AIO APEX
Software & Apps

Passkeys ersetzen Passwörter — So ist der aktuelle Stand der Dinge

Teilen:
Passkeys ersetzen Passwörter — So ist der aktuelle Stand der Dinge

Wie passkeys funktionieren

Ein passkey ist eine kryptografische Anmeldedaten, die auf den Standards WebAuthn / FIDO2 basiert. Bei der Registrierung generiert Ihr Gerät ein Schlüsselpaar aus öffentlichem und privatem Schlüssel. Der private Schlüssel verlässt Ihr Gerät nie; der Server speichert nur den öffentlichen Schlüssel. Bei der Authentifizierung signiert das Gerät eine Herausforderung mit dem privaten Schlüssel, und der Server überprüft die Signatur mit dem öffentlichen Schlüssel.

Da die Anmeldedaten ursprungsgebunden sind — kryptografisch an eine bestimmte Domain geknüpft — kann eine phishing-Website niemals einen passkey abgreifen. Selbst wenn ein Angreifer Sie dazu bringt, paypa1.com zu besuchen, funktioniert der passkey für paypal.com dort schlicht nicht. Diese phishing-Immunität ist der mit Abstand größte Sicherheitssprung, den passkeys gegenüber Passwörtern oder SMS OTP bieten.

Verbreitungszahlen

Google meldete Ende 2025 über 800 Millionen passkey-Authentifizierungen pro Monat bei mehr als 400 Millionen Konten. Die Liste kompatibler Dienste der FIDO Alliance hat 300 große Plattformen überschritten. Microsoft berichtet, dass über 99 % der Verbraucher-Anmeldungen nun passwortlos sind (eine breitere Kategorie, die passkeys und Windows Hello umfasst).

Welche Dienste passkeys unterstützen

  • Google — passkeys sind die Standard-Anmeldemethode für persönliche Konten
  • Apple — unterstützt bei allen Apple ID-Anmeldungen; Apple Keychain synchronisiert geräteübergreifend
  • Microsoft — Windows Hello und die Authenticator-App für persönliche und Entra-verwaltete Konten
  • GitHub — passkeys für alle Kontotypen seit 2023 verfügbar
  • PayPal — passkeys in den USA mit weltweiter Ausweitung
  • eBay — passkey-Unterstützung im Jahr 2024 eingeführt
  • Shopify — passkey-Abläufe für Händler und Käufer sind live
  • WhatsApp — passkeys auf Android und iOS

Geräteübergreifende Synchronisierung

passkeys sind am praktischsten, wenn sie über Ihre Geräte synchronisiert werden. Drei große Ökosysteme übernehmen das heute:

  • Apple Keychain — passkeys werden Ende-zu-Ende-verschlüsselt zwischen iPhone, iPad und Mac über iCloud synchronisiert
  • Google Password Manager — passkeys werden über Android und Chrome auf jedem Betriebssystem synchronisiert
  • 1Password & Dashlane — plattformübergreifende Drittanbieter-Manager, die auch Geschäftsteams die gemeinsame Nutzung von passkeys ermöglichen

Plattformübergreifende Reibungspunkte

Die schwierigste Stelle im Jahr 2026 ist die ökosystemübergreifende Authentifizierung. Wenn Ihr passkey in Apple Keychain gespeichert ist und Sie sich auf einem Windows-PC anmelden müssen, müssen Sie den hybriden QR code + Bluetooth-Ablauf verwenden: Der PC zeigt einen QR code, Sie scannen ihn mit Ihrem iPhone, und die Bluetooth-Nähe bestätigt Ihre physische Anwesenheit. Es funktioniert, ist aber so umständlich, dass viele Nutzer aufgeben und auf ein Passwort zurückgreifen.

Fortschritte sind in Sicht. Das Credential Exchange Protocol (CXP) der FIDO Alliance, das 2025 finalisiert wurde, ermöglicht es Nutzern, passkeys aus einem Manager zu exportieren und in einen anderen zu importieren — was die Anbieterbindung beendet, sobald Manager die Funktion ausliefern.

Unternehmen: Okta und Microsoft Entra

Unternehmen übernehmen passkeys über Identity Provider. Okta unterstützt FIDO2 passkeys in seiner Workforce Identity Cloud, und phishing-resistente MFA ist nun eine Compliance-Anforderung für US-Bundesauftragnehmer. Microsoft Entra (früher Azure AD) unterstützt Hardware-Sicherheitsschlüssel und gerätgebundene passkeys über Windows Hello for Business, mit synchronisierten passkeys auf der Roadmap.

Geräteverlust und Wiederherstellung

Die wichtigste Frage zur Benutzerfreundlichkeit: Was passiert, wenn Sie Ihr Telefon verlieren? Da synchronisierte passkeys in der Cloud (verschlüsselt) vorhanden sind, ist ihre Wiederherstellung an den Cloud-Konto-Wiederherstellungsprozess geknüpft — Apple ID-Wiederherstellungskontakte, Google-Konto-Wiederherstellungs-E-Mail/Telefon. Für gerätgebundene passkeys (wie ein FIDO2-Hardware-Schlüssel) sollten Sie mindestens zwei Schlüssel registrieren und einen extern aufbewahren. Die meisten Dienste führen auch einen Backup-Wiederherstellungscode oder einen E-Mail-Ablauf, obwohl diese phishing-Angriffsfläche wieder einführen.

Warum SMS OTP bestehen bleibt

Trotz der Vorteile von passkeys bleibt SMS OTP weit verbreitet, weil es keinerlei client-seitige Einrichtung erfordert, auf jedem Telefon funktioniert und Milliarden von Nutzern vertraut ist. SIM-Swapping-Angriffe sind real, aber selten im Vergleich zu Credential-Stuffing. Regulierte Branchen (Banken, Gesundheitswesen) unterliegen zudem Compliance-Anforderungen, die rund um OTP verfasst wurden. Erwarten Sie, dass SMS OTP im Laufe der nächsten fünf Jahre langsam schwindet, während die passkey-Benutzererfahrung reift — nicht von heute auf morgen verschwindet.

WebAuthn API-Übersicht für Entwickler

Die Hinzufügung von passkey-Unterstützung erfordert zwei Abläufe: Registrierung und Authentifizierung.

Registrierung:

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: serverChallenge,
    rp: { name: "My App", id: "myapp.com" },
    user: { id: userId, name: userEmail, displayName: userName },
    pubKeyCredParams: [{ type: "public-key", alg: -7 }],
    authenticatorSelection: { residentKey: "required" }
  }
});

Authentifizierung:

const assertion = await navigator.credentials.get({
  publicKey: { challenge: serverChallenge, rpId: "myapp.com" }
});

Serverseitig übernehmen Bibliotheken wie SimpleWebAuthn (Node.js), py_webauthn (Python) und webauthn4j (Java) die kryptografische Überprüfung. passkeys, die residentKey: required verwenden, werden auf dem Authenticator gespeichert und ermöglichen eine vollständig passwortlose und benutzernamenslose Anmeldung.

Handlungsempfehlungen

  • Nutzer: Aktivieren Sie passkeys bei Google, Apple ID und GitHub noch heute. Verwenden Sie 1Password oder Dashlane, wenn Sie plattformübergreifende Flexibilität wünschen.
  • Entwickler: Fügen Sie die WebAuthn-Registrierung neben Ihrer bestehenden Anmeldung hinzu. Die Browser-API ist stabil; verwenden Sie eine Server-Bibliothek. Unterstützen Sie sowohl synchronisierte als auch gerätgebundene Anmeldedaten.
  • Unternehmen: Verlangen Sie phishing-resistente MFA (passkey oder Hardware-Schlüssel) für privilegierten Zugriff. Okta und Entra unterstützen dies bereits jetzt.
  • Alle: Behalten Sie eine Backup-Wiederherstellungsmethode. passkeys sind kein Grund, die Einrichtung der Kontowiederherstellung zu überspringen.

Das Passwort-Zeitalter ist nicht vorbei — 300 Plattformen von Millionen bedeutet, dass die meisten Anmeldefelder weiterhin eine Zeichenkette erwarten. Aber die Infrastruktur ist vorhanden, die Benutzererfahrung verbessert sich, und das Sicherheitsargument ist überwältigend. Die Frage ist nicht mehr ob passkeys Passwörter ersetzen werden, sondern wie schnell.

passkeysauthenticationsecurityFIDO2WebAuthnpasswords
Teilen:
Passkeys ersetzen Passwörter — So ist der aktuelle Stand der Dinge | AIO APEX