Inhaltsverzeichnis
Passwörter sind seit Jahrzehnten der Standard für die Anmeldung bei Onlinediensten – und seit ebenso langer Zeit eine der größten Schwachstellen im Web. Passkeys setzen genau hier an: Sie ersetzen das klassische Passwort durch ein kryptografisches Verfahren, das Phishing-Angriffe weitgehend neutralisiert und den Login-Prozess im Alltag deutlich vereinfacht. Gleichzeitig bringt die Technologie eigene Herausforderungen mit, etwa bei Gerätewechseln, der Synchronisierung und der Kontowiederherstellung. In diesem Beitrag erfährst du, wie Passkeys technisch funktionieren, wo sie heute schon sinnvoll einsetzbar sind und worauf du beim Umstieg achten solltest.
Wie Passkeys technisch funktionieren
Passkeys basieren auf asymmetrischer Kryptografie, konkret auf dem FIDO2/WebAuthn-Standard. Bei der Einrichtung eines Passkeys wird ein Schlüsselpaar generiert: Ein privater Schlüssel verbleibt auf deinem Gerät oder in einem kompatiblen Passkey-Manager, während der zugehörige öffentliche Schlüssel an den jeweiligen Onlinedienst übermittelt und dort gespeichert wird.
Beim Login-Vorgang sendet der Dienst eine sogenannte Challenge – eine einmalige, zufällig generierte Zeichenkette – an dein Gerät. Der private Schlüssel signiert diese Challenge, und der Dienst verifiziert die Signatur mithilfe des öffentlichen Schlüssels. Zu keinem Zeitpunkt wird ein Geheimnis wie ein Passwort übertragen. Der private Schlüssel verlässt dein Gerät nie, und selbst wenn die Serverdatenbank des Dienstes kompromittiert wird, ist der dort gespeicherte öffentliche Schlüssel für Angreifer wertlos.
Die Authentifizierung am Gerät selbst erfolgt über einen lokalen Mechanismus: Fingerabdruck, Gesichtserkennung, PIN oder das Gerätepasswort. Für dich fühlt sich der Vorgang an wie ein normales Entsperren des Smartphones oder Laptops. Im Hintergrund findet jedoch ein vollständiges kryptografisches Authentifizierungsverfahren statt, das erheblich robuster ist als die Übertragung eines statischen Passworts.
Warum Passkeys sicherheitstechnisch überlegen sind
Phishing-Resistenz durch Domain-Bindung
Der gravierendste Vorteil von Passkeys gegenüber klassischen Passwörtern liegt in ihrer inhärenten Phishing-Resistenz. Ein Passkey ist kryptografisch an die Domain des Dienstes gebunden, für den er erstellt wurde. Wenn du einen Passkey für example.com einrichtest, funktioniert dieser ausschließlich auf example.com – nicht auf examp1e.com, nicht auf example.com.attacker.net und nicht auf einer optisch perfekt nachgebauten Phishing-Seite.
Bei klassischen Passwörtern und selbst bei vielen Zwei-Faktor-Verfahren wie TOTP-Codes oder SMS-TANs kann eine gut gemachte Phishing-Seite die eingegebenen Daten in Echtzeit abfangen und an den echten Dienst weiterleiten. Passkeys machen diesen Angriffsvektor technisch unmöglich, weil die Domain-Prüfung automatisch durch den Browser oder das Betriebssystem erfolgt und nicht vom Nutzer abhängt.
Kein Credential-Reuse, keine Datenbank-Leaks
Ein zweites strukturelles Problem klassischer Passwörter ist die Wiederverwendung. Studien zeigen regelmäßig, dass ein erheblicher Anteil der Nutzer identische oder leicht abgewandelte Passwörter für mehrere Dienste verwendet. Wird einer dieser Dienste kompromittiert, sind sämtliche Konten mit demselben Passwort gefährdet – ein Szenario, das unter dem Begriff Credential Stuffing bekannt ist und in der Praxis massenhaft ausgenutzt wird.
Passkeys eliminieren dieses Risiko vollständig. Für jeden Dienst wird ein individuelles Schlüsselpaar erzeugt. Da beim Dienst nur der öffentliche Schlüssel liegt, lässt sich aus einem Datenbank-Leak weder der private Schlüssel rekonstruieren noch ein Passkey für einen anderen Dienst ableiten.
Synchronisierte vs. gerätegebundene Passkeys
Nicht alle Passkeys sind gleich. Für die praktische Nutzung ist die Unterscheidung zwischen synchronisierten und gerätegebundenen Passkeys entscheidend.
| Eigenschaft | Synchronisierte Passkeys | Gerätegebundene Passkeys |
| Speicherort | Cloud-Schlüsselbund (z. B. iCloud Keychain, Google Password Manager, 1Password, Bitwarden) | Einzelnes Gerät oder Hardware-Token (z. B. YubiKey) |
| Verfügbarkeit | Auf allen Geräten im selben Ökosystem oder Manager | Nur auf dem physischen Gerät, auf dem der Passkey erstellt wurde |
| Gerätewechsel | Neues Gerät wird über Sync automatisch eingebunden | Passkey muss neu erstellt oder über Backup-Mechanismus übertragen werden |
| Sicherheitsniveau | Abhängig von der Sicherheit des Sync-Dienstes | Höher, da kein Export des privaten Schlüssels möglich |
| Typischer Einsatz | Alltags-Logins, Consumer-Dienste, private Nutzung | Hochsicherheitsumgebungen, Unternehmens-IT, regulierte Bereiche |
Synchronisierte Passkeys sind für die meisten Privatpersonen und kleine Unternehmen die praxistauglichere Variante. Sie bieten einen guten Kompromiss aus Sicherheit und Komfort, weil der Verlust eines einzelnen Geräts nicht automatisch den Verlust aller Zugänge bedeutet. Gerätegebundene Passkeys eignen sich dort, wo maximale Kontrolle über das Schlüsselmaterial erforderlich ist und der höhere administrative Aufwand vertretbar ist.
Wo Passkeys heute schon sinnvoll einsetzbar sind
Passkeys entfalten ihren Nutzen vor allem bei Konten, die regelmäßig auf eigenen Geräten genutzt werden und deren Kompromittierung weitreichende Folgen hätte. Dazu zählen E-Mail-Konten, Cloud-Speicher, Zahlungsdienste, Hosting-Verwaltungsoberflächen und zentrale Arbeitstools. Gerade das E-Mail-Konto ist besonders schützenswert, weil es in der Regel als Recovery-Adresse für zahlreiche andere Dienste dient und damit zum Single Point of Failure wird.
Wer auf einem eingespielten Setup arbeitet – etwa einem MacBook und einem iPhone im selben iCloud-Schlüsselbund oder einem Android-Smartphone in Kombination mit Chrome und dem Google Password Manager – erlebt Passkeys als nahezu unsichtbar. Die Anmeldung reduziert sich auf einen biometrischen Scan oder eine kurze PIN-Eingabe. Kein Passwort eintippen, kein Authenticator-App öffnen, kein Einmalcode abwarten.
Wenn du Websites, E-Mail-Konten oder Kundenlogins verwaltest, solltest du Passkeys zumindest für die zentralen Zugänge in Betracht ziehen. Das Hosting-Panel, der Domain-Verwaltungsbereich und geschäftliche E-Mail-Konten sind typische Kandidaten, bei denen ein kompromittierter Login erheblichen Schaden anrichten kann.
Professionelle E-Mail mit deiner Wunschdomain
Erstelle deine persönliche Email Adresse mit easyname: Nutze deine eigene Domain (im ersten Jahr kostenfrei), verwalte deine Postfächer zentral und profitiere von integriertem Spam-Schutz. Einfach einzurichten, flexibel im Alltag.
Die realen Grenzen der Technologie
Geräteverlust und Wiederherstellung
Ein Passwort existiert als Information und kann im Notfall auf jedem Gerät eingegeben werden, solange du es kennst. Ein Passkey ist an ein Gerät, einen Schlüsselbund oder einen Passkey-Manager gebunden. Geht das Gerät verloren und es existiert kein synchronisierter Backup, wird der Zugriff auf die entsprechenden Konten zum Problem.
Die meisten Dienste bieten daher alternative Wiederherstellungswege an – Recovery-Codes, hinterlegte E-Mail-Adressen oder sekundäre Authentifizierungsmethoden. Diese Fallback-Optionen sind essenziell und sollten bei der Einrichtung von Passkeys immer mitgedacht und sicher dokumentiert werden. Ein Passkey ohne durchdachten Recovery-Plan ist kein Sicherheitsgewinn, sondern ein Risiko.
Login auf fremden Geräten
An einem fremden Rechner – etwa im Büro eines Kunden, an einem geteilten Arbeitsplatz oder im Internetcafé – ist ein Passkey nicht direkt verfügbar. Der FIDO2-Standard sieht für solche Fälle die Möglichkeit vor, das eigene Smartphone als Authenticator zu verwenden. Dabei wird per QR-Code oder Bluetooth eine Verbindung zwischen dem fremden Rechner und deinem Smartphone hergestellt. Technisch funktioniert das, in der Praxis ist der Ablauf aber spürbar umständlicher als das Eintippen eines Passworts.
Noch keine vollständige Ablösung von Passwörtern
Viele Dienste bieten Passkeys aktuell als zusätzliche Login-Methode an, ohne das bestehende Passwort zu deaktivieren. Das ist einerseits sinnvoll als Fallback, schwächt andererseits aber den Sicherheitsgewinn: Solange ein schwaches oder wiederverwendetes Passwort als alternativer Zugang aktiv bleibt, reduziert es den Schutz, den der Passkey bieten könnte. Wenn ein Dienst die Option bietet, das Passwort nach der Passkey-Einrichtung zu entfernen oder zumindest durch ein starkes, einzigartiges Passwort zu ersetzen, solltest du diese Möglichkeit nutzen.
Ökosystem-Abhängigkeit
Synchronisierte Passkeys funktionieren innerhalb eines Ökosystems reibungslos. Der Wechsel zwischen Ökosystemen – etwa von Apple zu Android oder umgekehrt – ist technisch möglich, aber noch nicht überall elegant gelöst. Plattformübergreifende Passkey-Manager wie 1Password, Bitwarden oder Dashlane entschärfen dieses Problem zunehmend, indem sie als ökosystemunabhängige Schicht fungieren. Wer Geräte aus verschiedenen Welten nutzt, sollte auf einen solchen Manager setzen, statt sich ausschließlich auf den nativen Schlüsselbund eines Betriebssystems zu verlassen.
Wann der Umstieg sinnvoll ist
Der Wechsel zu Passkeys muss nicht als Alles-oder-Nichts-Entscheidung betrachtet werden. Ein pragmatischer Ansatz besteht darin, mit den wichtigsten Konten zu beginnen: dem E-Mail-Konto, dem Hosting-Panel, dem Cloud-Speicher und Diensten mit Zahlungsdaten. So sammelst du Erfahrung mit der Technologie, ohne sofort alle Logins umzustellen, und kannst gleichzeitig prüfen, ob dein Setup – Geräte, Schlüsselbund, Wiederherstellungsoptionen – zuverlässig funktioniert.
Wenn du überwiegend auf eigenen Geräten arbeitest und ein konsistentes Setup hast, ist der Zeitpunkt für den Umstieg bereits jetzt günstig. Die Unterstützung durch Betriebssysteme, Browser und Dienste hat 2024 und 2025 deutlich zugenommen, und die relevanten Passwort-Manager unterstützen Passkeys mittlerweile als Standardfunktion.
Vorsichtiger solltest du vorgehen, wenn du häufig auf wechselnden oder fremden Geräten arbeitest, mehrere Personen Zugriff auf dieselben Konten benötigen oder dein Wiederherstellungskonzept noch nicht steht. In diesen Fällen ist ein schrittweiser Umstieg mit parallelem Passwort-Fallback die sicherere Variante.
Was das für deine Web-Infrastruktur bedeutet
Gerade wenn du Websites betreibst, E-Mail-Konten verwaltest oder Kundenprojekte hostest, ist die Absicherung deiner zentralen Zugänge keine Nebensache. Ein kompromittiertes Hosting-Panel oder ein gekapertes E-Mail-Konto kann erhebliche Folgeschäden verursachen – vom Datenverlust bis zur Rufschädigung.
Passkeys sind ein Baustein in einer umfassenden Sicherheitsstrategie. Sie ersetzen keine regelmäßigen Backups, keine saubere Rechteverwaltung und keine durchdachte Infrastruktur. Aber sie beseitigen einen der ältesten und häufigsten Angriffsvektoren: das schwache, wiederverwendete oder per Phishing abgegriffene Passwort.
Wenn du deine Web-Infrastruktur professionell aufbauen oder absichern willst, bietet easyname die passende Grundlage. Mit Domains, Webhosting, E-Mail-Adressen und VPS Servern lässt sich ein Setup umsetzen, das nicht nur technisch solide ist, sondern auch administrativ beherrschbar bleibt. Für WordPress-Projekte steht optimiertes WordPress Hosting zur Verfügung, und wer eine Website ohne Programmierkenntnisse erstellen möchte, findet im Website-Baukasten einen effizienten Einstieg. Die Absicherung der Logins zu diesen Diensten – ob per Passkey, starkem Passwort oder Zwei-Faktor-Authentifizierung – bleibt dabei in deiner Hand und sollte zu den ersten Maßnahmen gehören, die du bei der Einrichtung triffst.
Fazit
Passkeys lösen ein Problem, das Passwörter seit ihrer Existenz begleitet: Sie sind nur so sicher wie das Verhalten des Nutzers. Indem Passkeys das Geheimnis aus dem Login-Prozess entfernen und die Authentifizierung kryptografisch an Gerät und Domain binden, beseitigen sie die häufigsten Angriffsvektoren – Phishing, Credential Stuffing und die Wiederverwendung schwacher Passwörter.
Gleichzeitig sind Passkeys kein Selbstläufer. Sie funktionieren am besten in einem durchdachten Setup mit klarer Synchronisierungsstrategie und dokumentierten Wiederherstellungswegen. Wer diese Voraussetzungen schafft, gewinnt nicht nur an Sicherheit, sondern auch an Komfort. Wer sie ignoriert, tauscht ein bekanntes Problem gegen ein neues.
Der Umstieg lohnt sich heute vor allem dort, wo der Schaden bei einem kompromittierten Login am größten wäre: bei zentralen Konten, geschäftlichen Zugängen und überall dort, wo ein einzelnes Passwort bisher die letzte Verteidigungslinie war.
Deine perfekte Domain — mit nur einem Klick
Du willst online durchstarten? Bei easyname findest du über 480 Domain-Endungen — von klassischen .com und .at bis zu kreativen Spezialdomains. Finde in Sekunden deine Wunschadresse, sicher dir deinen Namen und mach dein Projekt sichtbar.
E-Mail-Login leicht gemacht: Unsere meistgesuchten Anleitungen
Der Weg ins Postfach sollte schnell und unkompliziert sein – doch manchmal hakt es beim Login. In unseren Schritt-für-Schritt-Guides erfährst du, wie du dich zuverlässig beim GMX Login anmeldest, den A1 Webmail-Zugang nutzt oder Probleme beim Hotmail Login löst – inklusive Hilfe bei Störungen, vergessenen Passwörtern und Kontoeinstellungen.
Auch für alle, die Microsoft-Dienste nutzen, haben wir die passende Anleitung: Unser Ratgeber zum Office 365 Login zeigt dir, wie du dich schnell bei Microsoft 365 anmeldest und typische Login-Probleme behebst.
WhatsApp
