GRUNDLAGEN • LOGIN-SICHERHEIT
Passkeys statt Passwörter: Was sie wirklich ändern – und was (noch) nicht
Eine Szene aus dem Alltag
Sie müssen sich dringend bei einem wichtigen Online-Portal anmelden, vielleicht bei Ihrer Versicherung oder einem Behördendienst. Sie sitzen an einem neuen Computer. Das Passwort, das Sie im Kopf haben, ist falsch. Nach dem dritten Versuch ist das Konto gesperrt. Also starten Sie den Passwort-Reset-Marathon: Link anfordern, auf die E-Mail warten, auf den Link klicken. Nun müssen Sie die Sicherheitsfrage beantworten: „Wie hieß Ihr erstes Haustier?“ War es „Bello“ oder „bello“? Groß- oder Kleinschreibung? Schließlich erhalten Sie per SMS einen Code, der erst nach zwei Minuten ankommt. Nach zehn Minuten voller Frust sind Sie endlich eingeloggt – und fühlen sich dabei alles andere als sicher.
Diese alltägliche Erfahrung zeigt die fundamentalen Schwächen von Passwörtern: Sie sind schwer zu merken, umständlich einzugeben und anfällig für Phishing. Passkeys wurden entwickelt, um genau diese Probleme zu lösen.
Was ein Passkey technisch ist (einfach erklärt)
Ein Passkey ist kein neues, kompliziertes Passwort, sondern ein völlig anderer Ansatz. Statt eines Wissens (ein Wort, das Sie sich merken müssen) nutzt er einen Besitz (Ihr Gerät) in Kombination mit einem biometrischen Merkmal oder einer PIN.
- Ein Passkey nutzt ein digitales Schlüsselpaar: Bei der Erstellung wird ein privater und ein öffentlicher Schlüssel generiert. Man kann sie sich wie zwei Puzzleteile vorstellen, die perfekt zueinander passen.
- Ihr privater Schlüssel bleibt sicher auf Ihrem Gerät: Dieses Puzzleteil verlässt niemals Ihr Smartphone, Ihren Laptop oder einen speziellen Hardware-Key. Es wird im sicheren Speicher des Geräts abgelegt.
- Der Dienstanbieter kennt nur den öffentlichen Schlüssel: Das zweite Puzzleteil geben Sie dem Onlinedienst (z.B. Ihrer Bank). Er kann damit beweisen, dass Sie den passenden privaten Schlüssel besitzen, ohne ihn jemals zu sehen.
- Login per Fingerabdruck, Gesichtsscan oder PIN: Um zu beweisen, dass Sie der rechtmäßige Besitzer des Geräts sind, entsperren Sie den privaten Schlüssel mit der Methode, mit der Sie auch Ihr Gerät entsperren. Es müssen keine Passwörter mehr eingetippt werden.
- Phishing-resistent durch Bindung an die Website: Der Passkey ist kryptografisch an die korrekte Web-Adresse gebunden. Selbst wenn Sie auf einer perfekt gefälschten Phishing-Seite landen, kann der Passkey dort nicht verwendet werden, weil die Adressen nicht übereinstimmen.
Die Metapher dazu: Ein Passwort ist wie ein Zahlencode für eine Tür, den Sie im Kopf behalten müssen und den jemand stehlen kann. Ein Passkey ist wie ein physischer Hausschlüssel, den Sie besitzen. Das Besondere: Das Schloss an der Tür des Onlinedienstes ist so gebaut, dass es nur auf Ihren einzigartigen Schlüssel reagiert.
Die 5 größten Missverständnisse über Passkeys
Als neue Technologie sind Passkeys von Mythen und Unsicherheiten umgeben. Hier sind die wichtigsten Punkte sachlich eingeordnet:
Mythos 1: „Mit Passkeys brauche ich mich um nichts mehr zu kümmern“
Passkeys verlagern die Sicherheit vom Server des Anbieters auf Ihr Gerät. Das bedeutet, der Schutz dieses Geräts wird zur obersten Priorität.
Realität: Eine sichere Gerätesperre (starke PIN, Biometrie), regelmäßige Software-Updates und ein Plan für die Wiederherstellung (Backup) sind absolut unerlässlich. Die Verantwortung für die Sicherheit liegt nun stärker bei Ihnen und Ihrem Gerät.
Mythos 2: „Passkeys funktionieren schon überall“
Die Verbreitung von Passkeys schreitet schnell voran, aber wir befinden uns noch in einer Übergangsphase.
Realität: Viele große Anbieter (Google, Apple, Microsoft, Amazon etc.) unterstützen Passkeys bereits, aber unzählige kleinere Dienste tun dies noch nicht. Sie werden also auf absehbare Zeit weiterhin einen Passwortmanager für die übrigen Konten benötigen.
Mythos 3: „Passkeys machen 2FA komplett überflüssig“
Ein Passkey ist von Natur aus bereits eine Zwei-Faktor-Authentifizierung (Besitz des Geräts + Biometrie/PIN). Die klassische 2FA mit Code-Eingabe entfällt daher meist.
Realität: Bei sehr sensiblen Aktionen (z.B. dem Hinzufügen eines neuen Geräts) können Anbieter aus Sicherheitsgründen trotzdem einen zusätzlichen Bestätigungsschritt verlangen, etwa über eine E-Mail oder ein Zweitgerät.
Mythos 4: „Wenn ich mein Gerät verliere, bin ich für immer ausgesperrt“
Dies ist die größte Sorge vieler Nutzer, aber die Entwickler haben Vorkehrungen getroffen.
Realität: Ihre Passkeys werden in der Regel über Ihr Cloud-Konto (z.B. Apple iCloud-Schlüsselbund, Google Passwortmanager) synchronisiert. Auf einem neuen Gerät können Sie nach der Anmeldung in Ihrem Konto wieder darauf zugreifen. Alternativ können Sie ein Zweitgerät oder einen Hardware-Key als Backup hinterlegen.
Mythos 5: „Passkeys sind viel komplizierter als Passwörter“
Die einmalige Einrichtung erfordert einen kurzen Moment der Aufmerksamkeit. Die tägliche Nutzung ist jedoch deutlich einfacher.
Realität: Statt ein langes, komplexes Passwort einzutippen, legen Sie nur noch Ihren Finger auf einen Sensor oder blicken in die Kamera. Der Login-Vorgang wird dadurch erheblich beschleunigt und komfortabler.
Sofortmaßnahme: Der 5-Minuten-Fix zum Einstieg
Sie können heute schon die ersten Schritte in Richtung einer passwortlosen Zukunft machen. Diese Vorbereitungen sind einfach und bilden eine sichere Grundlage.
Schnell erledigt
- Gerätesperre prüfen: Stellen Sie sicher, dass Ihr Smartphone und Laptop mit einer sicheren PIN und/oder Biometrie (Fingerabdruck, Gesichtserkennung) gesperrt sind. Dies ist die Basis für die Passkey-Sicherheit.
- Passkey-Manager aktivieren: Sorgen Sie dafür, dass der iCloud-Schlüsselbund (Apple) oder der Google Passwortmanager (Android/Chrome) aktiviert ist. Diese Systeme verwalten und synchronisieren Ihre Passkeys.
- Ersten Passkey erstellen: Loggen Sie sich bei einem wichtigen Konto, das Passkeys unterstützt (z.B. Google, Microsoft, PayPal), in den Sicherheitseinstellungen ein. Wählen Sie die Option „Passkey hinzufügen“ oder „Passkey erstellen“ und folgen Sie den Anweisungen.
- Sicherheit für den Rest: Für alle Dienste, die noch keine Passkeys anbieten, gilt weiterhin: Verwenden Sie ein langes, einzigartiges Passwort aus einem Passwortmanager und aktivieren Sie eine App-basierte 2FA.
- Wiederherstellung planen: Überprüfen Sie die Wiederherstellungsoptionen Ihres Cloud-Kontos (Apple-ID/Google-Konto). Sind eine aktuelle Telefonnummer und eine Zweit-E-Mail hinterlegt?
Tipp: Passkeys sind ein gewaltiger Schritt nach vorn, aber sie existieren nicht im luftleeren Raum. Die grundlegende digitale Hygiene – wie regelmäßige Updates und eine sichere Gerätesperre – bleibt das Fundament.
Was viele übersehen: Praktische Aspekte von Passkeys
Über die reine Technik hinaus gibt es einige organisatorische Punkte, die im Alltag mit Passkeys wichtig werden.
- Geteilte Geräte: Wenn Familienmitglieder dasselbe Tablet mit ihren jeweiligen Fingerabdrücken entsperren können, haben sie potenziell auch Zugriff auf die darauf gespeicherten Passkeys. Hier sind klare Absprachen nötig.
- Die lange Übergangszeit: Da noch nicht alle Dienste Passkeys unterstützen, bleiben Ihre alten Konten mit Passwörtern potenzielle Schwachstellen. Die Pflege Ihres Passwortmanagers bleibt also wichtig.
- Sichere Lagerung von Backups: Ein als Backup hinterlegter Hardware-Key sollte nicht am selben Schlüsselbund wie der Hausschlüssel hängen. Physische Trennung von Hauptgerät und Backup ist entscheidend.
Eine Probe aus dem Onovera-Briefing
In unseren Briefings führen wir Sie Schritt für Schritt durch solche Umstellungen, damit Sie sicher und ohne Stress auf neue Technologien setzen können.
2-Minuten-Anleitung: Ersten Passkey bei Google anlegen
1. Gehen Sie zu myaccount.google.com → „Sicherheit“. 2. Scrollen Sie zu „So melden Sie sich in Google an“ und klicken Sie auf „Passkeys“. 3. Klicken Sie auf „Passkey erstellen“. 4. Bestätigen Sie die Aktion mit dem Fingerabdruck oder der PIN Ihres Geräts. Fertig. Testen Sie den Login, indem Sie sich ab- und wieder anmelden.
Stimmen unserer Leser
„Ich war skeptisch, aber die Einrichtung meines ersten Passkeys war überraschend einfach. Der Login mit Fingerabdruck ist eine enorme Erleichterung.“
„Die klare Erklärung, dass mein Gerät der neue Schlüssel ist, hat mir geholfen, das Konzept zu verstehen. Danke für die verständliche Aufbereitung!“
„Endlich ein Artikel, der nicht nur die Vorteile, sondern auch die Nachteile und offenen Punkte ehrlich benennt. Das schafft Vertrauen.“
Mehr als nur Tipps: Ihr wöchentlicher Sicherheits-Vorsprung
Einmal alles einzurichten, ist ein guter Anfang. Aber die digitale Welt schläft nie. Onovera ist Ihr Service, um dauerhaft geschützt zu bleiben – einfach und ohne Zeitaufwand.
Klartext statt Technik-Jargon
Wir übersetzen komplexe Themen in einfache, verständliche Anleitungen.
Ein relevanter Schritt pro Woche
Sie konzentrieren sich auf das, was wirklich zählt, ohne überwältigt zu werden.
In 5 Minuten umgesetzt
Wir sparen Ihnen stundenlange Recherche und liefern die Lösung direkt in Ihr Postfach.
Onovera Shield
Wöchentliche Sicherheitsbriefe. Klar & umsetzbar.
Häufig gestellte Fragen
Nein. Beginnen Sie pragmatisch mit Ihren wichtigsten Konten (Haupt-E-Mail, Cloud-Speicher, Banking). Für den Rest bleibt ein guter Passwortmanager vorerst die beste Lösung.
Ja, der Standard ist so konzipiert, dass er plattformübergreifend funktioniert. Sie können sich mit Ihrem iPhone auf einer Webseite in Windows Chrome anmelden, indem Sie einen QR-Code scannen. Die Einrichtung und Synchronisation ist innerhalb eines Ökosystems (Apple/Google) jedoch am einfachsten.
Wenn Sie die Synchronisation über Ihr Cloud-Konto (Apple/Google) aktiviert haben, können Sie auf einem neuen Gerät wieder auf Ihre Passkeys zugreifen. Alternativ nutzen Sie ein zuvor eingerichtetes Zweitgerät, einen Hardware-Key oder die Wiederherstellungsoptionen des jeweiligen Dienstes.
Jederzeit und unkompliziert mit einem Klick in Ihrem Kundenprofil oder per formloser E-Mail an unseren Support.