Jeder neue Online-Dienst verlangt ein weiteres Passwort, und mit jedem Konto wächst der unübersichtliche Berg aus Zeichenfolgen, die Du Dir merken oder im Manager pflegen musst. Als Selbständiger oder kleines Unternehmen verwaltest Du Zugänge zu Hosting, Online-Banking, Shop-Backend, Social-Media-Konten und Buchhaltung. Genau diese Konten sind das Ziel automatisierter Angriffe.
Passkeys treten an, um das Passwort abzulösen. Statt einer Zeichenkette, die jemand stehlen oder erraten kann, meldest Du Dich mit dem an, was Dein Gerät ohnehin schon kann, etwa Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Erfreulicherweise ist die Technik dahinter heute in jedem aktuellen Smartphone, Browser und Betriebssystem eingebaut.
Was Passkeys eigentlich sind
Ein Passkey ist ein digitaler Schlüssel, der fest mit Deinem Gerät und einem bestimmten Dienst verbunden ist. Bei der Einrichtung entsteht ein Schlüsselpaar. Ein Teil davon bleibt sicher auf Deinem Gerät, der andere Teil liegt beim jeweiligen Dienst. Nur die Kombination beider Teile ergibt eine gültige Anmeldung.
Wichtig für Dich als Betreiber ist, dass der geheime Teil Dein Gerät niemals verlässt. Es gibt also keine Zeichenfolge mehr, die auf einem fremden Server gespeichert wird und bei einem Datenleck in falsche Hände geraten könnte. Was ein Angreifer aus einer gehackten Datenbank zieht, lässt sich für eine Anmeldung schlicht nicht mehr gebrauchen.
Hinter Passkeys steht der offene Industriestandard FIDO2, getragen von Apple, Google, Microsoft und vielen weiteren Anbietern. Dadurch funktioniert dasselbe Prinzip über die Grenzen einzelner Hersteller hinweg, vom iPhone über den Windows-Rechner bis zum Android-Tablet.
Wie die Anmeldung ohne Passwort funktioniert
Im Alltag merkst Du von der Technik wenig. Du öffnest die Login-Seite eines Dienstes, gibst Deine E-Mail-Adresse ein und bestätigst die Anmeldung mit Fingerabdruck, Gesicht oder Deiner Geräte-PIN. Das war der gesamte Vorgang, ganz ohne abgetipptes Passwort.
Im Hintergrund prüft Dein Gerät, ob die Webseite wirklich die echte ist, und erst dann gibt es die Anmeldung frei. Eine gefälschte Login-Seite bekommt diese Freigabe nicht, weil die Adresse nicht passt. Dadurch laufen klassische Phishing-Versuche ins Leere, bei denen ein nachgebauter Login Deine Daten abgreifen soll.
Auch der zweite Faktor steckt schon mit drin. Bei einem Passwort brauchst Du für echte Sicherheit zusätzlich einen Code aus einer App. Beim Passkey kombiniert Dein Gerät den Besitz (das Gerät selbst) und Dein biometrisches Merkmal oder die PIN in einem einzigen Schritt. Wie diese beiden Faktoren zusammenspielen, beschreibt der Beitrag zur Zwei-Faktor-Authentifizierung ausführlich.
Die Vorteile gegenüber klassischen Passwörtern
Der größte Gewinn ist der Schutz vor den häufigsten Angriffen. Ein Passkey lässt sich nicht abfischen, nicht erraten und nicht aus einem Datenleck nachnutzen. Damit fällt genau die Schwachstelle weg, über die laut Statistik der überwiegende Teil aller Kontoübernahmen läuft. Warum schwache oder mehrfach genutzte Passwörter so gefährlich sind, vertieft der Beitrag zu schwachen Passwörtern.
Dazu kommt der Komfort im Tagesgeschäft. Du tippst nichts mehr ab, Du suchst nichts mehr im Manager, und Du wirst nie wieder ausgesperrt, weil Du ein Sonderzeichen vergessen hast. Gerade wenn Du Dich mehrmals täglich in verschiedene Backends einloggst, summiert sich die gesparte Zeit spürbar.
- Phishing-sicher: Die Anmeldung funktioniert nur auf der echten Webseite, nie auf einer Fälschung.
- Kein Server-Risiko: Der geheime Teil bleibt auf Deinem Gerät, ein Datenleck beim Dienst nützt Angreifern nichts.
- Schneller im Alltag: Ein Blick oder eine Berührung ersetzt das Tippen und Suchen.
- Zweiter Faktor inklusive: Besitz und Biometrie stecken bereits in einem Schritt.
Was Du brauchst und was bei Geräteverlust passiert
Die gute Voraussetzung ist, dass Du wahrscheinlich schon alles dabei hast. Ein Smartphone, Tablet oder Rechner aus den letzten Jahren bringt die nötige Technik mit, dazu ein aktueller Browser und ein eingerichtetes Entsperren über Fingerabdruck, Gesicht oder PIN. Mehr Hardware oder Software brauchst Du für den Einstieg nicht.
Die häufigste Sorge betrifft den Fall, dass ein Gerät kaputtgeht oder verloren geht. Hier hilft, dass moderne Passkeys über Deinen Cloud-Account oder Passwortmanager verschlüsselt zwischen Deinen Geräten synchronisiert werden. Verlierst Du das Smartphone, meldest Du Dich am Laptop weiterhin an und richtest den Zugang auf einem Ersatzgerät neu ein. Wer es ganz robust mag, ergänzt einen kleinen Hardware-Sicherheitsschlüssel als zusätzlichen physischen Passkey für die wichtigsten Konten.
Passkeys im Alltag einführen
Der Einstieg gelingt schrittweise, Du musst nicht alles an einem Tag umstellen. Beginne mit den Konten, deren Verlust am meisten wehtäte, also Deinem E-Mail-Postfach, dem Online-Banking und dem Zugang zu Deinem Hosting. Das E-Mail-Postfach ist dabei besonders wichtig, weil es bei vielen anderen Diensten als Schlüssel zur Passwort-Wiederherstellung dient.
In den Sicherheitseinstellungen der großen Anbieter findest Du den Punkt meist unter einer Bezeichnung wie Passkey oder passwortlose Anmeldung. Nach wenigen Klicks und einer biometrischen Bestätigung ist der Schlüssel eingerichtet. Das alte Passwort bleibt zunächst als Rückfallebene bestehen, sodass nichts verloren geht, falls etwas hakt.
Damit Du auch bei einem verlorenen oder defekten Gerät handlungsfähig bleibst, hinterlege einen Passkey auf mehr als einem Gerät, etwa auf Smartphone und Laptop. Viele Passwortmanager synchronisieren Passkeys inzwischen verschlüsselt zwischen Deinen Geräten und nehmen Dir diese Verteilung ab. So bleibt der Zugang gesichert, ohne dass ein einzelnes Gerät zum alleinigen Schlüssel wird.
Wenn Du Mitarbeitende oder eine Agentur mit Zugängen betraust, lohnt ein klarer Plan, welches Konto auf welchem Gerät einen Passkey trägt. So behältst Du den Überblick und kannst beim Ausscheiden einer Person gezielt den passenden Schlüssel entfernen.
Fazit
Passkeys nehmen Dir das schwächste Glied der Anmeldung ab, nämlich das Passwort, das gestohlen oder erraten werden kann. Du gewinnst gleichzeitig Sicherheit und Bequemlichkeit, ein Tausch, der im Tagesgeschäft selten so klar ausfällt.
Fang heute mit einem einzigen wichtigen Konto an und richte dort einen Passkey ein. Wenn Du Dich an den schnellen, entspannten Login gewöhnt hast, wirst Du die restlichen Konten ganz von selbst nachziehen wollen.