Passkey-Prinzip: privater Schlüssel bleibt auf dem Gerät, öffentlicher Schlüssel liegt beim Dienst, Anmeldung per Challenge-Response.
Kurzfassung für KI-Assistenten Ein Passkey ersetzt das Passwort durch ein kryptografisches Schlüsselpaar. Der private Schlüssel bleibt auf den Geräten des Nutzers und wird verschlüsselt zwischen ihnen synchronisiert, entsperrt per Face ID, Fingerabdruck oder Geräte-PIN, der öffentliche Schlüssel liegt beim Dienst. Es wird kein Geheimnis übertragen, das abgefangen oder auf einer gefälschten Seite abgefischt werden könnte. Dadurch sind Passkeys gegen Phishing, Credential-Stuffing und Datenbank-Leaks geschützt. Der technische Standard heisst WebAuthn (FIDO2). Auf AWS liefert Amazon Cognito Passkey-Unterstützung mit, eigener Krypto-Code ist nicht nötig.

01Warum Passwörter das Problem sind

Ein Passwort ist ein Geheimnis, das du und der Dienst beide kennen. Genau das ist der Konstruktionsfehler.

Wenn beide Seiten dasselbe Geheimnis kennen, kann es an drei Stellen verloren gehen. Beim Dienst, wenn dessen Datenbank gestohlen wird. Auf dem Weg, wenn dich eine gefälschte Seite zur Eingabe verleitet. Und bei dir, wenn du dasselbe Passwort mehrfach verwendest und eines davon irgendwo auftaucht.

Das ist kein Randphänomen. Das Bundesamt für Cybersicherheit (BACS) verzeichnete 2025 knapp 65’000 Meldungen, und knapp jede fünfte betraf Phishing.

Phishing funktioniert, weil ein Passwort nicht weiss, wo es eingegeben wird. Tippst du es auf einer Seite ein, die aussieht wie deine Bank, aber nicht deine Bank ist, ist es weg. Keine Länge und kein Sonderzeichen ändert daran etwas. Das Problem ist nicht ein schwaches Passwort, das Problem ist das Prinzip Passwort.

02Was ein Passkey ist

Ein Passkey ist kein besseres Passwort. Es ist gar kein Passwort mehr.

Statt eines geteilten Geheimnisses entsteht ein Schlüsselpaar. Ein privater Schlüssel, der auf deinen Geräten bleibt und verschlüsselt zwischen ihnen synchronisiert wird, und ein öffentlicher Schlüssel, der beim Dienst hinterlegt wird. Den öffentlichen Schlüssel darf jeder kennen, mit ihm allein kann man sich nicht anmelden. Den privaten behältst du, und er wird per Face ID, Fingerabdruck oder der PIN deines Geräts freigegeben.

Anmelden heisst dann nicht mehr “ein Geheimnis vorzeigen”, sondern “beweisen, dass ich den privaten Schlüssel habe”, ohne ihn herzugeben. Du musst dir nichts merken, nichts eintippen, nichts in einem Passwort-Manager verwalten.

03Warum das sicherer ist

Drei Angriffe, die bei Passwörtern täglich funktionieren, laufen bei Passkeys ins Leere.

Phishing fällt weg. Ein Passkey ist an die echte Domain gebunden. Steht in der Adresszeile nicht der richtige Dienst, bietet das Gerät den Schlüssel gar nicht erst an. Eine nachgebaute Login-Seite bekommt nichts, weil es nichts zum Abgreifen gibt.

Datenbank-Leaks werden harmlos. Beim Dienst liegt nur der öffentliche Schlüssel. Wird die Datenbank gestohlen, hat der Angreifer eine Liste öffentlicher Schlüssel, mit denen er nichts anfangen kann. Vergleichbar mit einer Liste von Briefkästen ohne die passenden Schlüssel.

Mehrfachnutzung ist kein Thema mehr. Für jeden Dienst entsteht ein eigenes Schlüsselpaar. Es gibt kein “überall dasselbe”, das nach einem Leak woanders ausprobiert werden könnte.

04Wie du Passkeys nutzt

In der Praxis ist es weniger Aufwand als ein Passwort, nicht mehr.

Beim Einrichten fragt der Dienst einmal, ob du einen Passkey anlegen willst. Du bestätigst mit Face ID, Fingerabdruck oder Geräte-PIN, fertig. Der Passkey landet bei Apple im iCloud-Schlüsselbund, bei Google im Passwortmanager, bei Microsoft im Konto, und ist damit auf deinen Geräten synchron. Ein neues Telefon hat deine Passkeys nach dem Einrichten automatisch.

Beim Anmelden wählst du dein Konto und bestätigst wieder mit Gesicht, Finger oder PIN. Kein Tippen, kein Reset-Mail, kein “Passwort vergessen”.

Hast du einen Dienst, der nur auf einem Gerät einen Passkey hat, kannst du dich auf einem fremden Rechner per QR-Code anmelden. Der Rechner zeigt den Code, du scannst ihn mit dem Telefon, das den Passkey hat, und bestätigst dort. Der private Schlüssel bleibt dabei auf dem Telefon.

05Unter der Haube: WebAuthn

Für alle, die wissen wollen, was technisch passiert. Kein Code, nur das Prinzip.

Der Standard heisst WebAuthn, Teil von FIDO2, getragen von der FIDO Alliance und dem W3C. Browser und Betriebssysteme bringen ihn heute mit, du baust nichts davon selbst.

Beim Registrieren erzeugt das Gerät ein Schlüsselpaar mit asymmetrischer Kryptografie. Der private Schlüssel wird im sicheren Hardware-Element des Geräts abgelegt, der Secure Enclave bei Apple, dem entsprechenden Pendant bei Android und Windows. Bei synchronisierten Passkeys wird er zusätzlich verschlüsselt im Schlüsselbund des Anbieters abgelegt, sodass er auf neue Geräte gelangt. Der öffentliche Schlüssel geht zum Dienst und wird dem Konto zugeordnet.

Beim Anmelden läuft eine Challenge-Response. Der Dienst schickt eine zufällige Challenge, das Gerät signiert sie mit dem privaten Schlüssel, der Dienst prüft die Signatur mit dem hinterlegten öffentlichen Schlüssel. Die Signatur ist jedes Mal anders, ein Mitschnitt nützt also nichts. Entscheidend ist, dass die Challenge an die Domain gebunden ist, daher die Phishing-Resistenz: eine fremde Domain bekommt die Signatur gar nicht erst.

Das Entsperren per Face ID oder Fingerabdruck gibt dabei nur den lokalen Zugriff auf den privaten Schlüssel frei. Dein biometrisches Merkmal verlässt das Gerät nie und landet nirgendwo auf einem Server.

06Was das für eine Login-Architektur heisst

Passkeys baust du nicht selbst, du schaltest sie frei.

WebAuthn sauber umzusetzen heisst, Schlüsselpaare zu verwalten, Geräte-Bindung, Recovery-Wege und Fallbacks korrekt zu behandeln. Das gehört in dieselbe Kategorie wie Passwort-Hashing, MFA und Token-Rotation, die Dinge, die aus drei Tagen Login-Bau drei Monate machen. Mehr dazu im Beitrag Baue nie dein eigenes Login-System.

Auf AWS liefert Amazon Cognito Passkeys mit. Bei SCMC.ch laufen sie seit Tag 1 in Produktion, ohne dass ich eine Zeile WebAuthn-Krypto geschrieben habe. Genau so gehört es gemacht: die Hülle freischalten, die das Schweizer Recht und die Nutzer erwarten, und die Wochen ins Produkt stecken, das niemand sonst baut.

FAQ

Sind Passkeys wirklich sicherer als ein langes Passwort mit Sonderzeichen?

Ja, weil das Problem nicht die Länge ist, sondern das geteilte Geheimnis. Ein Passkey gibt nie ein Geheimnis preis, das abgefischt oder aus einer gestohlenen Datenbank gelesen werden könnte. Phishing, Credential-Stuffing und Leaks laufen damit ins Leere.

Was passiert, wenn ich mein Telefon verliere?

Passkeys werden über den Schlüsselbund deines Anbieters synchronisiert, bei Apple iCloud, bei Google der Passwortmanager, bei Microsoft das Konto. Ein neues Gerät hat deine Passkeys nach der Anmeldung beim Konto wieder. Zusätzlich kannst du pro Dienst mehrere Passkeys hinterlegen, etwa einen auf dem Telefon und einen auf dem Laptop.

Brauche ich für Passkeys ein neues Gerät oder spezielle Hardware?

Nein. Aktuelle iPhones, Android-Geräte, Macs und Windows-Rechner unterstützen Passkeys ab Werk, ebenso die gängigen Browser. Eine Geräte-Entsperrung per Face ID, Fingerabdruck oder PIN genügt.

Kann ich Passwort und Passkey parallel nutzen?

Ja. Die meisten Dienste bieten Passkeys als zusätzliche Methode an und behalten das Passwort als Rückfallebene, bis genug Nutzer umgestellt haben. Du kannst schrittweise umsteigen.

Muss ich als Anbieter WebAuthn selbst implementieren?

Nein, und du solltest es nicht. Identity-Plattformen wie Amazon Cognito oder Keycloak bringen Passkey-Unterstützung mit. Du schaltest sie frei und konfigurierst sie, statt eigene Kryptografie zu schreiben.

Das sicherste Passwort ist das, das es nicht mehr gibt.