Login ohne Leiden:: Passkeys als Passwortersatz

Seit Jahrzehnten bilden Passwörter die Grundlage der digitalen Authentifizierung, doch die wachsenden Sicherheits- und Usability-Probleme lassen sich nicht länger ignorieren. Datenlecks, Hackerangriffe und die hohe Komplexität bei der Verwaltung zahlreicher Passwörter über verschiedene Plattformen hinweg erhöhen den Bedarf nach einer sichereren Alternative. Passkeys – ein Verfahren zur passwortfreien Authentifizierung – erfüllen genau diesen Anspruch.

Warum Passwörter nicht mehr genügen

Laut dem 2025 Data Breach Investigations Report von Verizon zählen kompromittierte Zugangsdaten zu den häufigsten Ursachen für Sicherheitsvorfälle. Im Jahr 2024 wurden über 2,8 Milliarden Passwörter – verschlüsselt oder unverschlüsselt – in kriminellen Foren gehandelt oder öffentlich zugänglich gemacht.

Bei sogenannten Basic Web Application Attacks (BWAA), bei denen erstaunliche 88 Prozent der Vorfälle erbeutete Zugangsdaten betreffen, sind diese der häufigste Angriffsvektor. Kriminelle benötigen oft nur minimalen Aufwand, um Zugang zu wertvollen Daten zu erlangen, da gestohlene Benutzernamen und Passwörter meist die erste und letzte Verteidigungslinie für vertrauliche Informationen darstellen.

Hinzu kommt der menschliche Faktor: Passwörter setzen voraus, dass Nutzerinnen und Nutzer sie sich merken und sicher aufbewahren – eine Anforderung, die in der Praxis oft scheitert.

Angesichts der Vielzahl an Onlinediensten und immer strengeren Vorgaben zur Passwortkomplexität greifen viele Menschen zu unsicheren Notlösungen: Sie notieren sich Zugangsdaten ungeschützt oder verwenden dasselbe Passwort für mehrere Konten. Damit steigt das Risiko erheblich, dass bei einem einzigen Datenleck gleich mehrere Dienste kompromittiert werden.

Zwar bietet die Multi-Faktor-Authentifizierung (MFA) eine zusätzliche Schutzschicht, doch das grundlegende Problem bleibt bestehen: Das Passwort ist eine zentrale Schwachstelle. Passkeys umgehen dieses Risiko vollständig, da sie ohne Passwort auskommen und auf einem anderen Sicherheitskonzept basieren.

Das neue Prinzip

Doch wie funktionieren Passkeys konkret? Sie stellen einen neuen Ansatz zur digitalen Authentifizierung dar – mit dem Ziel, das klassische Passwortsystem vollständig abzulösen. Sie ermöglichen eine sichere und benutzerfreundliche Anmeldung bei Onlinediensten. Technisch gesehen handelt es sich um einen kryptografischen Schlüssel, der auf einem Gerät gespeichert ist und in der Regel biometrisch abgesichert wird.

Jeder Passkey ist eindeutig mit dem jeweiligen Nutzer und dem konkreten Dienst verknüpft. Im Unterschied zu Passwörtern können Passkeys nicht erraten, nicht durch Phishing abgegriffen und nicht mehrfach verwendet werden – das macht sie sicherer und robuster gegenüber gängigen Angriffsmethoden.

So läuft die Anmeldung ohne Passwort ab

Meldet sich ein Nutzer bei einem passkeykompatiblen Dienst an, erscheint eine Option wie „Mit Passkey anmelden“. Das verwendete Gerät – etwa ein Smartphone oder Laptop – erstellt daraufhin ein einzigartiges kryptografisches Schlüsselpaar:

• Ein privater Schlüssel, der sicher auf dem Gerät verbleibt und es niemals verlässt. Dieser wird typischerweise in einer speziell geschützten Hardwarekomponente gespeichert, etwa im Trusted Platform Module (TPM) unter Windows oder der Secure Enclave bei Apple. Im Gegensatz zu Passwortmanagern, die Zugangsdaten in Software ablegen, sind Passkeys fest an die Hardware gebunden.
• Ein öffentlicher Schlüssel, der beim jeweiligen Onlinedienst hinterlegt wird. Er enthält keine vertraulichen Informationen und kann daher nicht für Angriffe missbraucht werden.

Unsichtbar, unknackbar – und bequem

Diese technischen Eigenschaften bringen handfeste Vorteile gegenüber klassischen Passwörtern mit sich. Da Passkeys an das Gerät und die biometrischen Merkmale des Nutzers gekoppelt sind, lassen sie sich nicht stehlen oder weiterverwenden. Ihre kryptografische Struktur sorgt dafür, dass im Fall eines Datenlecks keine verwertbaren Informationen anfallen, die für Angriffe genutzt werden könnten.

Selbst wenn es einem Angreifer gelingen sollte, den privaten Schlüssel eines Passkeys zu extrahieren, bliebe dieser nutzlos, denn ohne das ursprüngliche Gerät und die biometrische Authentifizierung kann man ihn nicht einsetzen. Jeder Passkey ist technisch untrennbar mit dem ursprünglichen Gerät und dem Nutzer verknüpft.

Neben der besseren Sicherheit bieten Passkeys zudem einen hohen Bedienkomfort, da Nutzerinnen und Nutzer keine Passwörter mehr erstellen, merken oder verwalten müssen – auch Passwortmanager entfallen. Die Anmeldung erfolgt bequem über biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung.

Im Gegensatz zu klassischen Passwörtern bleibt der Passkey für den Nutzer unsichtbar: Er wird im Hintergrund automatisch generiert und auf dem Gerät sicher gespeichert, ohne dass er jemals manuell eingegeben oder angezeigt wird.

Selbst wenn ein Angreifer versucht, Nutzerinnen oder Nutzer auf eine gefälschte Website umzuleiten, bleibt der Passkey wirkungslos – denn er ist fest mit der Original-Domain verknüpft, unter der er erstellt wurde. Ein Einsatz auf einer abweichenden Website ist technisch ausgeschlossen.

Auch im unwahrscheinlichen Extremfall – etwa wenn ein Angreifer den privaten Schlüssel erbeutet, bleibt der Passkey geschützt, da er an die Hardware des ursprünglichen Geräts sowie an eine biometrische Authentifizierung gebunden ist. Ein Missbrauch durch Dritte ist dadurch praktisch ausgeschlossen.

Was Passkeys (noch) ausbremst

Trotz dieser Stärken stehen Passkeys vor einigen praktischen Hürden. Als vergleichsweise neue Authentifizierungstechnologie sind sie noch auf kompatible Geräte, Anwendungen und Webdienste angewiesen – ebenso wie auf eine gewisse Akzeptanz und Umgewöhnung auf Nutzerseite.

So empfinden viele Menschen die Unsichtbarkeit des Schlüssels und die Abhängigkeit vom Gerät als Kontrollverlust, im Gegensatz zum vertrauten, sichtbaren Passwort. Hier braucht es gezielte Nutzeraufklärung und eine Vertrauensbasis, um die Akzeptanz zu stärken.

Die Marktentwicklung zeigt jedoch insgesamt eine positive Tendenz. Große Anbieter wie Apple, Google und Microsoft haben Passkeys bereits in ihre Ökosysteme integriert. Laut dem „Online Authentication Barometer 2024“ der FIDO Alliance sind inzwischen 62 Prozent der Verbraucher mit Passkeys vertraut, 53 Prozent haben sie bereits bei mindestens einem Dienst aktiviert.

Ein weiterer Schwachpunkt zeigt sich, wenn das Gerät verloren geht oder aus anderen Gründen nicht mehr nutzbar ist, denn dann ist der Zugriff auf passkeybasierte Dienste zunächst nicht mehr möglich. Daher sind zuverlässige Wiederherstellungsmethoden essenziell – beispielsweise über ein anderes verknüpftes Gerät oder über alternative Verifizierungswege wie eine E-Mail-Bestätigung.

Bei einem Diebstahl sollten Nutzerinnen und Nutzer den betroffenen Passkey trotzdem unverzüglich deaktivieren und neu anlegen, um einen möglichen Missbrauch zu verhindern.

Das Ende der Passwörter

Insgesamt zeichnen sich Passkeys als tragfähige Authentifizierungslösung ab – besonders mit Blick auf die kommenden Jahre. Auch wenn sie die Passwörter nicht von heute auf morgen verdrängen werden, bieten sie durch die Kombination aus Sicherheit und Nutzerfreundlichkeit eine überzeugende Alternative.

Technologieunternehmen wie Apple, Google und Microsoft treiben die Einführung schon länger aktiv voran – in ihren Plattformen zeichnen sich bereits passwortlose Ökosysteme ab. Der weltweite Übergang zu dieser modernen Form der Authentifizierung könnte langfristig das Ende klassischer Passwörter einläuten.

Allerdings ist auch denkbar, dass sich langfristig hybride Modelle etablieren, mit Passkeys als Standard, ergänzt durch zusätzliche Verfahren in besonders sicherheitskritischen Szenarien. Die völlige Ablösung des Passworts bleibt damit eher eine strategische Perspektive als eine kurzfristige Realität.