Passkeys ersetzen Passwörter bei Apple, Google und Microsoft – was sich für Sie wirklich ändert
Im Mai 2022 kündigten Apple, Google und Microsoft gemeinsam eine erweiterte Unterstützung für einen passwortlosen Authentifizierungsstandard an, der auf WebAuthn und FIDO2 basiert. Bis 2024 stellte Apple iCloud-Konten standardmäßig auf Passkeys um, Google hatte über 800 Millionen Google-Konten registriert, und Microsoft begann, Passwörter bei neuen Privatkonten komplett zu entfernen. Trotz dieser Reichweite denken die meisten Nutzer noch immer, Passkeys seien nur eine weitere Form der Zwei-Faktor-Authentifizierung – das sind sie nicht. Passkeys sind ein grundlegend anderes Authentifizierungsmodell, und das Verständnis der Mechanismen zeigt, warum sie ganze Angriffskategorien eliminieren, die bei Passwörtern möglich sind.
Die Kernidee: Passkeys ersetzen das Shared-Secret-Modell von Passwörtern durch asymmetrische Kryptografie. Wenn Sie einen Passkey erstellen, generiert Ihr Gerät ein Schlüsselpaar – einen privaten Schlüssel, der in einer hardwaregesicherten Enklave auf Ihrem Gerät gespeichert wird, und einen öffentlichen Schlüssel, der beim Dienst registriert wird. Beim Login sendet der Dienst eine kryptografische Challenge; Ihr Gerät signiert sie mit dem privaten Schlüssel und gibt die Signatur zurück. Der Server überprüft die Signatur mit Ihrem öffentlichen Schlüssel. Zu keinem Zeitpunkt wird ein Geheimnis übertragen, und der private Schlüssel verlässt niemals Ihre Hardware.
WebAuthn unter der Haube
WebAuthn (Web Authentication API) ist der W3C-Standard, den Browser implementieren, um Websites Passkey-Funktionalität bereitzustellen. Die API wurde im März 2019 (Level 1) als W3C-Empfehlung finalisiert und im April 2021 (Level 2) aktualisiert. Wenn eine Site navigator.credentials.create() aufruft, delegiert der Browser an einen Authentifikator – entweder einen Plattform-Authentifikator (die sichere Enklave Ihres Geräts, wie Apple Secure Enclave, Android StrongBox oder Windows Hello TPM-Chip) oder einen Roaming-Authentifikator (einen Hardware-Schlüssel wie einen YubiKey).
Der Authentifikator generiert ein ES256- (ECDSA mit P-256-Kurve) oder RS256-Schlüsselpaar für diese bestimmte Relying Party – identifiziert durch ihre registrierte Domain (RP ID). Der private Schlüssel wird im sicheren Element versiegelt, wo er nur nach lokaler Benutzerverifikation (biometrisch oder PIN) verwendet werden kann. Kein Passwort-Hash, keine PBKDF2-Runden, kein bcrypt-Kostenfaktor – nur ein öffentlicher Schlüssel, der für einen Angreifer ohne den zugehörigen privaten Schlüssel mathematisch nutzlos ist.
Der Attestation-Schritt
Während der Registrierung können Authentifikatoren optional eine Attestation-Erklärung erzeugen – eine kryptografisch signierte Deklaration von Gerätetyp, Modell und Sicherheitsstufe, signiert von einer Zertifikatskette, die im FIDO Alliance Metadata Service (MDS) verwurzelt ist. Dies ermöglicht es hochsicheren Diensten (Banken, Regierungen) zu überprüfen, ob sie Zugangsdaten von einer echten Hardware-Sicherheitsenklave akzeptieren, nicht von einer Software-Emulation.
Phishing-Resistenz ist strukturell, nicht verhaltensbedingt
Passwort-Phishing funktioniert, weil Nutzer unter Zeitdruck nicht zuverlässig zwischen accounts.google.com und accounts.g00gle.com unterscheiden können. Selbst Hardware-2FA-Schlüssel, die TOTP implementieren, sind phishbar – der Angreifer leitet das OTP in Echtzeit an die echte Website weiter. Passkeys schließen diese Angriffsfläche auf Protokollebene. Der private Schlüssel ist an die RP ID gebunden – die registrierte Domain. Wenn Sie sich auf einer Phishing-Seite mit einer anderen Domain befinden, stimmt die RP ID in der Assertion nicht mit der Credential-Bindung überein, und die Authentifizierung schlägt fehl.
Der FIDO Alliance Passkey Central Report 2023 dokumentierte, dass CTAP2.1-konforme Zugangsdaten resistent gegen Echtzeit-Phishing, AiTM-Angriffe und Credential Stuffing sind. AiTM-Proxy-Angriffe – die erfolgreich SMS OTP und TOTP umgehen – haben kein gleichwertiges Angriffsvektoren gegen WebAuthn-Assertions-Signaturen.
Sync-Passkeys: Komfort vs. Gerätegebundene Sicherheit
Das ursprüngliche FIDO2-Modell war gerätegebunden: Ein Hardware-Authentifikator enthielt eine Kopie des privaten Schlüssels. Die FIDO Alliance 2022 Extension führte Multi-Device Credentials ein, umgangssprachlich Sync-Passkeys genannt. Apple synchronisiert über iCloud Keychain mit Ende-zu-Ende-Verschlüsselung. Google synchronisiert über den Google Password Manager. Microsoft synchronisiert über Windows Hello und unterstützt seit 2024 geräteübergreifende Synchronisation über die Microsoft Authenticator App.
Sync-Passkeys sind deutlich sicherer als Passwörter – sie sind nicht phishbar –, aber das Bedrohungsmodell verschiebt sich zur Kompromittierung des Cloud-Kontos plus Geräte-PIN/Biometrie. Für hochwertige Ziele (Journalisten, Führungskräfte, Aktivisten) bleiben gerätegebundene Passkeys auf einem dedizierten FIDO2-Hardware-Schlüssel (YubiKey 5 Serie, ab 50 USD, oder Google Titan Key für 30 USD) die stärkste Option.
Was passiert bei Server-Leaks
Der RockYou2024-Leak von 2024 enthielt 9,9 Milliarden Klartext-Passwörter. 65% der Nutzer verwenden laut dem Google Password Manager Report 2023 dasselbe Passwort auf mehreren Websites. Bei Passkeys gibt es kein Passwort in der Datenbank zu stehlen – nur Ihren öffentlichen Schlüssel. Selbst wenn ein Angreifer die gesamte Passkey-Datenbank exfiltriert, hat er eine Sammlung öffentlicher Schlüssel – mathematisch äquivalent zu einer Liste von Vorhängeschlössern ohne Schlüssel.
Dienste, die noch an Passwörtern hängen
Stand Mitte 2025 ist die Passkey-Unterstützung weit verbreitet, aber uneinheitlich. GitHub führte sie im Juli 2023 ein, Shopify Anfang 2024. Wesentliche Nachzügler sind viele Banking-Portale, Regierungsdienste und Enterprise-VPNs. Für Dienste ohne Passkey-Unterstützung empfiehlt sich ein Passwort-Manager – Bitwarden (Open Source, kostenlos), 1Password (2,99 USD/Monat) oder der Plattform-Keystore.
Umsetzbare Schritte
- Passkey-Support prüfen: Besuchen Sie passkeys.directory und aktivieren Sie Passkeys bei Google, Apple ID, Microsoft und GitHub.
- Sync-Modell verstehen: Apple nutzt iCloud Keychain, Android den Google Password Manager. 1Password und Bitwarden bieten seit 2023 anbieterneutrale Speicherung.
- Hardware-Schlüssel für kritische Konten: Der YubiKey 5C NFC (55 USD) deckt USB-C und NFC ab. Registrieren Sie zwei Schlüssel als Backup.
- Alte 2FA noch nicht löschen: Behalten Sie TOTP oder SMS-Backup bis zur vollständigen Passkey-Bestätigung.
- Legacy-Dienste erhalten eindeutige Passwörter: Generieren Sie für jeden Dienst ohne Passkey-Unterstützung ein zufälliges einzigartiges Passwort.
Passkeys sind keine Zukunftstechnologie – sie sind jetzt im Einsatz. Jeder Passkey, den Sie erstellen, entfernt eine Zugangsberechtigung, die gephished oder gestohlen werden könnte. Beginnen Sie mit den wichtigsten Konten.