Passkeys vs. 2FA – Brauche ich noch Passwort + zweiten Faktor?
Zwei-Faktor-Authentifizierung (2FA) gilt seit Jahren als Standard für sichere Logins. Doch Passkeys stellen das Konzept grundlegend in Frage: Warum zwei separate Schritte, wenn ein einzelner phishing-resistenter Schritt sicherer ist?
Kurz erklärt:
- Klassische 2FA: Passwort (Faktor 1) + Code/Push (Faktor 2) – zwei Schritte, beide können einzeln angegriffen werden.
- Passkey: Gerät (Besitz) + Fingerabdruck/PIN (Inhärenz/Wissen) – ein Schritt, phishing-resistent.
- Passkeys bieten mehr Sicherheit bei weniger Aufwand als die meisten 2FA-Kombinationen.
Was ist 2FA und warum wurde sie eingeführt?
Zwei-Faktor-Authentifizierung (2FA) wurde eingeführt, weil Passwörter allein nicht sicher genug sind. Die Idee: Selbst wenn ein Angreifer Ihr Passwort kennt, braucht er zusätzlich einen zweiten Faktor – einen SMS-Code, einen Authenticator-Code oder eine Push-Bestätigung.
Im Kern kombiniert klassische 2FA immer zwei Schritte: Zuerst geben Sie etwas ein, das Sie wissen (Passwort), dann bestätigen Sie mit etwas, das Sie haben (Smartphone) oder das Sie sind (Fingerabdruck). Beide Schritte zusammen sollen sicherstellen, dass wirklich Sie sich anmelden.
2FA war und ist ein erheblicher Sicherheitsfortschritt gegenüber der reinen Passwort-Anmeldung. Aber nicht jede 2FA-Methode ist gleich stark – und alle klassischen 2FA-Varianten teilen eine strukturelle Schwäche: Der erste Faktor (das Passwort) bleibt ein geteiltes Geheimnis, das gestohlen werden kann.
Wo 2FA stark ist
2FA verdient ihren guten Ruf. In vielen Szenarien schützt sie wirksam vor Kontomissbrauch.
Schutz bei geleakten Passwörtern
Wenn Ihr Passwort bei einem Datenbank-Leak auftaucht, verhindert 2FA, dass ein Angreifer sich damit anmelden kann. Er bräuchte zusätzlich Ihren zweiten Faktor.
Schutz vor einfachem Credential Stuffing
Automatisierte Angriffe, die gestohlene Passwörter bei anderen Diensten ausprobieren, scheitern an 2FA. Der Angreifer hat das Passwort, aber nicht den zweiten Faktor.
Schutz vor Schulter-Surfen
Wenn jemand Ihnen beim Eingeben des Passworts über die Schulter schaut, reicht das allein nicht für einen Login – der zweite Faktor fehlt.
Bewährte Technologie
2FA ist weit verbreitet, gut verstanden und wird von praktisch allen wichtigen Diensten unterstützt. Es ist ein etablierter Sicherheitsstandard.
Wo 2FA Schwächen hat
Trotz ihrer Stärken hat klassische 2FA strukturelle Schwächen, die von modernen Angreifern gezielt ausgenutzt werden.
Echtzeit-Phishing (Adversary-in-the-Middle)
Moderne Phishing-Kits leiten den Nutzer auf eine täuschend echte Fake-Seite. Der Nutzer gibt Passwort und 2FA-Code ein. Das Phishing-Kit leitet beides in Echtzeit an den echten Dienst weiter und übernimmt die Session. Weder SMS-Code noch Authenticator-App schützen dagegen.
SMS-Schwächen
SMS-Codes können durch SIM-Swap-Angriffe, SS7-Schwachstellen oder Social Engineering beim Mobilfunkanbieter abgefangen werden. Diese Angriffe sind dokumentiert und kommen regelmäßig vor – besonders bei gezielten Angriffen auf Einzelpersonen.
MFA-Fatigue bei Push-Benachrichtigungen
Angreifer lösen wiederholt Push-Anfragen zur Anmeldebestätigung aus, bis der Nutzer aus Frustration oder Versehen bestätigt. Dieser Angriff wurde unter anderem beim Uber-Hack 2022 erfolgreich eingesetzt.
Reibung im Alltag
2FA erfordert zwei separate Schritte bei jedem Login: Passwort eingeben, dann Code abtippen oder Push bestätigen. Das kostet Zeit, besonders bei häufigen Anmeldungen. Die Folge: Manche Nutzer deaktivieren 2FA aus Bequemlichkeit – was die Sicherheit komplett aufhebt.
„Mit 2FA bin ich vor Phishing geschützt." – Das stimmt nur für phishing-resistente 2FA-Methoden wie Passkeys und FIDO2-Hardware-Keys. Klassische 2FA mit SMS-Code oder Authenticator-App schützt nicht vor modernem Echtzeit-Phishing.
Wie Passkeys zwei Faktoren in einem Schritt vereinen
Ein Passkey ist technisch betrachtet bereits Multi-Faktor-Authentifizierung – in einem einzigen, nahtlosen Schritt.
Klassische 2FA: 2 separate Schritte
Passwort eingeben (Wissen)
Code eingeben / Push bestätigen (Besitz)
Beide Schritte können einzeln angegriffen werden. Passwort: Phishing. Code: Echtzeit-Phishing, SIM-Swap.
Passkey: 2 Faktoren in 1 Schritt
Fingerabdruck / Face ID / PIN
Entsperrt den privaten Schlüssel auf Ihrem Gerät
Faktor 1: Besitz (Gerät mit privatem Schlüssel)
Faktor 2: Inhärenz (Fingerabdruck) oder Wissen (PIN)
Kein Geheimnis wird übertragen. Domain-gebunden. Phishing-resistent.
Passkeys sind nicht „weniger sicher, weil sie nur ein Schritt sind". Sie sind sicherer, weil sie die Schwachstellen der klassischen 2FA eliminieren: kein Passwort zum Phishen, kein Code zum Abfangen, keine Push-Benachrichtigung zum Erschöpfen.
Vergleichstabelle: 7 Kriterien
Direkter Vergleich: Passwort + SMS-Code, Passwort + Authenticator-App, Passwort + Push und Passkey allein.
| Kriterium | PW + SMS | PW + Auth-App | PW + Push | Passkey |
|---|---|---|---|---|
| Phishing-resistent | Nein | Nein | Nein | Ja |
| Schutz vor SIM-Swap | Nein | Ja | Ja | Ja |
| Schutz vor MFA-Fatigue | – | Ja | Nein | Ja |
| Schutz bei Server-Leak | Teilweise | Teilweise | Teilweise | Hoch |
| Anzahl Login-Schritte | 2 | 2 | 2 | 1 |
| Bedienkomfort | Niedrig | Mittel | Mittel | Sehr hoch |
| Zusätzliche Hardware/App nötig | Nein | Ja (App) | Ja (App) | Nein |
Praxisempfehlung: Wann umsteigen?
Der Umstieg von 2FA auf Passkeys muss nicht abrupt erfolgen. Eine pragmatische Strategie in drei Schritten:
Sofort: Passkeys einrichten, wo verfügbar
Beginnen Sie mit den Diensten, die Passkeys bereits anbieten: Google, Microsoft, Apple, Amazon, PayPal, GitHub. Richten Sie den Passkey ein und behalten Sie 2FA zunächst als Fallback.
Übergang: 2FA für Dienste ohne Passkey beibehalten
Wo Passkeys noch nicht unterstützt werden, bleibt 2FA die beste verfügbare Option. Nutzen Sie eine Authenticator-App (nicht SMS) und warten Sie, bis der Dienst Passkeys anbietet.
Langfristig: Passkeys als Standard
Mit zunehmender Passkey-Unterstützung wird die klassische 2FA immer seltener benötigt. Prüfen Sie regelmäßig, ob Dienste, die Sie nutzen, Passkeys hinzugefügt haben – die Verbreitung wächst schnell.
Deaktivieren Sie 2FA bei einem Dienst erst, nachdem der Passkey auf mindestens zwei Geräten getestet wurde. So haben Sie immer einen Zugangsweg, falls ein Gerät ausfällt.
Weiterlesen im Passkeys-Ratgeber
Häufige Fragen: Passkeys vs. 2FA
Ja. Ein Passkey ist phishing-resistent und erfordert physischen Zugang zum Gerät. SMS-Codes können durch SIM-Swap, Phishing oder Netzwerk-Abfangen kompromittiert werden. Der Passkey vereint Besitz (Gerät) und Inhärenz (Fingerabdruck) oder Wissen (PIN) in einem einzigen, sichereren Schritt.
Ein Passkey vereint zwei Faktoren in einem Schritt: Besitz (das Gerät mit dem privaten Schlüssel) und Inhärenz (Fingerabdruck/Face ID) oder Wissen (PIN). Viele Sicherheitsexperten und Dienste betrachten einen Passkey daher als gleichwertig oder stärker als klassische 2FA.
Wenn der Dienst den Passkey als primäre Anmeldemethode akzeptiert, wird die klassische 2FA für diesen Dienst überflüssig. Behalten Sie 2FA als Fallback, bis Sie sicher sind, dass der Passkey auf mindestens zwei Geräten funktioniert. Bei Diensten ohne Passkey-Unterstützung bleibt 2FA weiterhin wichtig.
Eine Authenticator-App erzeugt zeitbasierte Einmalcodes (TOTP), die manuell eingegeben werden. Diese Codes sind nicht an eine Website-Domain gebunden und können auf Phishing-Seiten eingegeben werden. Ein Passkey ist kryptografisch an die echte Domain gebunden und erfordert keine manuelle Codeeingabe – die Authentifizierung erfolgt automatisch nach der lokalen Freigabe.
SMS-Codes können abgefangen werden: durch SIM-Swap (Angreifer übernimmt Ihre Rufnummer), durch SS7-Schwachstellen im Mobilfunknetz oder durch Social Engineering beim Mobilfunkanbieter. Zudem kann ein Nutzer den Code auf einer gefälschten Login-Seite eingeben. SMS-2FA ist besser als kein zweiter Faktor, aber die schwächste Form der 2FA.
Bei manchen Diensten ja. Einige Anbieter erlauben Passkey plus zusätzlichen zweiten Faktor für besonders sensible Aktionen. In der Regel ist das aber nicht nötig, weil ein Passkey bereits zwei Faktoren in sich vereint. Für die meisten Nutzer bietet ein Passkey allein ein höheres Sicherheitsniveau als Passwort + 2FA.
Die bestehende 2FA-Einrichtung bleibt in der Regel erhalten, bis Sie sie manuell deaktivieren. Sie können den Passkey einrichten und die 2FA zunächst als Backup behalten. Manche Dienste deaktivieren 2FA automatisch, wenn ein Passkey als primäre Methode gesetzt wird.
In den meisten Szenarien ist ein Passkey allein sicherer. Der Grund: Ein Passkey ist phishing-resistent und erfordert physischen Zugang zum Gerät. Ein starkes Passwort plus Authenticator-App kann trotzdem durch Phishing kompromittiert werden, weil der Nutzer sowohl Passwort als auch TOTP-Code auf einer gefälschten Seite eingeben kann.
Für alle, die ihre Konten besser schützen und gleichzeitig den Login-Prozess vereinfachen möchten. Besonders sinnvoll ist der Wechsel für Konten mit hohem Schutzbedarf: E-Mail, Cloud-Speicher, Banking, Admin-Zugänge. Aber auch für alltägliche Konten bieten Passkeys eine bessere Kombination aus Sicherheit und Komfort.
Login-Sicherheit der nächsten Generation
WIMARO Networks setzt auf phishing-resistente Authentifizierung in jedem Projekt. Moderne Sicherheit, verständlich erklärt und professionell integriert.