Passkeys haben sich technisch durchgesetzt. Die großflächige Einführung ist die Herausforderung.
Passwörter sind ein bekanntes Sicherheitsdesaster. Die Wiederverwendung ist allgegenwärtig – eine Studie aus dem Jahr 2024 ergab, dass 65 % der Menschen Passwörter über mehrere Konten hinweg wiederverwenden. Phishing stiehlt Zugangsdaten in industriellem Ausmaß – das FBI meldete allein für 2023 Verluste in Höhe von 4,57 Milliarden US-Dollar durch Phishing-betrug. Credential-Stuffing-Angriffe, bei denen geleakte Passwörter aus einem Sicherheitsvorfall gegen hunderte andere Dienste ausprobiert werden, verursachen täglich Millionen von Account-Übernahmen. Das Problem ist nicht, dass Nutzer unverantwortlich sind – es ist grundsätzlich unvernünftig, Menschen zu bitten, sich Dutzende einzigartiger, starker Anmeldedaten zu merken und zu verwalten.
Passkeys sind die Antwort der FIDO Alliance. Sie basieren auf dem WebAuthn-Standard (formell W3C Web Authentication) und nutzen Public-Key-Kryptografie zur Authentifizierung, ohne ein Geheimnis über das Netzwerk zu senden. Ihr Gerät erzeugt ein Schlüsselpaar, wenn Sie einen Passkey erstellen: Der private Schlüssel verbleibt auf Ihrem Gerät, gesichert durch Ihre Biometrie (Face ID, Fingerabdrucksensor) oder eine PIN. Der öffentliche Schlüssel geht an die Website. Bei der Anmeldung sendet die Website eine Challenge; Ihr Gerät signiert sie mit dem privaten Schlüssel, ohne dass dieser das Gerät jemals verlässt. Es gibt nichts, was eine Phishing-Seite stehlen könnte, nichts, was ein Datenleck offenlegen könnte, und nichts, was ein Credential-Stuffer wiederverwenden könnte.
Der technische Fall ist abgeschlossen
Die kryptografischen Grundlagen von WebAuthn sind robust. Der Standard wurde 2019 vom W3C veröffentlicht und hat umfangreiche Sicherheitsanalysen durchlaufen. Passkeys, die auf Apple-Geräten, Android oder Windows erstellt werden, sind nun plattformübergreifend via Synchronisierung nutzbar – Apple Keychain synchronisiert Passkeys über Apple-Geräte via iCloud; Google Password Manager synchronisiert Passkeys über Android und Chrome; 1Password und Bitwarden haben Passkey-Speicher integriert und ermöglichen so die plattformübergreifende Nutzung über Drittanbieter-Passwortmanager.
Die Phishing-Resistenz ist der bedeutendste praktische Vorteil. Ein normales Passwort kann durch eine überzeugende gefälschte Anmeldeseite erfasst werden. Ein Passkey kann das nicht – die kryptografische Challenge-Response ist domänengebunden. Ein Passkey für google.com kann sich buchstäblich nicht bei g00gle.com authentifizieren; der Ursprung ist im Protokoll fest verankert. Replay-Angriffe – bei denen ein abgefangenes Authentifizierungstoken erneut verwendet wird – werden ebenfalls verhindert. Die bei jeder Authentifizierung signierte Challenge ist einzigartig und zeitlich begrenzt; eine abgefangene Signatur ist nutzlos.
Google berichtete im Mai 2024, dass Passkey-Nutzer die Authentifizierung doppelt so schnell abschließen wie mit Passwörtern, mit einer Verbesserung der Anmeldeerfolgsrate um 25 %. Für Websites ist dies eine direkte Umsatzkennzahl: Fehlgeschlagene Anmeldungen sind abgebrochene Sitzungen.
Wo die Einführung kompliziert wird
Wenn Passkeys so gut funktionieren, warum setzen die meisten Websites dann immer noch auf Passwörter? Mehrere reale Hindernisse bremsen die Einführung.
Kontowiederherstellung. Passwörter haben einen bekannten Wiederherstellungspfad: E-Mail-Reset-Link. Passkeys haben kein Äquivalent. Wenn ein Nutzer alle seine Geräte verliert, ohne den Passkey migriert zu haben, ist er ausgesperrt. Websites müssen einen Fallback-Mechanismus bereithalten – in der Regel einen einmaligen Code per E-Mail oder SMS – der dann zum neuen schwächsten Glied wird. Ein entschlossener Angreifer kann den Wiederherstellungs-Fallback mit Phishing oder SIM-Swap angreifen und damit die Phishing-Resistenz des Passkeys teilweise außer Kraft setzen.
Gemeinsame Konten. Familien, die Streaming-Abonnements teilen, oder Unternehmen mit gemeinsamen Anmeldedaten – das passt nicht sauber zum Passkey-Modell, das von einem einzigen authentifizierenden Gerät pro Credential ausgeht. Enterprise-Identitätsanbieter arbeiten an Delegationsmodellen, aber gemeinsame Konten für Endverbraucher bleiben schwierig.
Komplexität der Unternehmenseinführung. Unternehmens-IT-Abteilungen, die Windows-Flotten verwalten, müssen Passkeys in Active Directory und Enterprise-Identitätsanbieter (Azure AD, Okta, Ping Identity) integrieren. Synchronisierte Passkeys – die geräteübergreifend wechseln – werden von vielen Unternehmenssicherheitsrichtlinien blockiert, da sie die gerätegebundene Authentifizierungsanforderung verletzen.
Anreize für Entwickler. Die korrekte Implementierung von WebAuthn erfordert serverseitige Änderungen an Authentifizierungsabläufen, clientseitige Änderungen an der Anmelde-UI und sorgfältige Handhabung der Registrierungs- und Wiederherstellungsprozesse. Für ein kleines Entwicklungsteam, das einen Legacy-Auth-Stack wartet, kann der Entwicklungsaufwand erheblich sein.
Wer führt und was funktioniert
Google ist der aggressivste Anwender und hat Ende 2023 Passkeys als Standard-Anmeldemethode für Google-Konten aktiviert. Apple iCloud Keychain synchronisiert Passkeys seit iOS 16. Microsoft hat die Passkey-Unterstützung für Consumer-Microsoft-Konten 2023 integriert und Windows 11 23H2 hat eine dedizierte Passkey-Verwaltungsoberfläche hinzugefügt.
Unter den Consumer-Diensten haben GitHub, PayPal, eBay, Shopify, TikTok, Best Buy und Hyatt Passkey-Support ausgeliefert. Die Website Passkey Central der FIDO Alliance listet Stand Mitte 2026 über 400 Dienste mit Passkey-Unterstützung. Die Unternehmenseinführung erfolgt zunächst über Hardware-Sicherheitsschlüssel – YubiKey FIDO2-Schlüssel sind seit Jahren in Unternehmensumgebungen im Einsatz und decken den Phishing-Resistenz-Vorteil ab, ohne dass eine Passkey-Synchronisationsinfrastruktur erforderlich ist.
Die Lücke in der Benutzererfahrung
Das größte praktische Hindernis ist nicht technischer Natur – es ist die UX. Viele Passkey-Implementierungen präsentieren den Nutzern einen komplexen Registrierungsablauf, der sie verwirrt, ob der Passkey gespeichert ist und ob er auf einem anderen Gerät funktioniert. Eine intuitive, wiederherstellungssichere Passkey-Experience zu entwerfen, ist schwieriger als es klingt.
Die FIDO Alliance hat UX-Forschung und Designrichtlinien speziell zur Lösung dieses Problems veröffentlicht, aber die Umsetzung ist uneinheitlich. Apples Passkey-UX – eine einzelne Face ID-Aufforderung, ausgelöst durch ein Blatt mit der Aufschrift „Face ID zum Anmelden verwenden“ – gilt weithin als der Goldstandard. Web-basierte Implementierungen, die auf der rohen WebAuthn-API aufbauen, variieren stark in der Qualität.
Der Weg zur Massenakzeptanz führt über Passkeys, die bei der Anmeldung die Standardoption werden – und nicht eine versteckte Opt-in-Funktion in den Sicherheitseinstellungen – sowie über eine zuverlässige geräteübergreifende Erfahrung, die die Ersteinrichtung offensichtlich und den Wiederherstellungspfad klar macht. Die Technologie ist bereit. Die UX-Standardisierung ist es nicht. Diese Lücke muss die Arbeit der nächsten 2-3 Jahre schließen – und sobald das geschieht, wird die Passwort-Ära schneller enden, als die meisten erwarten.