Passkeys erklärt – Sicherer Login ohne Passwort
- Ein Passkey ist ein kryptografischer Anmeldeschlüssel, der auf dem Gerät des Nutzers gespeichert wird und Passwörter ersetzt.
- Er basiert auf asymmetrischer Kryptografie: Der private Schlüssel verbleibt auf dem Gerät, die Website speichert nur den zugehörigen öffentlichen Schlüssel.
- Die Freigabe erfolgt lokal per Fingerabdruck, Gesichtserkennung oder Geräte-PIN – biometrische Daten verlassen dabei nie das Gerät.
- Passkeys sind kryptografisch an die jeweilige Website-Domain gebunden und funktionieren auf gefälschten Seiten nicht (Phishing-Resistenz).
Passkeys sind einfacher im Alltag als Passwörter, deutlich sicherer gegen Phishing und funktionieren mit dem Fingerabdruck, der Gesichtserkennung oder der PIN Ihres Geräts. Große Plattformen wie Google, Apple und Microsoft unterstützen Passkeys bereits als bevorzugte Login-Methode.
Das Wichtigste in 30 Sekunden:
- Passkeys ersetzen Passwörter durch kryptografische Schlüssel auf Ihrem Gerät.
- Login per Fingerabdruck, Face ID oder Geräte-PIN – kein Passwort nötig.
- Phishing-resistent: Passkeys funktionieren nur auf der echten Website-Domain.
- Kein Passwort, das gestohlen, erraten oder wiederverwendet werden kann.
- Biometrie dient nur der lokalen Freigabe – Ihre Daten verlassen nie das Gerät.
- Bereits unterstützt von Google, Apple, Microsoft, GitHub, 1Password u. v. m.
Was sind Passkeys?
Stellen Sie sich vor, Sie haben einen Haustürschlüssel, den nur Sie besitzen. Niemand anders hat eine Kopie, und das Schloss erkennt genau diesen Schlüssel. Genauso funktioniert ein Passkey – nur digital.
Im Gegensatz zu einem Passwort gibt es bei einem Passkey kein „Geheimnis", das Sie sich merken oder eintippen müssen. Es gibt nichts, was Sie auf einer gefälschten Website versehentlich verraten könnten. Der Passkey besteht aus einem kryptografischen Schlüsselpaar: Einen Teil kennt nur Ihr Gerät (den privaten Schlüssel), den anderen Teil kennt die Website (den öffentlichen Schlüssel).
Um sich anzumelden, bestätigen Sie einfach mit Ihrem Fingerabdruck, Gesichtserkennung oder der PIN Ihres Geräts. Das dauert in der Regel nur wenige Sekunden – schneller und einfacher als ein Passwort einzutippen.
Ein Passkey besteht aus einem kryptografischen Schlüsselpaar. Der private Schlüssel bleibt auf dem Gerät, der öffentliche Schlüssel liegt beim Dienst. Es gibt kein geteiltes Geheimnis, das gestohlen oder auf einer gefälschten Website eingegeben werden kann.
Frage: Sind Passkeys dasselbe wie Fingerabdruck oder Face ID?
Nein. Fingerabdruck und Gesichtserkennung dienen nur als lokale Freigabe auf Ihrem Gerät. Sie entsperren den Passkey, der dann die eigentliche kryptografische Anmeldung durchführt. Ihre biometrischen Daten verlassen dabei nie Ihr Gerät und werden nicht an die Website übertragen.
Frage: Muss ich mir etwas Neues merken?
Nein. Bei Passkeys gibt es kein Passwort, keine PIN und keine Sicherheitsfrage. Die Freigabe erfolgt per Fingerabdruck, Gesichtserkennung oder Geräte-PIN, die Sie bereits täglich nutzen.
Wie funktionieren Passkeys?
Passkeys nutzen ein bewährtes Prinzip aus der Kryptografie: die sogenannte asymmetrische Verschlüsselung. Das klingt kompliziert, ist im Alltag aber sehr einfach.
Bei der Registrierung:
Gerät erzeugt ein Schlüsselpaar
Ihr Smartphone oder Computer erstellt automatisch zwei zusammengehörige Schlüssel: einen privaten und einen öffentlichen.
Öffentlicher Schlüssel geht an die Website
Die Website speichert nur den öffentlichen Schlüssel. Damit kann sie prüfen, ob Sie sich ausweisen können – aber sich nicht in Ihrem Namen anmelden.
Privater Schlüssel bleibt auf Ihrem Gerät
Der private Schlüssel verlässt Ihr Gerät niemals. Er ist durch die Gerätesicherheit (Fingerabdruck, Face ID, PIN) geschützt.
Beim Login:
Website sendet eine Challenge
Die Website stellt eine einmalige kryptografische Aufgabe – wie eine Prüfungsfrage, die nur Ihr Gerät beantworten kann.
Sie bestätigen lokal
Ihr Gerät fragt Sie nach Fingerabdruck, Gesichtserkennung oder PIN. Das ist nur die lokale Freigabe – Ihre Biometrie wird nicht an die Website gesendet.
Kryptografische Antwort statt Passwort
Ihr Gerät beantwortet die Challenge mit dem privaten Schlüssel. Die Website prüft die Antwort mit dem öffentlichen Schlüssel – und Sie sind angemeldet.
Bei Passkeys gibt es kein „geteiltes Geheimnis" wie bei Passwörtern. Die Website sendet eine einmalige kryptografische Aufgabe (Challenge), die nur das Gerät mit dem privaten Schlüssel lösen kann. Selbst wenn die Datenbank der Website gehackt wird, ist der dort gespeicherte öffentliche Schlüssel für Angreifer wertlos.
Frage: Was ist eine Challenge?
Eine Challenge ist eine einmalige kryptografische Aufgabe, die der Server beim Login an Ihr Gerät sendet. Ihr Gerät löst sie mit dem privaten Schlüssel und sendet die Antwort zurück. Der Server prüft die Antwort mit dem öffentlichen Schlüssel. Die Challenge ist jedes Mal anders – eine abgefangene Antwort kann nicht wiederverwendet werden.
Frage: Werden meine biometrischen Daten an die Website gesendet?
Nein. Fingerabdruck und Gesichtserkennung dienen ausschließlich der lokalen Freigabe auf Ihrem Gerät. Die Website erhält nur die kryptografische Antwort auf die Challenge – niemals Ihre biometrischen Daten.
Warum sind Passkeys sicherer als Passwörter?
Passwörter haben ein strukturelles Problem: Sie sind ein geteiltes Geheimnis zwischen Ihnen und der Website. Passkeys beseitigen dieses Prinzip vollständig.
Kein wiederverwendetes Passwort
Jeder Passkey ist einzigartig für genau eine Website. Es gibt keine „Passwort-Wiederverwendung" mehr, die Angreifer ausnutzen können.
Keine angreifbare Passwortdatenbank
Die Website speichert nur den öffentlichen Schlüssel. Dieser ist für Angreifer wertlos – sie können sich damit nicht anmelden.
Phishing-resistent
Passkeys sind kryptografisch an die echte Website-Adresse (Domain) gebunden. Auf einer gefälschten Login-Seite funktionieren sie einfach nicht.
Schutz gegen Credential Stuffing
Angreifer können geleakte Zugangsdaten nicht bei anderen Diensten ausprobieren, weil es keine gemeinsamen Passwörter mehr gibt.
Besseres Nutzerverhalten
Niemand muss sich mehr Passwörter merken. Kein „123456", kein Zettel am Monitor, kein vergessenes Passwort.
Schneller und bequemer
Login per Fingerabdruck in Sekunden – kein Passwort eintippen, kein SMS-Code abwarten, kein Authenticator-App öffnen.
Passkeys beseitigen die strukturelle Schwäche von Passwörtern: das geteilte Geheimnis. Sie sind an eine Domain gebunden (Phishing-Resistenz), einzigartig pro Dienst (kein Credential Stuffing) und hinterlassen beim Server keinen angreifbaren Datensatz (nur den öffentlichen Schlüssel).
Warum klassische Passwort-Logins heute problematisch sind
Das Problem ist nicht, dass Passwörter grundsätzlich nicht funktionieren – sondern wie Menschen sie tatsächlich nutzen und wie Angreifer genau diese Schwachstellen ausnutzen.
Das Problem
- Datenlecks bei Online-Diensten passieren regelmäßig
- Die meisten Menschen nutzen dasselbe Passwort für mehrere Konten
- Phishing-Mails und gefälschte Login-Seiten werden immer überzeugender
- Infostealer-Schadsoftware liest Passwörter direkt aus dem Browser
- Social Engineering zielt auf menschliches Vertrauen
Die Folgen
- E-Mail-Konto übernommen – Zugang zu allen „Passwort zurücksetzen"-Funktionen
- Bank-, Shop- oder Cloud-Zugänge kompromittiert
- Identitätsmissbrauch und Bestellungen im fremden Namen
- Zugriff auf sensible Dokumente und Firmenkonten
- Firmen-IT kompromittiert über private Zugangsdaten
Und Passwortmanager? Passwortmanager helfen deutlich – sie erzeugen starke, einzigartige Passwörter für jeden Dienst. Sie lösen aber das Grundproblem nicht vollständig: Das Passwort bleibt ein „geteiltes Geheimnis" (Shared Secret), das sowohl der Nutzer als auch die Website kennen. Genau dieses Prinzip macht Passwörter prinzipiell angreifbar. Mehr dazu: Passkeys vs. Passwortmanager →
Das Grundproblem klassischer Passwort-Logins ist das geteilte Geheimnis (Shared Secret): Sowohl der Nutzer als auch der Server kennen das Passwort. Dadurch entstehen Angriffsflächen über Phishing, Datenbank-Leaks und Credential Stuffing – unabhängig von der Passwortstärke.
Wie Hacker heute typischerweise vorgehen
Moderne Angriffe auf Online-Konten sind oft erschreckend einfach. Hier ein typischer Ablauf, den Millionen Menschen weltweit betrifft:
Phishing-Nachricht erzeugt Druck oder Neugier
Eine E-Mail oder SMS warnt vor „verdächtigen Aktivitäten" und fordert zum sofortigen Handeln auf.
Nutzer landet auf täuschend echter Fake-Seite
Die gefälschte Login-Seite sieht dem Original zum Verwechseln ähnlich – oft ist nur die URL minimal anders.
Passwort wird eingegeben
Der Nutzer tippt sein Passwort ein – der Angreifer fängt es in Echtzeit ab.
Zusätzlicher Code wird ebenfalls abgefangen
Manche Phishing-Seiten leiten SMS-Codes oder App-Codes in Echtzeit weiter an den Angreifer.
Angreifer hat Zugriff auf das echte Konto
Mit den abgefangenen Daten meldet sich der Angreifer sofort beim echten Dienst an.
Weitere verbreitete Angriffsmethoden:
Credential Stuffing
Credential Stuffing bezeichnet den automatisierten Missbrauch geleakter Zugangsdaten: Angreifer testen gestohlene E-Mail-Passwort-Kombinationen bei Hunderten anderen Diensten – und treffen häufig, weil viele Menschen Passwörter wiederverwenden.
MFA-Fatigue / Push-Spam
Angreifer lösen wiederholt Login-Benachrichtigungen aus, bis der Nutzer genervt auf „Bestätigen" tippt. Passkeys sind gegen diesen Angriff immun, weil sie physische Interaktion am Gerät erfordern und nicht durch externe Anfragen ausgelöst werden.
SIM-Swap
Beim SIM-Swap übernimmt ein Angreifer die Telefonnummer des Opfers – per Social Engineering beim Mobilfunkanbieter – und empfängt anschließend SMS-Codes für die Kontowiederherstellung.
Warum Passkeys hier helfen:
Bei Passkeys gibt es nichts einzutippen, nichts weiterzuleiten und keinen Code abzufangen. Der Passkey funktioniert nur auf der echten Website und nur mit physischem Zugang zum Gerät. Mehr dazu: Phishing-resistente MFA →
Login-Methoden im Vergleich
Wie sicher sind die verschiedenen Login-Methoden wirklich? Diese Übersicht vergleicht vier gängige Ansätze – fair und differenziert.
Tabelle horizontal scrollen
| Kriterium | Nur Passwort | Passwort + SMS | Passwort + Authenticator | Passkey |
|---|---|---|---|---|
| Phishing-Risiko | Hoch | Mittel | Mittel | Sehr niedrig |
| Wiederverwendbarkeit | Oft wiederverwendet | Passwort oft wiederverwendet | Passwort oft wiederverwendet | Immer einzigartig |
| Nutzerkomfort | Einfach, aber unsicher | Verzögert durch SMS | App-Wechsel nötig | Schnell und einfach |
| Schutz bei Datenleaks | Keiner | Begrenzt | Begrenzt | Hoch |
| Alltagstauglichkeit | Hoch, aber riskant | Gut, SMS manchmal verzögert | Gut, App muss griffbereit sein | Sehr hoch |
| Sicherheitsniveau | Niedrig | Mittel | Gut | Sehr hoch |
SMS-Codes und Authenticator-Apps sind deutlich besser als kein zweiter Faktor. Passkeys bieten jedoch als einzige Methode echte Phishing-Resistenz durch kryptografische Domain-Bindung.
Passkeys und 2FA/MFA im Vergleich
Zwei-Faktor-Authentifizierung (2FA) verlangt neben dem Passwort einen zweiten Nachweis – etwa einen SMS-Code oder eine App-Bestätigung. Multi-Faktor-Authentifizierung (MFA) ist der Oberbegriff für alle Verfahren mit zwei oder mehr Faktoren. Nicht alle MFA-Methoden bieten das gleiche Schutzniveau.
SMS-Codes
Besser als nur Passwort, aber anfällig für SIM-Swap-Angriffe und Phishing in Echtzeit.
Einmalcodes aus Authenticator-Apps
Sicherer als SMS, aber der Code kann auf einer Phishing-Seite in Echtzeit weitergeleitet werden.
Push-Benachrichtigungen
Komfortabel, aber anfällig für MFA-Fatigue – Angreifer spammen Push-Anfragen, bis der Nutzer versehentlich bestätigt.
Passkeys
Verbinden Gerätebesitz (der private Schlüssel ist auf Ihrem Gerät) mit lokaler Freigabe (Fingerabdruck/Face ID/PIN) und Phishing-Resistenz (kryptografische Bindung an die echte Website).
Passkeys vereinen zwei Authentifizierungsfaktoren in einem Schritt: Besitz (das Gerät mit dem privaten Schlüssel) und Inhärenz (Fingerabdruck/Face ID) oder Wissen (Geräte-PIN). Durch die kryptografische Domain-Bindung sind sie phishing-resistent – ein Vorteil, den SMS-Codes, Authenticator-Apps und Push-Benachrichtigungen nicht bieten.
Sind Passkeys kompliziert?
Nein. Passkeys sind im Alltag deutlich einfacher als die meisten Menschen erwarten. Hier die häufigsten Vorbehalte – und warum sie unbegründet sind:
„Brauche ich dafür spezielle Hardware?"
Nein. Jedes moderne Smartphone, Tablet oder jeder Computer mit Fingerabdruckleser, Gesichtserkennung oder PIN reicht aus. Es wird kein zusätzliches Gerät benötigt. Wer zusätzlichen Schutz möchte, kann optional einen FIDO2-Hardware-Key als Backup nutzen.
„Muss ich mir etwas Neues merken?"
Nein. Das ist der entscheidende Vorteil: Sie müssen sich kein Passwort merken. Die Freigabe erfolgt per Fingerabdruck, Gesichtserkennung oder PIN, die Sie bereits täglich nutzen.
„Funktioniert das nur bei großen Anbietern?"
Passkeys werden bereits von Google, Apple, Microsoft, Amazon, GitHub, PayPal und vielen weiteren Diensten unterstützt. Die Verbreitung wächst stetig.
„Was, wenn ich mehrere Geräte nutze?"
Passkeys können über Cloud-Dienste (iCloud-Schlüsselbund, Google Passwortmanager) synchronisiert werden. Sie können sich also auf Smartphone, Tablet und Computer gleichermaßen anmelden. Zur Schritt-für-Schritt-Anleitung →
Was schützt ein Passkey – und was nicht?
Passkeys reduzieren die Angriffsfläche massiv, sind aber kein absoluter Schutz gegen alle Bedrohungen. Eine realistische Einschätzung:
Davor schützt ein Passkey gut:
- Phishing und gefälschte Login-Seiten
- Passwortdiebstahl durch Datenlecks
- Credential Stuffing
- Brute-Force- und Wörterbuch-Angriffe
- MFA-Fatigue / Push-Spam
Hier liegen trotzdem Grenzen:
- Vollständig kompromittiertes Endgerät (Malware mit Root-Zugriff)
- Unsichere Recovery-Prozesse beim Dienstanbieter
- Fehlende Gerätesperre (kein PIN, kein Fingerabdruck)
- Social Engineering, das auf den Dienstanbieter zielt
Passkeys schützen zuverlässig gegen Phishing, Credential Stuffing und Datenbank-Leaks. Sie schützen nicht gegen ein vollständig kompromittiertes Endgerät, unsichere Recovery-Prozesse beim Anbieter oder eine fehlende Gerätesperre. Recovery bezeichnet den Prozess, über den ein Dienst den Kontozugang wiederherstellt – etwa per E-Mail-Link oder Sicherheitsfrage.
Frage: Was passiert, wenn mein Gerät gestohlen wird?
Ohne Ihre Gerätesperre (Fingerabdruck, Face ID oder PIN) kann ein Dieb den Passkey nicht verwenden. Zusätzlich können Sie Passkeys über die Cloud-Synchronisierung auf einem zweiten Gerät nutzen und den gestohlenen Zugang beim jeweiligen Dienst sperren.
Frage: Warum sind Recovery-Prozesse ein Risiko?
Wenn ein Dienst die Kontowiederherstellung (Recovery) über unsichere Wege erlaubt – etwa per E-Mail-Link oder Sicherheitsfrage – kann ein Angreifer den Passkey umgehen, indem er den Recovery-Prozess ausnutzt. Achten Sie darauf, dass Ihre Recovery-Optionen ebenfalls gut geschützt sind.
So richten Sie Passkeys ein
Die Einrichtung dauert in der Regel weniger als eine Minute. Der genaue Ablauf variiert je nach Anbieter leicht, folgt aber immer dem gleichen Prinzip:
Sicherheitseinstellungen öffnen
Melden Sie sich bei Ihrem Konto an und navigieren Sie zu den Sicherheitseinstellungen. Suchen Sie nach „Passkey", „Sicherheitsschlüssel" oder „Anmeldeoptionen".
Passkey hinzufügen
Klicken Sie auf „Passkey hinzufügen" oder „Passkey erstellen". Ihr Gerät wird Sie auffordern, den Vorgang zu bestätigen.
Identität bestätigen
Bestätigen Sie mit Fingerabdruck, Gesichtserkennung oder PIN. Das ist die lokale Freigabe – Ihre biometrischen Daten verlassen nicht das Gerät.
Fertig – Passkey gespeichert
Beim nächsten Login wählen Sie einfach „Mit Passkey anmelden" und bestätigen erneut per Fingerabdruck, Face ID oder PIN.
Test-Login durchführen
Melden Sie sich ab und testen Sie die Anmeldung mit dem neuen Passkey, um sicherzustellen, dass alles funktioniert.
Empfehlung:
Richten Sie Passkeys auf mindestens zwei Geräten ein (z. B. Smartphone und Computer). So sind Sie abgesichert, falls ein Gerät ausfällt. Ausführliche Anleitung für iPhone, Android & Windows →
Welche Plattformen Passkeys unterstützen
Passkeys sind kein Zukunftsthema mehr – sie werden bereits von vielen großen Plattformen und Diensten unterstützt:
Gmail, Drive, YouTube u. a.
Apple
iCloud, App Store u. a.
Microsoft
Outlook, OneDrive, Azure u. a.
GitHub
Entwicklerplattform
PayPal
Online-Zahlungsdienst
Amazon
Shopping & AWS
1Password
Passwortmanager
Bitwarden
Open-Source-Passwortmanager
Und viele mehr
Liste wächst stetig
Tipp: Beginnen Sie mit den Konten, die am wichtigsten sind – E-Mail, Cloud-Speicher, Bank, Social Media. Das sind die häufigsten Ziele von Angreifern.
Google, Apple, Microsoft, Amazon, GitHub, PayPal, 1Password und Bitwarden unterstützen Passkeys bereits. Die Einrichtung dauert in der Regel weniger als eine Minute und erfordert keine speziellen Geräte – ein modernes Smartphone oder ein Computer mit Fingerabdruckleser genügt.
Für wen Passkeys besonders wichtig sind
Privatnutzer
Schützen Sie E-Mail, Cloud-Speicher und Online-Banking vor Phishing – ohne technisches Wissen.
Selbstständige
Ein kompromittiertes Geschäftskonto kann existenzbedrohend sein. Passkeys sichern geschäftskritische Zugänge ab.
Kleine Unternehmen
Mitarbeiterkonten, Admin-Zugänge und Kundenbereiche lassen sich mit Passkeys deutlich besser schützen. Mehr →
Website-Betreiber & Admins
Admin-Panels und CMS-Zugänge sind bevorzugte Ziele. Passkeys machen Brute-Force-Angriffe wirkungslos.
Menschen mit vielen Logins
Je mehr Konten, desto größer das Risiko durch wiederverwendete Passwörter. Passkeys lösen dieses Problem.
E-Mail als „Generalschlüssel"
Wer Zugriff auf Ihr E-Mail-Konto hat, kann über „Passwort zurücksetzen" praktisch alle anderen Konten übernehmen.
Häufige Fragen zu Passkeys
Ein Passkey ist ein kryptografischer Anmeldeschlüssel, der auf Ihrem Gerät gespeichert wird und Passwörter ersetzt. Er basiert auf asymmetrischer Kryptografie: Der private Schlüssel bleibt auf Ihrem Gerät, die Website kennt nur den zugehörigen öffentlichen Schlüssel. Die Freigabe erfolgt lokal per Fingerabdruck, Gesichtserkennung oder Geräte-PIN – biometrische Daten verlassen dabei nie das Gerät.
Bei der Einrichtung erzeugt Ihr Gerät ein kryptografisches Schlüsselpaar. Der öffentliche Schlüssel wird an die Website gesendet, der private Schlüssel bleibt sicher auf Ihrem Gerät. Beim Login sendet die Website eine kryptografische Aufgabe (Challenge), die Ihr Gerät mit dem privaten Schlüssel löst – nach lokaler Freigabe per Fingerabdruck, Face ID oder PIN.
Passkeys beseitigen das geteilte Geheimnis, das Passwörter prinzipiell angreifbar macht. Sie sind kryptografisch an die echte Website-Domain gebunden (Phishing-Resistenz), einzigartig pro Dienst (kein Credential Stuffing) und bei einem Datenbank-Leak ist der öffentliche Schlüssel für Angreifer wertlos.
Nein. Fingerabdruck und Gesichtserkennung dienen nur als lokale Freigabe auf Ihrem Gerät. Sie entsperren den Passkey, der dann die eigentliche kryptografische Anmeldung durchführt. Ihre biometrischen Daten verlassen dabei nie Ihr Gerät und werden nicht an die Website übertragen.
Passkeys können über Cloud-Dienste (z. B. iCloud-Schlüsselbund, Google Passwortmanager) auf mehrere Geräte synchronisiert werden. Wenn Sie Ihr Handy verlieren, haben Sie über ein zweites Gerät oder nach Wiederherstellung Ihres Kontos weiterhin Zugriff. Es empfiehlt sich, Passkeys auf mindestens zwei Geräten einzurichten.
Noch unterstützen nicht alle Dienste Passkeys. Für manche Konten werden Sie vorerst weiterhin ein Passwort benötigen. Viele große Anbieter wie Google, Apple, Microsoft und GitHub bieten Passkeys aber bereits als bevorzugte Login-Methode an. Wo Passkeys verfügbar sind, können sie Passwörter langfristig ersetzen.
Ja, in den meisten Fällen. SMS-Codes sind besser als kein zweiter Faktor, können aber durch SIM-Swap-Angriffe, Phishing oder das Abfangen der Nachricht kompromittiert werden. Passkeys sind phishing-resistent und erfordern physischen Zugang zum freigegebenen Gerät.
Ja, besonders für kleine und mittelständische Unternehmen. Passkeys erschweren die häufigsten Angriffsmethoden wie Phishing und Credential Stuffing erheblich. Für Mitarbeiterkonten, Admin-Zugänge und Kundenbereiche bieten sie ein deutlich höheres Sicherheitsniveau – ohne aufwändige IT-Infrastruktur.
Ja. Passkeys können über Cloud-Dienste des Betriebssystems synchronisiert werden – z. B. über iCloud-Schlüsselbund oder Google Passwortmanager. Zudem können Sie bei vielen Diensten Passkeys auf mehreren Geräten separat einrichten.
Ein Passkey schützt sehr gut gegen Phishing, Passwortdiebstahl, Credential Stuffing und Datenbank-Leaks. Er schützt jedoch nicht gegen ein vollständig kompromittiertes Endgerät, unsichere Recovery-Prozesse beim Dienstanbieter oder eine fehlende Gerätesperre.
Passkeys sind kryptografisch an die echte Website-Adresse (Domain) gebunden. Selbst wenn Sie auf eine gefälschte Login-Seite geleitet werden, funktioniert der Passkey dort nicht – er reagiert nur auf die echte Domain. Es gibt nichts, was Sie auf einer Fake-Seite versehentlich eingeben könnten.
Passkeys reduzieren die Angriffsfläche massiv, bieten aber keinen absoluten Schutz. Ein vollständig kompromittiertes Gerät (z. B. durch Malware mit Root-Zugriff), unsichere Recovery-Prozesse beim Anbieter oder eine fehlende Gerätesperre bleiben Risiken. Passkeys sind dennoch deutlich sicherer als Passwörter und die meisten 2FA-Methoden, weil sie Phishing, Credential Stuffing und Datenbank-Leaks strukturell verhindern.
Ja. Die Einrichtung dauert in der Regel nur wenige Sekunden und erfordert kein technisches Wissen. Ihr Smartphone oder Computer führt Sie durch den Prozess – meist reicht ein Fingerabdruck oder ein Blick in die Kamera.
Weiterlesen im Passkeys-Ratgeber
Login-Sicherheit und Sicherheitsarchitektur
WIMARO Networks berät Privatpersonen und kleine Unternehmen zu Login-Sicherheit, Passkey-Einführung und Sicherheitsarchitektur.