Passkeys vs. Passwortmanager – Was ist sicherer?
Passwortmanager sind eine deutliche Verbesserung gegenüber manuell verwalteten Passwörtern. Aber reichen sie aus? Und wo liegen die Unterschiede zu Passkeys? Ein ehrlicher Vergleich beider Ansätze – mit klarer Empfehlung, wann ein Mischbetrieb sinnvoll ist.
Kurz erklärt:
- Passwortmanager verwalten Passwörter besser – das Grundproblem „geteiltes Geheimnis" bleibt.
- Passkeys beseitigen das Passwort komplett – nichts kann gestohlen oder phishing-gefälscht werden.
- Ein Mischbetrieb ist heute die realistischste Strategie: Passkeys wo möglich, Passwortmanager wo nötig.
Was Passwortmanager leisten
Passwortmanager lösen ein reales Problem: Die meisten Menschen verwenden zu einfache Passwörter und wiederholen sie bei verschiedenen Diensten. Ein Passwortmanager erzeugt für jeden Dienst ein einzigartiges, starkes Passwort und speichert es sicher verschlüsselt.
Einzigartige Passwörter
Für jeden Dienst wird ein zufälliges, langes Passwort generiert. Das verhindert, dass ein Datenbank-Leak bei einem Dienst Ihre anderen Konten gefährdet.
Verschlüsselte Speicherung
Alle Passwörter werden mit einem Master-Passwort verschlüsselt gespeichert – lokal oder in der Cloud. Ohne das Master-Passwort sind die gespeicherten Daten wertlos.
Auto-Fill
Login-Felder werden automatisch ausgefüllt, was den Alltag vereinfacht und verhindert, dass Passwörter manuell kopiert oder abgetippt werden müssen.
Geräteübergreifende Synchronisierung
Die meisten Passwortmanager synchronisieren Einträge über mehrere Geräte. So haben Sie auf Smartphone, Laptop und Desktop-PC immer Zugriff auf alle Zugangsdaten.
Passwortmanager sind ein großer Fortschritt gegenüber dem Merken von Passwörtern oder dem Notieren auf Zetteln. Sie sind keine schlechte Lösung – aber sie arbeiten innerhalb der Grenzen des Passwort-Prinzips.
Wo die Grenzen von Passwortmanagern liegen
So hilfreich Passwortmanager sind – sie ändern nichts am grundlegenden Sicherheitsproblem von Passwörtern: Ein Passwort ist ein geteiltes Geheimnis. Sowohl Sie als auch der Server kennen es (bzw. seinen Hash). Das schafft Angriffsflächen, die Passkeys nicht haben.
Phishing bleibt möglich
Ein Passwortmanager füllt Login-Felder automatisch aus – aber er kann nicht zuverlässig jede gefälschte Login-Seite erkennen. Besonders wenn ein Nutzer das Passwort manuell aus dem Manager kopiert und auf einer Phishing-Seite eingibt, greift kein Schutz.
Das Master-Passwort als Single Point of Failure
Alle Passwörter sind nur so sicher wie das Master-Passwort. Wird dieses durch Keylogger, Schulter-Surfen oder Social Engineering kompromittiert, sind alle gespeicherten Passwörter gefährdet. Bei Passkeys gibt es kein vergleichbares Master-Geheimnis.
Server-seitige Datenbank-Leaks
Wenn ein Dienst gehackt wird, können Passwort-Hashes gestohlen werden. Bei schwacher Verschlüsselung oder kurzen Passwörtern lassen sich diese teilweise entschlüsseln. Bei Passkeys kann ein Server-Leak nur den öffentlichen Schlüssel offenlegen – damit kann ein Angreifer nichts anfangen.
Der Passwortmanager selbst als Angriffsziel
Cloud-basierte Passwortmanager sind attraktive Ziele. Der LastPass-Vorfall 2022/2023 zeigte, dass verschlüsselte Tresore gestohlen werden können. Auch wenn die Verschlüsselung standhält – das Risiko besteht. Bei Passkeys gibt es keinen zentralen Tresor, der gestohlen werden kann.
„Ein starkes Passwort aus dem Passwortmanager ist doch genauso sicher wie ein Passkey." – Nein. Ein starkes Passwort schützt gut gegen Brute-Force-Angriffe, aber nicht gegen Phishing, Server-Leaks oder Keylogger. Passkeys sind gegen all diese Angriffe resistent, weil sie ein grundlegend anderes Verfahren nutzen.
Das Public-Key-Prinzip hinter Passkeys
Der entscheidende Unterschied zwischen Passwörtern und Passkeys liegt im kryptografischen Prinzip. Passwörter basieren auf einem geteilten Geheimnis – Passkeys auf einem asymmetrischen Schlüsselpaar.
Passwort-Prinzip: Geteiltes Geheimnis
- Sie kennen das Passwort, der Server kennt einen Hash davon
- Das Passwort wird bei jedem Login übertragen
- Kann auf gefälschten Seiten eingegeben werden
- Kann bei einem Datenbank-Leak kompromittiert werden
Passkey-Prinzip: Asymmetrisches Schlüsselpaar
- Privater Schlüssel bleibt auf Ihrem Gerät, öffentlicher Schlüssel beim Server
- Beim Login wird nur eine kryptografische Signatur übertragen
- Funktioniert nur auf der echten Website (Domain-Bindung)
- Öffentlicher Schlüssel bei Leak wertlos
Stellen Sie sich einen Briefkasten vor: Jeder kann einen Brief einwerfen (öffentlicher Schlüssel), aber nur Sie haben den Schlüssel zum Öffnen (privater Schlüssel). Selbst wenn jemand den Briefkasten stiehlt, kann er die Briefe nicht lesen. So funktioniert das Public-Key-Prinzip hinter Passkeys.
Vergleichstabelle: 4 Login-Ansätze im Detail
Wie schneiden die verschiedenen Login-Methoden in den wichtigsten Sicherheitskriterien ab?
| Kriterium | Manuelles Passwort | Passwortmanager | PW-Manager + 2FA | Passkey |
|---|---|---|---|---|
| Phishing-Schutz | Keiner | Teilweise | Teilweise | Vollständig |
| Schutz bei Server-Leak | Gering | Mittel | Mittel | Hoch |
| Wiederverwendung möglich | Ja, häufig | Nein | Nein | Technisch unmöglich |
| Geheimnis wird übertragen | Ja | Ja | Ja | Nein |
| Zentraler Tresor nötig | Nein | Ja | Ja | Nein |
| Bedienkomfort | Niedrig | Hoch | Mittel | Sehr hoch |
Wann ein Mischbetrieb sinnvoll ist
In der Praxis ist eine sofortige Komplettumstellung auf Passkeys selten möglich. Viele Dienste – besonders ältere Branchenlösungen, Behördenportale oder spezialisierte Software – unterstützen Passkeys noch nicht. Hier kommt der Mischbetrieb ins Spiel.
Passkeys nutzen, wo verfügbar
Google, Microsoft, Apple, GitHub, PayPal, Amazon, eBay und viele weitere große Dienste unterstützen Passkeys bereits. Richten Sie hier Passkeys ein und nutzen Sie die phishing-resistente Anmeldung.
Passwortmanager für den Rest
Für alle Dienste ohne Passkey-Unterstützung bleibt der Passwortmanager die beste Alternative. Generieren Sie starke, einzigartige Passwörter und aktivieren Sie, wo möglich, zusätzlich eine Authenticator-App als zweiten Faktor.
Viele Passwortmanager (1Password, Bitwarden, Dashlane) können inzwischen auch Passkeys speichern. Das bedeutet: Sie können Ihren bestehenden Passwortmanager behalten und ihn gleichzeitig als Passkey-Speicher nutzen – ein praktischer Übergangspfad.
Praxisempfehlung
Behalten Sie Ihren Passwortmanager. Er bleibt für viele Dienste relevant und ist immer noch besser als manuelles Passwort-Management.
Richten Sie Passkeys ein, wo verfügbar. Beginnen Sie mit den Diensten, die Sie täglich nutzen: E-Mail, Cloud, Social Media, Banking.
Aktivieren Sie 2FA für alle Dienste ohne Passkey. Eine Authenticator-App ist deutlich sicherer als SMS-Codes und in Kombination mit dem Passwortmanager eine gute Übergangslösung.
Prüfen Sie regelmäßig, ob weitere Dienste Passkeys anbieten. Die Unterstützung wächst schnell. Was heute noch ein Passwort braucht, kann morgen schon einen Passkey unterstützen.
Weiterlesen im Passkeys-Ratgeber
Häufige Fragen: Passkeys vs. Passwortmanager
Ja, zumindest vorerst. Noch unterstützen nicht alle Dienste Passkeys. Für Dienste ohne Passkey-Unterstützung bleibt ein Passwortmanager die beste Alternative. Langfristig werden Passkeys Passwortmanager für immer mehr Dienste überflüssig machen.
Nein, Passwortmanager sind eine deutliche Verbesserung gegenüber manuell verwalteten Passwörtern. Sie erzeugen starke, einzigartige Passwörter für jeden Dienst. Ihre Schwäche liegt darin, dass das zugrundeliegende Prinzip – ein geteiltes Geheimnis – anfällig für Phishing, Datenbank-Leaks und Master-Passwort-Kompromittierung bleibt.
Ja, das ist bereits vorgekommen. Der bekannteste Fall war der LastPass-Vorfall 2022/2023, bei dem verschlüsselte Passwort-Tresore gestohlen wurden. Obwohl die Verschlüsselung die meisten Nutzer schützte, zeigte der Vorfall, dass zentralisierte Passwort-Speicher ein attraktives Angriffsziel sind.
Der größte Vorteil ist die Phishing-Resistenz. Ein Passwortmanager kann ein Passwort auf einer gefälschten Website eintragen – entweder durch den Nutzer selbst oder durch gefälschte Auto-Fill-Erkennung. Ein Passkey funktioniert auf einer gefälschten Website schlicht nicht, weil er kryptografisch an die echte Domain gebunden ist.
Ja, viele moderne Passwortmanager (1Password, Bitwarden, Dashlane) können inzwischen auch Passkeys speichern und verwalten. Damit wird der Passwortmanager zum Passkey-Manager – eine sinnvolle Übergangslösung für Nutzer, die bereits einen Passwortmanager verwenden.
Ein Public-Key-Verfahren erzeugt ein Schlüsselpaar: einen privaten Schlüssel (bleibt geheim auf Ihrem Gerät) und einen öffentlichen Schlüssel (wird an den Dienst gesendet). Beim Login beweist Ihr Gerät, dass es den privaten Schlüssel besitzt, ohne ihn jemals preiszugeben. Es gibt kein geteiltes Geheimnis, das gestohlen werden kann.
Nein. Der Umstieg erfolgt Dienst für Dienst: Sie öffnen die Sicherheitseinstellungen eines Kontos, richten einen Passkey ein und können anschließend den gespeicherten Eintrag im Passwortmanager als Backup behalten oder löschen. Es ist kein Alles-oder-Nichts-Wechsel.
Ein Passkey allein bietet ein vergleichbares oder höheres Sicherheitsniveau als ein Passwort aus dem Passwortmanager plus zweitem Faktor. Der Grund: Passkeys sind phishing-resistent und erfordern physischen Zugang zum Gerät. Ein starkes Passwort plus SMS-Code kann trotzdem durch Phishing oder SIM-Swap kompromittiert werden.
Moderne Sicherheit – verständlich umgesetzt
WIMARO Networks integriert moderne Authentifizierungsverfahren wie Passkeys direkt in Ihre Projektarchitektur – verständlich, sicher und zukunftsfähig.