Passkeys 2026: Das Ende der Passwörter
FIDO2, WebAuthn, iCloud Keychain und der Google Password Manager — Passkeys sind 2026 aus dem Nischendasein in den Mainstream übergetreten. Was funktioniert, was nicht, und wie stellt man die Migration sicher an.
Inhaltsverzeichnis
Das Fundament: Wie Passkeys technisch funktionieren
Ein Passkey ist kein Passwort. Das ist die wichtigste Erkenntnis. Statt einem String, den ein Mensch sich merkt und auf jeder Seite wiederverwendet, speichert ein Passkey ein kryptografisches Schlüsselpaar lokal auf deinem Gerät — Private Key bleibt auf dem Gerät, Public Key wird beim Dienst registriert. Die Authentifizierung erfolgt über eine Challenge-Response: Der Dienst schickt eine zufällige Challenge, dein Gerät signiert sie mit dem Private Key, der Dienst verifiziert die Signatur gegen seinen gespeicherten Public Key. Fertig.
Die grundlegende Spezifikation ist FIDO2, konkret der WebAuthn-Standard (Web Authentication Level 2 seit 2023, Level 3 im Draft seit 2024). FIDO2 basiert auf Public-Key-Kryptografie mit ECDSA auf der P-256-Kurve oder Ed25519. Der private Schlüssel wird entweder im Secure Enclave (Apple), Titan Security Chip (Google/Android), TPM (Windows) oder einem externen FIDO2-Sicherheitsschlüssel (YubiKey, SoloKeys, Nitrokey) gespeichert.
Der private Schlüssel ist an die Domain gebunden (Origin Binding). Ein Credential, das für https://github.com erstellt wurde, funktioniert nicht auf https://githab.com — selbst wenn der Nutzer den Unterschied nicht bemerkt. Das Signatur-Protokoll verweigert die Antwort auf eine falsche Origin. Das macht Phishing auf Protokollebene unmöglich, nicht nur unwahrscheinlich.
Synchronisation vs. Gerätegebundenheit
Es gibt zwei Architekturen für Passkeys:
Seit 2024 haben sich die synchronisierten Passkeys durchgesetzt — Nutzerakzeptanz ist um den Faktor 10 höher als bei rein gerätegebundenen Lösungen. Die Debatte Sicherheit vs. Usability hat praktisch entschieden: Sync gewinnt.
Die großen Anbieter im Vergleich
Apple iCloud Keychain
iOS / macOS / watchOS
Apples Implementierung definiert den Goldstandard für UX. Passkeys werden über iCloud Keychain synchronisiert, Face ID / Touch ID dient als User Verification. Seit iOS 17 und macOS Sonoma werden Passkeys systemweit in Safari, Apps und dem Betriebssystem selbst unterstützt.
- Nahtlose Geräteübergreifende Synchronisation
- Biometrischer Unlock in <500ms
- AirDrop für Passkey-Sharing
- Nur im Apple-Ökosystem
- iCloud-Abhängigkeit
- Keine hardware-basierte 2FA
Google Password Manager
Android / Chrome / Cross-Platform
Google integriert Passkeys seit Android 14 (API 34) systemnah. Der Google Password Manager speichert synchronisierte Passkeys und bietet eine Web-Oberfläche zur Verwaltung. Androids Credential Manager API vereinheitlicht Passkey- und Passwort-Authentifizierung.
- Plattformübergreifend (Android + Chrome)
- Kostenlos, kein Abo nötig
- QR-Code-Login auf Desktop
- Biometrie-Qualität variiert stark
- Datenschutzbedenken (Google)
- Weniger konsistent als Apple
1Password / Dashlane
Passwort-Manager mit Passkey-Support
Drittanbieter-Passwortmanager haben Passkeys als Killer-Feature integriert. 1Password unterstützt seit Version 8.10 sowohl gerätegebundene als auch synchronisierte Passkeys und bietet Cross-Platform-Synchronisation über alle Betriebssysteme hinweg.
- Plattformübergreifend (alle OS)
- Reichhaltige Passkey-Verwaltung
- Travel Mode, Watchtower-Monitoring
- Abonnement nötig (ab 36 €/Jahr)
- Zusätzliche Angriffsfläche (Master-Passwort)
- Nicht native OS-Integration
YubiKey / Nitrokey
Hardware-FIDO2-Sicherheitsschlüssel
Hardware-Token bleiben das Nonplusultra für Hochsicherheits-Anforderungen. YubiKey 5 Series unterstützt FIDO2/WebAuthn, FIDO U2F, PIV, OpenPGP und OATH-TOTP. Nitrokey 3 setzt auf Open-Source-Firmware und bietet maximale Transparenz.
- Höchste Sicherheit (airgapped)
- Keine Cloud-Abhängigkeit
- Multi-Protocol (FIDO2, PIV, PGP)
- Verlust = Account-Recovery nötig
- Bis zu 50 € pro Token
- Keine automatische Synchronisation
Plattform-Unterstützung 2026
Ende 2025 und Anfang 2026 hat sich das Ökosystem dramatisch beschleunigt. Was vor zwei Jahren ein Nischenfeature war, ist heute Standard bei allen wichtigen Plattformen. Die folgende Tabelle zeigt, wer Passkeys wie unterstützt:
| Plattform / Dienst | Passkey-Login | Cross-Device | 2FA-Modus | Status |
|---|---|---|---|---|
| Google (Alle Dienste) | ✅ Vollständig | ✅ QR + Bluetooth | Geräte-PIN oder Biometrie | Empfohlen |
| Microsoft (Azure AD, 365) | ✅ Enterprise-Ready | ✅ Windows Hello | Windows Hello / FIDO2-Token | Empfohlen |
| Apple (iCloud, Developer) | ✅ Systemweit | ✅ iCloud Keychain | Face ID / Touch ID | Empfohlen |
| GitHub | ✅ Standard seit 2024 | ✅ Alle FIDO2-Quellen | Geräte-PIN + Backup | Empfohlen |
| Amazon | ✅ Prime + AWS Console | ⚠️ Nur eigene Geräte | Biometrie oder PIN | Eingeschränkt |
| PayPal | ✅ Vollständig | ✅ App + Browser | Geräte-PIN | Empfohlen |
| European Banking (PSD2) | ⚠️ Teilweise | ❌ Keine | Nur als Zusatzfaktor | Verzögert |
| Deutsche Behörden (eID) | ❌ Noch nicht | ❌ Nein | Nein | Nicht verfügbar |
Die Strong Customer Authentication (SCA) nach PSD2 erfordert zwei von drei Faktoren (Wissen, Besitz, Inherence). Ein Passkey allein deckt zwar Besitz + Inherence ab (Gerät + Biometrie), aber viele EU-Banken akzeptieren Passkeys aktuell nur als Zusatzfaktor, nicht als primären Authentifizierungsweg. Die EBA (European Banking Authority) arbeitet an einer FIDO2-Clarification, die bis Q3 2026 erwartet wird.
Migration: Von Passwort zu Passkey
Die Migration ist der kritischste Teil. Ein Passkey-Angebot ohne ausgereiften Recovery-Flow ist riskanter als ein starkes Passwort mit TOTP. Hier ist der bewährte Drei-Stufen-Plan:
Stufe 1: Passkey hinzufügen, Passwort behalten
Registriere Passkeys zusätzlich — NICHT ersetzend. Das gibt dir eine Fallback-Option, falls etwas schiefgeht. Fast alle großen Dienste (Google, GitHub, Microsoft) unterstützen parallele Login-Methoden. Nutze diese Sicherheitspuffer-Phase, um den Passkey-Workflow zu testen.
Stufe 2: Passkey als primäre Methode etablieren
Nach 2-4 Wochen zuverlässiger Nutzung: Setze den Passkey als Standard-Login. Deaktiviere nicht das Passwort, aber reduziere es auf einen langen, zufällig generierten String (30+ Zeichen), den du nirgendwo anderer verwendest. Dieser dient als letzter Notfall-Zugang.
Stufe 3: Passwort eliminieren (optional)
Erst wenn du mindestens zwei unabhängige Passkey-Quellen für einen Dienst hast (z. B. iCloud Keychain + Hardware-Token), solltest du das Passwort entfernen. Google und GitHub bieten mittlerweile eine "Passwort-deaktivieren"-Option, die reine Passkey-Accounts erzwingt.
Sobald du einen Passkey für einen wichtigen Dienst erstellst, generiere und speichere die Recovery/Backup-Codes an einem physischen, sicheren Ort (gedruckt, verschlossen). Einige Dienste (z. B. GitHub) bieten auch "Recovery Passkeys" an — zusätzliche gerätegebundene Credentials, die du an einem sicheren Ort aufbewahrst.
Risiken, Grenzen und Workarounds
Passkeys sind nicht magisch. Sie eliminieren spezifische Angriffsvektoren (Phishing, Credential Stuffing, schwache Passwörter), führen aber neue Herausforderungen ein:
1. Account Recovery bei Geräteverlust
Wenn dein iPhone mit allen iCloud-Keychain-Passkeys gestohlen oder zerstört wird, wie kommst du wieder in deine Accounts? Apple bietet "iCloud Data Recovery" — aber das erfordert entweder ein vertrautes Gerät, einen Recovery Contact oder den Account Recovery Service (tage- bis wochenlang). Die Antwort: Mindestens einen hardware-basierten Passkey (YubiKey) als letzte Bastion offline aufbewahren.
2. Vendor Lock-in
Apple-Passkeys funktionieren am besten im Apple-Ökosystem. Google-Passkeys funktionieren am besten mit Android. Die Cross-Plattform-Portabilität ist technisch gegeben (der Private Key ist theoretisch exportierbar durch den Passkey-Anbieter), aber Apple und Google bieten keine Export-Funktion an. Wer sein Ökosystem wechseln will (iOS → Android), muss Passkeys manuell neu erstellen — bei jedem einzelnen Dienst. Die FIDO Alliance arbeitet an einem "Credential Export Protocol", das 2017 im Draft ist.
3. Biometrie-Schwächen
Passkeys verlassen sich auf Biometrie als User Verification. Aber nicht alle Biometrie-Systeme sind gleichwertig: Face ID und Windows Hello IR sind sicher, optische Face-Unlock bei Billig-Smartphones ist es nicht. Ultrasonic Fingerprint (Qualcomm 3D Sonic) ist sicher, optischer Fingerabdrucksensor manchmal nicht. Ein Angreifer mit einem hochauflösendem Foto oder einem Silikon-Fingerabdruck kann schwache Systeme überlisten.
4. Sync-Infrastruktur als Single Point of Failure
Synchronisierte Passkeys leben in der Cloud — auch wenn End-to-End-verschlüsselt. Wenn Apples iCloud Keychain oder Googles Password Manager kompromittiert wird (durch einen Bug oder Insider-Angriff), sind alle synchronisierten Passkeys potenziell gefährdet. Die Verschlüsselung ist theoretisch sicher, aber die Implementierungshistorie (iCloud-Fotoleak 2014, diverse Google-Bugs) zeigt, dass Vertrauen in Cloud-Anbieter nicht blind sein sollte.
Fazit: Solltest du umsteigen?
Die Antwort ist ein klares Ja — mit Vorsicht. Passkeys eliminieren die größte Schwachstelle des Internets: wiederverwendete, schwache oder gephiste Passwörter. Für die überwältigende Mehrheit der Nutzer sind Passkeys sicherer als jeder Passwort-Manager.
Aber: Die Migration ist nicht trivial. Wer einfach alle Passwörter durch Passkeys ersetzt ohne Backup-Plan, riskiert einen Account-Lockout, der schlimmer ist als ein gehacktes Passwort. Das Drei-Stufen-Modell (hinzufügen → primär machen → Passwort eliminieren) ist der sicherste Weg.
Empfehlung für 2026:
- Privatanwender: Nutze die systemeigene Passkey-Lösung deines Hauptgeräts (iCloud Keychain für Apple, Google Password Manager für Android). Erstelle für die 5 wichtigsten Accounts (E-Mail, Bank, Arbeit, Cloud, Passwort-Manager) zusätzlich einen Hardware-Passkey als Backup.
- Unternehmen: Setze auf Microsofts Azure AD Passkey-Support oder Enterprise-Password-Manager mit Passkey-Integration (1Password Business, Dashlane Business). Erzwinge FIDO2-Token für Admin-Zugänge. Trainiere Mitarbeiter im Recovery-Flow.
- Hochsicherheitsanforderungen: Verlasse dich nicht auf synchronisierte Passkeys. Nutze ausschließlich gerätegebundene Hardware-Token (YubiKey 5 FIPS, Nitrokey 3) mit physischer Separierung (ein Token am Arbeitsplatz, einer im Safe).
Ein Passkey, den du nicht wiederherstellen kannst, ist gefährlicher als ein Passwort, das du dir merkst. Der Sicherheitsgewinn von Passkeys ist real und messbar — aber er setzt eine funktionierende Recovery-Strategie voraus. Ohne Backup ist jede Sicherheitsinnovation nutzlos.
Häufige Fragen
Kann ich Passkeys auf mehreren Geräten nutzen?
Ja, wenn sie synchronisiert sind. Apple iCloud Keychain synchronisiert über alle Apple-Geräte. Google Password Manager über Android-Geräte und Chrome-Browser. Für Cross-Platform-Nutzung (Apple ↔ Android) brauchst du einen Drittanbieter wie 1Password oder du nutzt QR-Code-Login.
Was passiert, wenn ich mein Gerät verliere?
Bei synchronisierten Passkeys: Kein Problem, solange du ein weiteres Gerät mit demselben Konto hast. Bei gerätegebundenen Passkeys: Du brauchst einen Recovery-Key oder ein Backup-Passkey. Deshalb die Empfehlung: Mindestens ein Hardware-Token als physisches Backup.
Sind Passkeys wirklich sicherer als starkes Passwort + 2FA?
Ja — gegen Phishing und Credential Stuffing. Ein Passkey kann nicht gephisht werden (Origin Binding) und nicht aus einem Datenleak abgegriffen werden (kein Shared Secret). Allerdings hat ein starkes, einmaliges Passwort + Hardware-TOTP/FIDO2 immer noch seinen Platz, besonders wenn du die Cloud-Abhängigkeit von Passkeys vermeiden willst.
Brauche ich eine Internetverbindung für Passkeys?
Für die Authentifizierung selbst nicht — die kryptografische Signatur erfolgt lokal. Aber für die erste Registrierung und für Synchronisation (bei syncbaren Passkeys) ist Internet nötig.