Passkeys sind die größte Veränderung, die die alltägliche Web-Anmeldung in zwanzig Jahren erlebt hat. Statt eines Passworts, das man tippt (und das geleakt, abgephisht oder ausgespäht werden kann), nutzt das Verfahren ein kryptografisches Schlüsselpaar — der private Teil bleibt auf deinem Gerät, der öffentliche Teil liegt beim Dienst. Anmeldung wird Tap-zum-Bestätigen, Phishing wird strukturell unmöglich. Dieser Artikel zeigt, was Passkeys konkret sind, welche Geräte und Anbieter sie unterstützen, wo die Stolpersteine liegen — und wie ein realistisches Setup-Vorgehen aussieht.
Was ein Passkey eigentlich ist
Vereinfacht: ein Passkey ist ein kryptografisches Schlüsselpaar, das auf deinem Gerät erzeugt wird und nie das Gerät verlässt (außer in verschlüsselter Form, beim Sync zwischen deinen eigenen Geräten). Wenn du dich bei einem Dienst anmeldest:
- Der Dienst schickt eine Challenge an deinen Browser.
- Dein Gerät signiert die Challenge mit dem privaten Schlüssel — und zwar erst, nachdem du dich entsperrt hast (Face/Touch, PIN, Hardware-Key-Tap).
- Der Dienst prüft die Signatur mit dem öffentlichen Schlüssel, den du beim Anlegen des Passkeys dort hinterlegt hast.
Drei strukturelle Eigenschaften daraus:
- Phishing-resistent. In die Signatur fließt die Herkunfts-Domain des Browser-Tabs ein. Eine gefälschte Seite kriegt keine gültige Signatur — das gleiche Prinzip wie bei FIDO2-Hardware-Keys.
- Kein gemeinsames Geheimnis. Der Dienst hat nur den öffentlichen Schlüssel. Selbst wenn die Datenbank des Dienstes geleakt wird, bekommt der Angreifer nichts Verwertbares — kein Passwort-Hash, kein TOTP-Secret. Credential Stuffing und Hash-Cracking laufen ins Leere.
- Kein Code-Tippen. Anmeldung ist eine Geste (Face ID, Fingerabdruck, PIN) — Reibung im Alltag nahe null.
Technisch ist ein Passkey eine WebAuthn-Credential mit dem resident-key-Flag plus Möglichkeit zum Sync. Aus Sicht der Endnutzer:innen ist der wichtige Punkt: das Verfahren ersetzt Passwort + 2FA gleichzeitig.
Synced Passkeys vs. Device-bound Passkeys
Es gibt zwei Spielarten — und der Unterschied ist wichtig.
| Eigenschaft | Synced Passkey | Device-bound (Hardware-Key) |
|---|---|---|
| Wo lebt der Schlüssel | Verschlüsselt in der Provider-Cloud, sync zwischen deinen Geräten | Nur auf einem physischen Hardware-Key |
| Was, wenn ein Gerät kaputt geht | Andere Geräte haben den Passkey weiter | Anderer registrierter Key oder Recovery |
| Recovery-Mechanismus | Provider-Account-Recovery (Apple ID, Google, Microsoft) | Physisch: Backup-Key, Backup-Codes |
| Bequemlichkeit | Sehr hoch (auf allen eigenen Geräten verfügbar) | Mittel (Key muss physisch dabei sein) |
| Höchstes Threat-Model | Provider-Account selbst muss top-gesichert sein | Schlüssel kann nicht remote geklaut werden |
| Empfehlung | Alltags-Konten, Mehrheit aller Logins | Kritische Konten: Bank, Mail, Identity-Provider |
In der Praxis kombinieren viele Nutzer:innen beides: Synced Passkeys für den Alltag (Twitter, Shopping, kleinere Tools) und Hardware-Keys zusätzlich für die ganz wichtigen Konten. Wer in einem reinen Apple-Universum lebt, kommt mit Synced-Passkeys allein oft sehr weit — vorausgesetzt, die Apple-ID selbst hat einen sehr starken Schutz (Hardware-Key, Recovery-Schlüssel, Advanced Data Protection).
Wer unterstützt was?
Stand Mitte 2026 ist die Unterstützung breit, aber nicht uniform:
Endgeräte und Plattformen
- Apple — iCloud-Schlüsselbund seit iOS 16 / macOS Ventura (2022). Sync zwischen allen Apple-Geräten am selben iCloud-Account.
- Google — Google Password Manager auf Android und Chrome. Sync zwischen Android-Geräten und Chrome-Browsern am selben Google-Konto.
- Microsoft — Windows Hello + Microsoft-Konto-Sync; seit 2024 Passkeys auch für Microsoft-Accounts selbst.
- Passwort-Manager — Bitwarden, 1Password, Dashlane, NordPass, Proton Pass speichern und syncen Passkeys plattform-übergreifend. Für Multi-Plattform-Nutzer:innen meist die saubere Lösung.
Dienste, die Passkeys bereits unterstützen (Auswahl, wächst monatlich):
- Apple ID, Google, Microsoft, Amazon, eBay, PayPal, Shopify
- GitHub, GitLab, Cloudflare, AWS, Microsoft Azure
- WhatsApp, Signal (Account-Recovery), X/Twitter, TikTok, LinkedIn, Reddit
- Adobe, Dropbox, 1Password, Bitwarden, Notion, Figma
- DHL, Lufthansa und einige Bahn-Apps; deutsche Banken zögernd, einige (z. B. Comdirect, ING) testen.
Die Liste passkeys.directory (Community-Pflege) ist die beste laufende Übersicht.
Cross-Device-Login: Wenn du an einem PC bist, der deinen Passkey nicht hat, scannst du einen QR-Code mit dem Smartphone, das den Passkey hat — Bluetooth-Pairing in der Nähe stellt sicher, dass der Angreifer am anderen Ende der Welt nicht passt. Das nennt sich Hybrid Transport und ist der pragmatische Weg, Passkeys auch auf fremden Rechnern zu nutzen.
Setup-Vorgehen: Schritt für Schritt
So sieht ein realistischer Einstieg aus, in 30–45 Minuten:
- (5 min) Provider entscheiden. Wo sollen die Synced Passkeys leben? Pure Apple-Welt → iCloud-Schlüsselbund. Multi-Plattform → Passwort-Manager (Bitwarden, 1Password, Proton Pass) ist meist die bessere Wahl.
- (5 min) Master-Faktor stärken. Bevor du Passkeys reinwirfst, muss der Container sicher sein. Apple ID mit starkem Passwort und Recovery-Schlüssel; Google mit Hardware-Key als zweitem Faktor; Passwort-Manager-Konto mit langem Master-Passwort und Hardware-Key.
- (10 min) Erste Passkeys anlegen. Bei den drei oder vier wichtigsten Diensten in die Sicherheits-Einstellungen gehen und „Passkey hinzufügen" wählen. Das Passwort bleibt zunächst zusätzlich aktiv — Passkey ist ein zusätzlicher Login-Weg, kein direkter Ersatz.
- (10 min) Beim nächsten Login mit Passkey testen. Sicherstellen, dass alles geht — auf Mobile UND Desktop.
- (15 min) Hardware-Key dazu für kritische Konten. Für E-Mail-Konto, Identity-Provider, Bank, Passwort-Manager mindestens einen YubiKey o. ä. registrieren — als zusätzlichen Passkey neben dem Synced-Passkey.
- (je nach Lust) Passwörter abschalten. Wenn der Passkey-Login nachweislich funktioniert, kann das Passwort bei manchen Diensten ganz entfernt werden — oder zumindest so lang und zufällig gesetzt werden, dass es als Notfall-Pfad faktisch nicht mehr benutzt wird.
Was du nicht tun solltest: alle Passkeys nur auf einem einzigen Gerät anlegen, ohne Sync oder zweite Backup-Methode. Wenn das Gerät kaputt oder gestohlen wird, sind die Passkeys weg.
Gefahren und Grenzen
Passkeys sind ein massiver Sicherheitsfortschritt — aber kein magischer Allheilmittel. Drei reale Risiken:
- Provider-Account-Übernahme. Wer den iCloud-Account oder das Google-Konto übernimmt, hat potenziell Zugriff auf alle Synced Passkeys. Konsequenz: der Provider-Account selbst muss top-gesichert sein (Hardware-Key, starkes Master-Passwort, Recovery-Schlüssel, Advanced Data Protection bei Apple).
- Geräte-Verlust ohne Sync. Wenn ein Passkey nur auf einem Gerät existiert und das Gerät verloren geht oder kaputt ist — und keine Recovery-Codes hinterlegt sind — ist der Account-Zugang weg. Deshalb: immer mehrere Geräte registrieren oder Backup-Codes ausdrucken.
- Ökosystem-Lock-in. Synced Passkeys, die nur in iCloud leben, sind beim Wechsel auf Android schwer mitnehmbar (das ändert sich gerade durch Cross-Provider-Standards, aber langsam). Wer plattform-flexibel bleiben will, sollte Passkeys in einem plattform-unabhängigen Manager speichern — Bitwarden, 1Password, Proton Pass.
Was Passkeys nicht schützen:
- Nicht vor Malware auf dem Endgerät. Wenn dein Laptop kompromittiert ist, kann eine Stealer-Malware die laufende Browser-Session abgreifen — der Passkey selbst wird zwar nicht gestohlen, aber der bereits eingeloggte Zustand kann ausgenutzt werden.
- Nicht vor Account-Recovery-Angriffen. Wenn der Dienst eine Fallback-Recovery per SMS oder Mail anbietet und diese kompromittiert ist, hilft der schönste Passkey nichts.
- Nicht vor Geräte-Zwang. Wer dich physisch unter Druck setzt, dein entsperrtes Gerät zu nutzen, bekommt damit auch deine Passkeys. Hier hilft nur ein bewusstes Sperren und ggf. ein Duress-Modus (Apple iOS hat „Anrufen drücken" zum schnellen Sperren).
Drittanbieter und Cross-Device-Sync
Eine häufige Frage: „Wenn ich meinen Passkey im iCloud-Schlüsselbund habe — kann ich ihn auf meinem Windows-Laptop nutzen?"
Antwort: ja, indirekt. Wenn du dich am Windows-PC anmeldest, scannt der Browser einen QR-Code, der auf deinem iPhone aufploppt — du bestätigst dort mit Face ID, und der Passkey-Signaturvorgang läuft auf dem Telefon. Der Schlüssel selbst verlässt das iPhone nicht. Das funktioniert dank Hybrid Transport über Bluetooth und ist eine sehr saubere Lösung für gelegentliche Cross-Plattform-Logins.
Für regelmäßiges Cross-Plattform-Arbeiten ist ein plattform-übergreifender Manager besser. Bitwarden, 1Password, Proton Pass speichern Passkeys in deren eigener Cloud, syncen sie zwischen iOS, Android, Windows, macOS und Linux — du brauchst nur einmal das Manager-Konto entsperren.
Wer Provider-Wechsel oder Daten-Souveränität braucht: die FIDO Alliance hat 2024 einen Standard für Credential-Export zwischen Providern vorgelegt. Erste Implementierungen kommen 2026 — die Lock-in-Sorge wird sich damit langfristig erledigen.
Wann Passkey, wann Hardware-Key, wann TOTP?
Eine pragmatische Entscheidung pro Konto:
| Konto-Typ | Empfehlung | Begründung |
|---|---|---|
| E-Mail-Hauptkonto | Passkey + Hardware-Key | Recovery-Pfad für alles andere — maximal absichern |
| Identity-Provider (Apple, Google, Microsoft) | Passkey + Hardware-Key | Container für Synced Passkeys |
| Passwort-Manager-Konto | Hardware-Key (Pflicht) | Höchstes Vertrauens-Asset |
| Online-Bank | Passkey wenn unterstützt, sonst FIDO2-Key oder TAN-Verfahren | Finanzieller Schaden potenziell hoch |
| Soziale Hauptaccounts | Passkey | Phishing-Schutz, Komfort |
| GitHub / Cloud-Anbieter (für Entwickler:innen) | Passkey + Hardware-Key | Supply-Chain-Relevanz |
| Shopping mit hinterlegter Karte | Passkey | Konto-Übernahme + Bestell-Schaden |
| Vereinzelte Foren, kleine Tools | Passkey oder TOTP | Reibungsarmer Sprung weg vom Passwort |
| Dienste, die kein Passkey können | TOTP-App (kein SMS!) | Bestes Verfahren bei alter Service-Auswahl |
Die einzigartige Stärke des Passkeys: er macht Sicherheit bequemer als Passwörter. Das ist neu in der Geschichte der Sicherheits-Maßnahmen — und der Grund, warum sich die Migration in den nächsten Jahren weiter beschleunigen wird.
Besonderheiten
Passkeys sind FIDO2 mit Sync
Technisch ist ein Passkey nichts völlig Neues, sondern eine WebAuthn-Credential mit resident-key=true und Sync-Fähigkeit. Die Markenbildung "Passkey" ist von Apple, Google und Microsoft 2022 koordiniert worden, um das Konzept gegenüber Endnutzer:innen vermarktbar zu machen.
Phishing-Resistenz kommt von der Origin-Bindung
Die Signatur enthält die Domain des Browser-Tabs. Wenn ein Phisher dich auf paypa1.com lockt und der Browser dort ist, bekommt der Phisher eine Signatur, die für paypa1.com gilt — nicht für paypal.com. Beim Login auf der echten Seite scheitert das. Es gibt keinen Weg drumherum.
Apple Advanced Data Protection schützt auch Passkeys
Standardmäßig sind iCloud-Passkeys mit einer Schlüssel-Hierarchie verschlüsselt, zu der Apple selbst Zugang hat. Mit aktivierter Advanced Data Protection (Einstellungen → iCloud) wird der Schlüssel ausschließlich auf deinen Geräten gehalten — Apple kann nicht mehr ran, auch nicht auf gerichtliche Anordnung. Recovery erfordert dann zwingend einen Recovery-Schlüssel oder Recovery-Kontakt.
Google geht den umgekehrten Weg
Bei Google sind synchronisierte Passkeys von Anfang an End-to-End-verschlüsselt im Google Password Manager. Recovery erfolgt über ein Bildschirm-Lock-PIN deines Geräts oder einen anderen registrierten Passkey. Funktional ähnlich zu Apples Advanced Data Protection, von Anfang an aktiv.
Passkeys lösen das "Konto-Wiederherstellung"-Problem nicht
Sicheres Recovery bleibt das offenste Problem im Passkey-Universum. Wenn alle deine Geräte verloren gehen, bist du auf den Provider-Recovery-Pfad angewiesen — und der ist oft so schwach wie der Mail-Account. Mehrere Geräte registrieren bleibt der wichtigste Selbstschutz.
Cross-Vendor-Migration kommt — langsam
Die FIDO Alliance hat 2024 einen Standard zum Export/Import von Passkeys zwischen Providern verabschiedet (FIDO CTAP 2.2, "Credential Exchange"). 2026 erscheinen erste Implementierungen. Mittelfristig wird der Provider-Wechsel so einfach wie eine Bookmark-Migration.
Banken hinken, aus regulatorischen Gründen
Die EU-Richtlinie PSD2 (Strong Customer Authentication) wurde lange so ausgelegt, dass Passkeys den geforderten zwei Faktoren genügen. Mit der EBA-Klarstellung 2023 und den überarbeiteten Leitlinien sind Passkeys jetzt regulatorisch sauber abgebildet — die meisten Banken brauchen aber noch Zeit für die Implementierung.
Weiterführende Ressourcen
Externe Quellen
- passkeys.dev – offizielles Entwickler- und Nutzer-Portal
- passkeys.directory – Liste unterstützender Dienste
- FIDO Alliance – Passkeys-Übersicht
- W3C – WebAuthn Level 3 Spezifikation
- Apple Support – Passkeys auf iPhone, iPad, Mac
- Google – Passkeys einrichten
- Microsoft – Passkeys für Microsoft-Konten
- Bitwarden – Passkey-Speicherung
- 1Password – Passkey-Support