Was ist ein Passkey und wie funktioniert er? Wie erstellt man einen Passkey für Geräte und Konten?

Was ist ein Passkey?

Ein Passkey ist eine Art digitaler Schlüssel, der direkt auf deinen Geräten – etwa Smartphone, Laptop oder Tablet – gespeichert wird. Diese fortschrittliche, passwortlose Login-Methode funktioniert für Webseiten und Apps und basiert auf kryptografischen Schlüsselpaaren. Bei der Anmeldung übernehmen Passkeys die Authentifizierung für dich, ohne dass du ein Passwort eingeben musst. Das macht den Login nicht nur einfacher, sondern schützt dich auch zuverlässig vor Phishing-Angriffen, da es kein Passwort gibt, das gestohlen werden könnte.

Die Technologie wird von der FIDO-Allianz vorangetrieben – einem Branchenverband, der sich seit über zehn Jahren der Entwicklung passwortloser Sicherheitslösungen widmet. Dass Unternehmen wie Apple, Google und Microsoft Passkeys bereits in ihre Systeme integriert haben, zeigt: Die Ablösung des klassischen Passworts ist keine Zukunftsvision mehr, sondern längst in Gang.

Wie funktioniert ein Passkey?

Passkeys basieren auf einem Schlüsselpaar-Prinzip. Bei der Einrichtung werden zwei kryptografisch verknüpfte Schlüssel erzeugt – ein öffentlicher Schlüssel, der beim jeweiligen Dienst gespeichert wird, und ein privater Schlüssel, der sicher auf deinem Gerät bleibt und es nie verlässt. Nur wenn beide Schlüssel zusammenpassen, wird die Anmeldung freigegeben. So funktioniert der Vorgang im Detail:

1. 1.Passkey erstellen: Wenn du dich bei einem Dienst für die Passkey-Anmeldung registrierst, erzeugt dein Gerät automatisch ein Schlüsselpaar. Der öffentliche Schlüssel wird an den Dienst übermittelt und dort gespeichert. Der private Schlüssel verbleibt ausschließlich auf deinem Gerät – geschützt durch die Sicherheitshardware deines Smartphones oder Computers.
2. 2.Anmeldung starten: Wenn du dich das nächste Mal anmelden willst, sendet der Dienst eine sogenannte Authentifizierungsanfrage (Challenge) an dein Gerät – eine einmalige, zufällig generierte Zeichenkette.
3. 3.Identität bestätigen: Dein Gerät fordert dich auf, deine Identität zu bestätigen – zum Beispiel per Fingerabdruck, Gesichtserkennung oder PIN. Dieser Schritt stellt sicher, dass nur du den privaten Schlüssel verwenden kannst.
4. 4.Challenge signieren: Sobald du dich authentifiziert hast, signiert dein Gerät die Challenge mit dem privaten Schlüssel. Diese Signatur ist einmalig und kann nicht wiederverwendet oder gefälscht werden.
5. 5.Signatur überprüfen: Der Dienst empfängt die signierte Antwort und prüft sie mithilfe des gespeicherten öffentlichen Schlüssels. Stimmen die Schlüssel zusammen, ist die Anmeldung erfolgreich – ganz ohne, dass jemals ein Passwort oder der private Schlüssel übertragen wurde.

Dein privater Schlüssel verlässt zu keinem Zeitpunkt dein Gerät. Selbst wenn ein Hacker den Server des Dienstes angreift, erhält er nur den öffentlichen Schlüssel, dieser ist ohne das Gegenstück wertlos. Genau das macht Passkeys so resistent gegen Phishing und Datenlecks.

Passkey-Nutzung über Geräte hinweg

Einer der häufigsten Einwände gegen Passkeys lautet: „Mein Passkey ist auf dem Handy gespeichert – wie melde ich mich damit am PC an?" Dafür gibt es zwei Wege: die geräteübergreifende Anmeldung per QR-Code und die automatische Synchronisierung über die Cloud.

Anmeldung per QR-Code und Bluetooth

Wenn dein Passkey auf dem Smartphone gespeichert ist und du dich an einem anderen Gerät – etwa einem PC oder Laptop – anmelden willst, funktioniert das über einen QR-Code. Die Website zeigt dir am PC einen QR-Code an, den du mit deinem Smartphone scannst. Über eine Bluetooth-Verbindung prüfen beide Geräte, ob sie sich tatsächlich in unmittelbarer Nähe zueinander befinden – das verhindert Fernangriffe. Anschließend bestätigst du die Anmeldung auf deinem Smartphone per Fingerabdruck, Gesichtserkennung oder PIN. Die Authentifizierung läuft dann im Hintergrund, ohne dass der Passkey jemals dein Handy verlässt.

Cloud-synchronisierte Passkeys

Noch einfacher wird es, wenn deine Passkeys automatisch über die Cloud auf all deinen Geräten verfügbar sind. Dienste wie iCloud-Schlüsselbund (Apple) oder Google Passwortmanager synchronisieren deine Passkeys verschlüsselt zwischen deinen Geräten – vom iPhone über das iPad bis zum Mac, oder zwischen Android-Smartphone, Tablet und Chrome-Browser. So steht dir dein Passkey auf jedem eingeloggten Gerät direkt zur Verfügung, ohne dass du einen QR-Code scannen musst. Die Synchronisierung erfolgt Ende-zu-Ende-verschlüsselt, sodass auch der Cloud-Anbieter selbst keinen Zugriff auf deine Passkeys hat.

Der QR-Code-Weg eignet sich für die Anmeldung an fremden oder nicht synchronisierten Geräten, während Cloud-Sync dafür sorgt, dass du auf deinen eigenen Geräten nahtlos auf alle Passkeys zugreifen kannst.

Ist die Passkey-Anmeldung sicherer?

Ja, Passkeys gelten als deutlich sicherer als herkömmliche Passwörter. Sie eliminieren die größten Schwachstellen klassischer Anmeldeverfahren. Es gibt nämlich kein Passwort, das erraten, gestohlen oder durch Datenlecks kompromittiert werden kann. Gleichzeitig sind Passkeys praktisch immun gegen Phishing, weil der private Schlüssel das Gerät nie verlässt und die Authentifizierung kryptografisch an die jeweilige Website gebunden ist. Trotzdem sind Passkeys nicht perfekt – sie bringen eigene Herausforderungen mit, vor allem bei der Geräteabhängigkeit und der noch lückenhaften Verbreitung.

Passkey-Vorteile

Hier einige Vorteile, die Passkeys dir bieten:

• Phishing-Resistenz. Passkeys sind kryptografisch an die jeweilige Domain gebunden. Selbst wenn du auf einer täuschend echten Phishing-Seite landest, funktioniert der Passkey dort nicht – dein Gerät erkennt, dass die Domain nicht übereinstimmt.

• Kann nicht einfach gestohlen werden. Es wird kein Passwort übertragen oder auf einem Server gespeichert. Der Server kennt nur den öffentlichen Schlüssel, der ohne das Gegenstück auf deinem Gerät wertlos ist. Datenlecks beim Anbieter sind damit praktisch ungefährlich.

• Keine vergessenen Passwörter. Du musst dir nichts mehr merken – die Authentifizierung läuft über Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Das spart Zeit und Passwort-Zurücksetzungen.

• Schutz vor Brute-Force-Angriffen. Da es kein Passwort gibt, das durch automatisiertes Ausprobieren geknackt werden könnte, laufen solche Angriffe ins Leere.

• Schutz vor Credential Stuffing. Gestohlene Zugangsdaten aus einem Datenleck können nicht bei anderen Diensten wiederverwendet werden, da jeder Passkey einzigartig für eine bestimmte Website ist.

• Einfachere Nutzung. Die Anmeldung dauert in der Regel nur wenige Sekunden und erfordert keinen Aufwand – ein kurzer Fingerabdruck-Scan genügt.

Passkey-Nachteile

Hier einige Nachteile, die Passkeys mit sich bringen:

• Geräteabhängigkeit. Dein Passkey ist an ein bestimmtes Gerät oder ein Ökosystem gebunden. Geht das Gerät verloren oder wird beschädigt, kann der Zugang kompliziert werden – vor allem ohne Cloud-Synchronisierung.

• Komplexe Kontowiederherstellung. Wenn du den Zugriff auf dein Gerät und deine Cloud-Backups gleichzeitig verlierst, ist die Wiederherstellung deutlich aufwendiger als ein einfaches Passwort-Reset per E-Mail.

• Noch nicht überall unterstützt. Viele Websites und Dienste bieten Passkeys bisher noch nicht als Anmeldeoption an. In der Übergangsphase musst du parallel weiterhin Passwörter nutzen.

• Ökosystem-Bindung. Cloud-synchronisierte Passkeys funktionieren am besten innerhalb eines Ökosystems – etwa Apple oder Google. Der Wechsel zwischen Plattformen (z. B. von iPhone zu Android) kann umständlich sein, da Passkeys nicht immer nahtlos übertragbar sind.

• Abhängigkeit von biometrischen Daten. Wenn die biometrische Authentifizierung auf deinem Gerät ausfällt – etwa durch einen defekten Fingerabdrucksensor – brauchst du eine alternative Entsperrmethode.

• Gemeinsame Nutzung eingeschränkt. Ein Passwort lässt sich bei Bedarf mit einer Vertrauensperson teilen. Passkeys sind an dein Gerät und deine biometrischen Daten gebunden, was die gemeinsame Kontoverwendung – etwa bei Familienaccounts – erschwert.

Was sind die Unterschiede zwischen Passkey und Passwort?

Passkeys unterscheiden sich in mehrfacher Hinsicht von Passwörtern, etwa in ihrer Erstellung, ihrer Verwendung auf Websites und ihrer Sicherung. Passwörter werden von dir erstellt, wohingegen Passkeys automatisch mithilfe von Public-Key-Kryptografie generiert werden.

Ein verbreitetes Missverständnis ist, dass du Passwörter noch benötigst, um Passkeys zu verwenden, was nicht stimmt. Wenn du „passwortgeschützte Passkeys“ hörst, denkst du wahrscheinlich an einen Passwortmanager. Passwortmanager, wie z. B. NordPass, ermöglichen es dir, Anmeldedaten zu speichern und abzurufen. Im Gegensatz dazu werden Passkeys bei jeder Verwendung immer einzigartig generiert und bei jeder Erstellung automatisch geändert.

Automatisch generierte Passkeys sind sicherer, da sie nicht anfällig für Nutzerfehler sind. Man vertippt sich, vergisst oder verlegt Benutzernamen und Passwörter ständig. Passkeys werden eindeutig generiert und zwischen Geräten geteilt, was sie sehr widerstandsfähig gegen das Knacken durch Angreifer macht.

Wo werden Passkeys verwendet?

Die Unterstützung für Passkeys wächst stetig – immer mehr Browser, Betriebssysteme und Online-Dienste setzen auf die passwortlose Anmeldung. Allerdings ist die Verbreitung noch nicht flächendeckend: Nicht jede Website und nicht jede App bietet Passkeys bisher als Option an. In den folgenden Abschnitten findest du einen Überblick über den aktuellen Stand.

Browser

Alle großen Browser unterstützen Passkeys inzwischen nativ:

• Google Chrome. Unterstützt synchronisierte Passkeys über den Google Passwortmanager und die Erstellung über Drittanbieter-Passwortmanager.
• Apple Safari. Passkeys werden über den iCloud-Schlüsselbund gespeichert und geräteübergreifend synchronisiert.
• Microsoft Edge. Nutzt Windows Hello als Authentifizierungsmethode und unterstützt seit Ende 2025 auch synchronisierte Passkeys über den Microsoft Passwortmanager.
• Mozilla Firefox. Firefox unterstützt seit Version 135 auch die erweiterte PRF-Funktion (Proof of Request for Login), die für einige Passwortmanager relevant ist.

Webseiten und Apps

Die Liste der Dienste, die Passkeys unterstützen, wächst kontinuierlich. Zu den bekanntesten gehören:

• Google (Gmail, YouTube, Google Drive und alle Google-Dienste)
• Apple (Apple-ID, iCloud)
• Microsoft (Microsoft-Konto, Microsoft 365)
• Amazon
• PayPal
• eBay
• GitHub
• LinkedIn
• WhatsApp
• Shopify
• TikTok
• Adobe
• Nintendo

Geräte und Betriebssysteme

Hier findest du die Geräte und Betriebssysteme, die dir Passkey-Optionen bieten:

• iOS ab Version 16. Passkeys werden über den iCloud-Schlüsselbund gespeichert und automatisch auf alle Apple-Geräte synchronisiert, die mit derselben Apple-ID angemeldet sind.
• macOS ab Ventura (Version 13). Gleiche Synchronisierung über den iCloud-Schlüsselbund wie bei iOS.
• Android ab Version 9. Ab Android 14 können Passkeys auch in Drittanbieter-Passwortmanagern gespeichert werden.
• Windows ab Windows 10 und Windows 11. Windows Hello (PIN, Fingerabdruck oder Gesichtserkennung) dient als Authentifizierungsmethode. Seit Ende 2025 unterstützt der Microsoft Passwortmanager auch die Cloud-Synchronisierung von Passkeys über das Microsoft-Konto – zuvor wurden Passkeys unter Windows ausschließlich lokal gespeichert.

Wie erstellt man einen Passkey?

Voraussetzung ist immer, dass sowohl dein Gerät als auch die Website oder App, bei der du dich anmelden willst, Passkeys unterstützt. Der grundsätzliche Ablauf ist bei allen Plattformen ähnlich. Du öffnest die Sicherheitseinstellungen des jeweiligen Dienstes, wählst die Option zur Passkey-Erstellung und bestätigst mit deiner biometrischen Methode oder Geräte-PIN. Im Detail unterscheidet sich die Einrichtung je nach Betriebssystem.

Passkey auf Apple-Geräten einrichten

iPhone oder iPad mit iOS 16 oder neuer bzw. Mac mit macOS Ventura (13) oder neuer. Der iCloud-Schlüsselbund muss aktiviert sein – er dient als Speicher und synchronisiert deine Passkeys auf alle Apple-Geräte mit derselben Apple-ID.

1. 1.Stelle sicher, dass der iCloud-Schlüsselbund aktiviert ist und öffne Einstellungen > [Dein Name] > iCloud > Passwörter und aktiviere die Synchronisierung.
2. 2.Öffne die Website oder App, für die du einen Passkey erstellen möchtest.
3. 3.Gehe in die Sicherheits- oder Anmeldeeinstellungen des Dienstes und wähle die Option Passkey erstellen.
4. 4.Bestätige die Erstellung mit Face ID, Touch ID oder dem Gerätecode.
5. 5.Der Passkey wird automatisch im iCloud-Schlüsselbund gespeichert und steht dir auf allen deinen Apple-Geräten zur Verfügung.

Passkey auf Android-Geräten einrichten

Android 9 oder neuer bieten Passkeys. Ab Android 14 können Passkeys auch in Drittanbieter-Passwortmanagern gespeichert werden. Hier findest du die allgemeinen Schritte, wie du einen Passkey für Android einrichtest:

1. 1.Öffne die Website oder App, für die du einen Passkey erstellen willst.
2. 2.Navigiere zu den Sicherheits- oder Kontoeinstellungen des Dienstes und wähle Passkey erstellen.
3. 3.Dein Gerät fordert dich auf, die Erstellung per Fingerabdruck, Gesichtserkennung oder Bildschirmsperre zu bestätigen.
4. 4.Der Passkey wird im Google Passwortmanager gespeichert und automatisch auf allen Android-Geräten synchronisiert, die mit demselben Google-Konto angemeldet sind.

Passkey unter Windows einrichten

Um Passkeys nutzen zu können, muss Windows Hello eingerichtet sein – es dient als Authentifizierungsmethode (PIN, Fingerabdruck oder Gesichtserkennung). Hier die allgemeinen Schritte, wie du Passkeys unter Windows einrichtest:

1. 1.Stelle sicher, dass Windows Hello aktiviert ist und gehe zu Einstellungen > Konten > Anmeldeoptionen und richte eine PIN, Fingerabdruck- oder Gesichtserkennung ein.
2. 2.Öffne die Website oder App in einem unterstützten Browser und navigiere zu den Sicherheitseinstellungen.
3. 3.Wähle die Option Passkey erstellen.
4. 4.Bestätige die Erstellung über Windows Hello (Fingerabdruck, Gesichtserkennung oder PIN).
5. 5.Der Passkey wird gespeichert. Über den Microsoft Passwortmanager können Passkeys inzwischen auch über das Microsoft-Konto auf andere Geräte synchronisiert werden. Du kannst deine gespeicherten Passkeys unter Einstellungen > Konten > Passkeys einsehen und verwalten.

Passkey für ein Google-Konto einrichten

Wenn du einen Passkey für dein Google-Konto einrichten willst, kannst du wie folgt vorgehen:

1. 1.Öffne myaccount.google.com/signinoptions/passkeys in deinem Browser oder gehe in deinem Google-Konto auf Sicherheit > Passkeys und Sicherheitsschlüssel.
2. 2.Melde dich mit deinem aktuellen Passwort an, falls du dazu aufgefordert wirst.
3. 3.Tippe oder klicke auf Passkey erstellen.
4. 4.Bestätige die Erstellung per Fingerabdruck, Gesichtserkennung oder Geräte-PIN.
5. 5.Der Passkey ist nun mit deinem Google-Konto verknüpft. Bei der nächsten Anmeldung bietet Google dir automatisch die Passkey-Anmeldung an – du musst kein Passwort mehr eingeben.

Weitere Methoden, um deine Online-Sicherheit zu verbessern

Passkeys sind ein großer Schritt in Richtung sicheres Anmelden – aber sie sind nur ein Bestandteil. Die folgenden Methoden ergänzen Passkeys oder bieten zusätzlichen Schutz in Bereichen, die Passkeys allein nicht abdecken.

• Zwei-Faktor-Authentifizierung (2FA). Bei der 2FA musst du neben deinem Passwort einen zweiten Faktor bestätigen – etwa einen Code aus einer Authenticator-App oder per SMS. Das macht es Angreifern deutlich schwerer, selbst mit gestohlenen Zugangsdaten auf dein Konto zuzugreifen. Aktiviere die MFA bzw. 2FA überall dort, wo Passkeys noch nicht verfügbar sind bzw. wo es die Möglichkeit gibt, sie einzurichten.
• Starke Passwörter. Solange du noch Passwörter nutzt, sollten diese mindestens 12 Zeichen lang sein und aus einer Mischung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Verwende niemals dasselbe Passwort für mehrere Dienste – jedes Konto braucht ein eigenes, einzigartiges Passwort.
• Passwortmanager. Ein Passwortmanager erstellt, speichert und füllt sichere Passwörter automatisch aus. So musst du dir nur ein einziges Master-Passwort merken. Viele Passwortmanager unterstützen inzwischen auch die Verwaltung von Passkeys und dienen damit als zentrale Anlaufstelle für alle deine Zugangsdaten.
• Hardware-Sicherheitsschlüssel. Physische Sicherheitsschlüssel wie sind kleine USB- oder NFC-Geräte, die als zweiter Faktor oder als eigenständige Anmeldemethode dienen. Sie bieten einen besonders hohen Schutz, da sie physisch vorhanden sein müssen – ein Angreifer müsste den Schlüssel buchstäblich in der Hand haben.
• Single Sign-On (SSO). Mit SSO meldest du dich einmalig bei einem zentralen Dienst an und erhältst damit Zugang zu mehreren verknüpften Anwendungen, ohne dich überall separat einzuloggen. Das reduziert die Anzahl der Zugangsdaten, die du verwalten musst, und minimiert das Risiko schwacher oder wiederverwendeter Passwörter.
• Magic Links. Bei dieser Methode erhältst du bei der Anmeldung einen einmaligen Link per E-Mail, der dich direkt einloggt – ganz ohne Passwort. Magic Links sind bequem und vermeiden das Risiko gestohlener Passwörter, setzen aber voraus, dass dein E-Mail-Konto gut abgesichert ist.
• VPN (virtuelles privates Netzwerk). Ein VPN verschlüsselt deinen gesamten Internetverkehr und schützt dich besonders in öffentlichen WLANs vor dem Abfangen deiner Daten. Es ersetzt zwar keine sichere Anmeldemethode, bildet aber eine wichtige zusätzliche Schutzschicht – vor allem, wenn du unterwegs auf sensible Konten zugreifst.