Passkeys statt Passwörter: Wo der Umstieg heute schon trägt

Dass Sicherheitsbehörden wie das britische National Cyber Security Centre Passkeys offensiv empfehlen, ist kein symbolischer Feldzug gegen das Passwort. Dahinter steckt ein technischer Befund: Klassische Passwörter sind leicht abzufischen, werden wiederverwendet und müssen trotzdem mit immer neuen Zusatzschichten wie SMS-Codes oder Authenticator-Apps abgesichert werden. Passkeys setzen an einer anderen Stelle an. Sie sollen verhindern, dass Nutzer überhaupt noch ein übertragbares Geheimnis eintippen müssen.

Für Verbraucher ist das relevant, weil die Technik inzwischen im Alltag angekommen ist. Moderne Smartphones, Rechner und Browser unterstützen Passkeys direkt. Für Unternehmen geht es um mehr als Komfort: Wenn Phishing-resistente Logins Standard werden, verändern sich Risiko, Supportaufwand und die Frage, wie Konten nach Geräteverlust wiederhergestellt werden. Genau dort entscheidet sich, ob der Umstieg nur gut klingt oder tatsächlich trägt.

Der Kernmechanismus ist vergleichsweise schlicht. Bei einem Passkey entsteht für jeden Onlinedienst ein kryptografisches Schlüsselpaar. Der öffentliche Schlüssel liegt beim Dienst, der private bleibt auf dem Gerät oder in einer dafür vorgesehenen, verschlüsselten Synchronisation. Bei der Anmeldung sendet der Dienst eine kryptografische Herausforderung. Das Gerät signiert sie nur dann, wenn die Website oder App zur erwarteten Adresse passt und der Nutzer die Anmeldung lokal freigibt, etwa per Fingerabdruck, Gesichtserkennung oder Geräte-PIN.

Damit fällt das klassische Problem des Passworts weg: Es gibt keinen Geheimtext mehr, den eine Phishing-Seite abfragen und weiterverwenden könnte. Die FIDO-Standards und die WebAuthn-Schnittstelle binden die Anmeldung an die konkrete Herkunft der Website. Ein gefälschter Login kann die echte Adresse nicht einfach übernehmen. Das macht Passkeys nicht unangreifbar, aber der häufigste und wirtschaftlich attraktivste Angriffspfad wird deutlich unergiebiger.

Ganz ohne Restgefahr ist das System dennoch nicht. Das britische NCSC verweist darauf, dass kompromittierte Endgeräte, schadhafte Browser-Erweiterungen oder unsauber abgesicherte Webanwendungen weiterhin Probleme verursachen können. Auch akademische Arbeiten zu lokalen Angriffen auf FIDO2 zeigen: Wer das Gerät selbst oder den Browser kontrolliert, kann Schutzmechanismen teilweise aushebeln. Passkeys sind also vor allem eine starke Antwort auf Remote-Phishing, nicht auf jeden denkbaren Angreifer.

Die beste Nutzererfahrung entsteht dort, wo Betriebssystem, Browser und Gerätekonto zusammenspielen. Dann muss niemand mehr ein Passwort auswendig kennen oder einen Code abtippen. Ein neues Gerät kann vorhandene Passkeys über den geschützten Kontoabgleich übernehmen, sofern der Plattformanbieter diese Synchronisation unterstützt. Genau deshalb wirken Passkeys heute deutlich praxistauglicher als frühere Versuche der passwortlosen Anmeldung.

Auch plattformübergreifende Anmeldung ist grundsätzlich vorgesehen. Wer sich an einem fremden Gerät anmelden will, kann einen Passkey oft per QR-Code und Nahverbindungsprüfung über das eigene Smartphone nutzen. In vielen Alltagssituationen funktioniert das erstaunlich unauffällig. Reibungslos ist es aber vor allem dann, wenn Geräte aktuell sind, Browser sauber mitspielen und der Dienst WebAuthn konsequent umgesetzt hat. Im Idealfall verschwindet der Login fast aus dem Blickfeld. Im ungünstigen Fall wirken Passkeys dagegen sofort weniger elegant als versprochen.

Die größte praktische Frage lautet nicht, wie ein Passkey erstellt wird, sondern was beim Verlust eines Geräts passiert. Wer nur einen einzigen, nicht gesicherten Passkey besitzt, kann sich selbst aussperren. Deshalb ist die Kontowiederherstellung zentral. Genau hier verschiebt sich das Risiko. Wenn ein Anbieter zwar den Login stark absichert, den Zugang zum Synchronisationskonto oder den Wiederherstellungsprozess aber schwächer behandelt, entsteht ein neuer Angriffspfad.

Das NCSC weist deshalb ausdrücklich auf die Sicherheit des Kontos hin, über das Passkeys zwischen Geräten verfügbar gemacht werden. Die NIST-Leitlinien ziehen an dieser Stelle ebenfalls eine Grenze: Synchronisierbare Authenticatoren sind für viele normale Anwendungen geeignet, aber nicht für die höchste Vertrauensstufe AAL3, bei der der private Schlüssel nicht exportierbar sein darf. Für besonders kritische Konten bleiben hardwaregebundene Sicherheitsschlüssel oder vergleichbar strikt geschützte Verfahren daher relevant.

Hinzu kommt ein organisatorischer Zielkonflikt. Anbieter wollen den Zugang nach Geräteverlust nicht unnötig erschweren, dürfen ihn aber auch nicht zu leicht wieder öffnen. Je komfortabler die Wiederherstellung, desto wichtiger werden Identitätsprüfung, Protokollierung und Benachrichtigung. Alte Fallbacks wie Passwort plus SMS unterlaufen sonst genau den Sicherheitsgewinn, den Passkeys bringen sollen.

Für Unternehmen ist die Frage nicht, ob Passkeys technisch überzeugend sind, sondern wo sie den größten Nutzen bringen. Besonders sinnvoll sind sie dort, wo viele Mitarbeiter oder Kunden sich regelmäßig anmelden, Phishing ein reales Risiko ist und Passwort-Resets viel Aufwand erzeugen. Passkeys können diesen Aufwand senken, weil kein gemerktes Geheimnis mehr gepflegt und zurückgesetzt werden muss. Dafür steigt die Bedeutung von Geräteverwaltung, Identitätsprüfung und klaren Recovery-Prozessen.

Praktisch heißt das: Zuerst muss geklärt werden, welche Anwendungen Passkeys sauber unterstützen, welche Fallbacks bestehen bleiben und welche Nutzergruppen strengere Verfahren brauchen. Für normale Alltagszugänge können synchronisierte Passkeys ein guter Standard sein. Für Administratoren, hochsensible Systeme oder regulierte Umgebungen kann ein hardwaregebundener Schlüssel weiterhin die bessere Wahl sein. Der Umstieg beschleunigt sich vor allem dann, wenn große Plattformen Passkeys standardmäßig anbieten und Dienste das Verfahren nicht nur ergänzend, sondern als bevorzugten Login behandeln. Er stockt dort, wo Altanwendungen, gemeinsame Geräte oder brüchige Wiederherstellungswege den Alltag dominieren.

Passkeys sind keine magische Abschaffung aller Login-Probleme. Sie sind aber ein klarer Fortschritt gegenüber Passwörtern, weil sie die wichtigste Schwäche des alten Modells entschärfen: das übertragbare Geheimnis. Für Verbraucher lohnt sich der Wechsel meist schon heute, wenn ein genutzter Dienst Passkeys anbietet und mindestens ein zweites Gerät oder ein weiterer Wiederherstellungsweg vorhanden ist. Für Unternehmen lohnt er sich, wenn neben der Anmeldung auch Enrollment, Gerätewechsel, Recovery und Fallbacks sauber geplant sind. Wer nur den Login modernisiert, aber den Rest im Passwort-Zeitalter belässt, verschenkt einen Teil des Sicherheitsgewinns.