Ein Passkey ist ein kryptografischer Anmelde-Schlüssel, der das Passwort vollständig ersetzt: Nutzer melden sich per Fingerabdruck, Gesichtserkennung oder Geräte-PIN an, statt ein Geheimnis einzutippen. Technisch steckt dahinter Public-Key-Kryptografie nach dem FIDO2-Standard. Das Entscheidende: Es gibt kein Passwort mehr, das gephisht, erraten oder bei einem Datenleck gestohlen werden kann. 2026 ist diese Technik im Alltag angekommen – laut FIDO Alliance sind weltweit rund 5 Milliarden Passkeys aktiv im Einsatz.
Was ist ein Passkey – und wie funktioniert er technisch?
Bei der Registrierung erzeugt Ihr Gerät ein Schlüsselpaar. Der private Schlüssel verlässt das Gerät nie – er liegt geschützt im Secure Enclave oder TPM-Chip. Nur der zugehörige öffentliche Schlüssel wird beim Dienst (dem „Relying Party") gespeichert. Beim Login schickt der Server eine zufällige Aufgabe („Challenge"), die das Gerät mit dem privaten Schlüssel signiert; der Server prüft die Signatur mit dem öffentlichen Schlüssel. Ein Geheimnis wird dabei nie übertragen.
Standardisiert ist das über FIDO2 – die Kombination aus WebAuthn (eine W3C-Browser-API) und CTAP (Client to Authenticator Protocol der FIDO Alliance). Die Biometrie dient nur dazu, den Schlüssel lokal freizuschalten. Fingerabdruck oder Gesichtsdaten bleiben auf dem Gerät und werden niemals an den Server geschickt – ein echter Vorteil auch mit Blick auf die DSGVO.
Warum sind Passkeys phishing-resistent?
Jeder Passkey ist fest an die Domain des Dienstes gebunden (die Relying-Party-ID). Der Authenticator signiert ausschließlich für genau diese Herkunft. Landet ein Nutzer auf einer täuschend echten Phishing-Seite unter einer anderen Adresse, kommt der Passkey schlicht nicht zum Einsatz – es gibt nichts einzugeben und nichts zu verraten.
Dazu kommt: Beim Anbieter liegt nur der öffentliche Schlüssel, der für einen Angreifer wertlos ist. Selbst ein komplettes Datenleck der Nutzerdatenbank liefert keine verwendbaren Zugangsdaten. Damit entfallen die häufigsten Angriffe auf einen Schlag – Phishing, Credential Stuffing, Passwort-Wiederverwendung und Brute-Force. Genau deshalb ist das Thema fester Bestandteil moderner IT-Sicherheit.
Passkey, Passwort oder 2FA – was ist der Unterschied?
| Kriterium | Passwort | Passwort + 2FA (SMS/App) | Passkey |
|---|---|---|---|
| Phishing-resistent | Nein | Kaum (Code abphishbar) | Ja (Domain-gebunden) |
| Beim Anbieter gespeichert | Hash des Geheimnisses | Hash + Seed | Nur öffentlicher Schlüssel |
| Bei Datenleck nutzbar | Ja, oft | Teilweise | Nein |
| Nutzer muss sich etwas merken | Ja | Ja | Nein |
| Anmeldung | Tippen | Tippen + Code | Biometrie / PIN |
Ein Passkey vereint also zwei Faktoren in einem Schritt: den Besitz des Geräts und die biometrische Verifikation. Er ist damit von Haus aus Multi-Faktor – ohne den Reibungsverlust eines separaten SMS-Codes.
Wie weit sind Passkeys 2026 verbreitet?
Die großen Plattformen haben die Weichen längst gestellt. Google meldet über 800 Millionen Konten mit Passkeys und mehr als 2,5 Milliarden Passkey-Anmeldungen. Microsoft legt neue Privatkonten seit Mai 2025 standardmäßig passwortlos an und rollt die passwortlose Anmeldung in Entra-Umgebungen breit aus; über seine Verbraucherdienste (Xbox, Copilot, OneDrive) werden zudem rund eine Million Passkeys täglich registriert. Apple synchronisiert Passkeys geräteübergreifend über den iCloud-Schlüsselbund.
Auch die Nutzerakzeptanz zieht nach: Laut der FIDO Alliance kennen 90 % der Verbraucher Passkeys, und 75 % haben sie bei mindestens einem Konto aktiviert (Sapio-Research-Befragung von 11.000 Erwachsenen in zehn Ländern, darunter Deutschland, April 2026). Microsoft berichtet zudem, dass Passkey-Anmeldungen deutlich zuverlässiger gelingen als Passwörter. Die Richtung ist eindeutig – das Passwort wird zur Ausnahme.
Wie setzen Unternehmen Passkeys in Web- und Mobile-Apps um?
Im Web läuft alles über die WebAuthn-API (navigator.credentials.create() zum Registrieren, .get() zum Anmelden). In nativen Apps kommen plattformeigene Schnittstellen zum Einsatz: die Credential Manager API unter Android und das AuthenticationServices-Framework unter iOS. Wer eine Web-App und eine native App parallel betreibt, hinterlegt eine Domain-Verknüpfung (assetlinks.json bei Android, apple-app-site-association bei iOS), damit derselbe Passkey in beiden funktioniert.
Zwei Bauformen sollten Sie kennen: synchronisierte Passkeys, die der Anbieter-Schlüsselbund über Geräte hinweg sichert (bequem, ideal für Endkunden), und gerätegebundene Passkeys auf Hardware-Keys wie YubiKey (höchste Sicherheit, sinnvoll für Admins und regulierte Bereiche). Auch cross-plattform gebaute Apps – etwa mit Flutter – binden diese nativen APIs über Plugins ein.
Wichtig ist eine durchdachte Fallback- und Recovery-Strategie: ein zweiter registrierter Passkey, ein Wiederherstellungscode oder die Anmeldung per Magic-Link. So sperren Sie niemanden aus, wenn ein Gerät verloren geht. Diese Details entscheiden über Erfolg oder Frust – und gehören in jedes seriöse Software-Projekt ebenso wie in die laufende Wartung.
Lohnt sich die Umstellung für Ihr Unternehmen?
In den meisten Fällen: ja. Der Nutzen ist konkret messbar. Weniger Support-Aufwand, weil „Passwort vergessen" wegfällt. Höhere Abschlussraten beim Login und bei der Registrierung, weil die Hürde sinkt. Und deutlich weniger Risiko, weil die häufigsten Angriffswege verschlossen werden.
Der pragmatische Weg ist selten der harte Schnitt. Führen Sie den Passkey zunächst als zusätzliche Option neben dem Passwort ein, messen Sie die Nutzung und machen Sie ihn dann zur bevorzugten Methode. Für ein neues Produkt oder MVP lohnt es sich, gleich passwortlos zu starten – die öffentlichen Schlüssel liegen dabei einfach als weiteres Feld in Ihrer Datenbank.
Häufige Fragen
Was passiert mit meinem Passkey, wenn ich mein Gerät verliere?
Synchronisierte Passkeys liegen verschlüsselt im Schlüsselbund des Anbieters (iCloud Keychain, Google Password Manager oder ein Manager wie 1Password/Bitwarden) und sind nach der Anmeldung an einem neuen Gerät wieder da. Für zusätzliche Sicherheit empfiehlt sich ein zweiter Passkey oder Hardware-Schlüssel.
Sind Passkeys sicherer als 2FA per SMS?
Ja. SMS- und App-Codes lassen sich abphishen oder per SIM-Swapping abfangen. Ein Passkey ist an die Domain gebunden und signiert nur für die echte Website – Phishing-Seiten gehen ins Leere.
Brauchen Nutzer ein bestimmtes Gerät oder Betriebssystem?
Aktuelle Versionen von iOS, Android, Windows und macOS sowie alle großen Browser unterstützen Passkeys. Fehlt der Passkey auf einem Gerät, klappt die Anmeldung geräteübergreifend per QR-Code und Bluetooth-Näherungsprüfung.
Lassen sich Passkeys in bestehende Apps nachrüsten?
Ja. Sie werden als zusätzliche Anmeldeoption neben dem Passwort eingeführt. Web-Apps nutzen die WebAuthn-API, native Apps die Credential Manager API (Android) bzw. AuthenticationServices (iOS) – gut integrierbar in bestehende Backends.
Passende Themen
Passkeys in Ihre App oder Website integrieren?
Wir bauen phishing-resistente Anmeldung sauber in Ihr Web- oder Mobile-Produkt ein – inklusive Fallback, Recovery und DSGVO-konformer Umsetzung.
Projekt besprechen →