist der erste Drittanbieter, der den Standard implementiert. In der Praxis bedeutet das: Du kannst deine Passkeys von iCloud zu Bitwarden exportieren oder von einem Android-Gerät auf ein iPhone mitnehmen, ohne jeden Passkey einzeln neu erstellen zu müssen.
Warum zögern so viele?
44 Prozent der Deutschen geben an, Passkeys zu vertrauen. Nur 18 Prozent haben tatsächlich welche eingerichtet. Diese Lücke hat mehrere Gründe: Viele wissen schlicht nicht, dass ihre Geräte passkey-fähig sind. Andere fürchten den Kontrollverlust, weil sie keinen sichtbaren Code mehr eingeben. Und wieder andere scheuen den ersten Einrichtungsschritt, obwohl er weniger als eine Minute dauert.
Hinzu kommt, dass nicht alle Dienste Passkeys gleich prominent anbieten. Bei manchen findest du die Option nur tief in den Sicherheitseinstellungen. Google und Microsoft zeigen, wie es besser geht: Beide Unternehmen zeigen beim Login aktiv den Hinweis, dass ein Passkey verfügbar ist.
Fazit
Passkeys sind kein Experiment mehr, sondern eine ausgereifte Technologie, die Passwörter in Sicherheit und Komfort deutlich übertrifft. Die Einrichtung dauert eine Minute, der Login wird dreimal schneller und Phishing-Angriffe prallen technisch ab. Wer heute einen neuen Dienst einrichtet, sollte als erstes prüfen, ob Passkeys unterstützt werden. Für bestehende Konten bei Google, Microsoft, Apple, Amazon oder PayPal lohnt sich der Umstieg sofort: Kontoeinstellungen öffnen, Sicherheitsbereich aufrufen, Passkey erstellen. In wenigen Klicks ist das Passwort Geschichte.
