Die passwortlose Zukunft der Anmeldung
Ein Passkey ist eine moderne, kryptografische Methode zur Authentifizierung, die das klassische Passwort vollständig ersetzt. Statt sich eine komplexe Zeichenfolge zu merken, die gestohlen oder erraten werden kann, nutzt ein Passkey die Sicherheitsfunktionen deines eigenen Geräts (z. B. Smartphone, Laptop oder Sicherheits-Key). Die Bestätigung der Identität erfolgt lokal über deine bereits eingerichtete Gerätesperre – wie Fingerabdruck (Touch ID), Gesichtserkennung (Face ID) oder eine PIN.
Passkeys basieren auf den weltweiten Standards der FIDO Alliance und des W3C (WebAuthn), die von Branchenriesen wie Apple, Google und Microsoft gemeinsam entwickelt wurden.
Die technische Funktionsweise (Asymmetrische Kryptografie)
Im Hintergrund arbeitet ein Passkey mit einem Schlüsselpaar aus der Kryptografie:
- Der private Schlüssel (Private Key): Dieser verbleibt absolut sicher und unsichtbar auf deinem Gerät. Er wird niemals an das Internet oder den Betreiber des Onlinedienstes übertragen.
- Der öffentliche Schlüssel (Public Key): Dieser wird bei der Registrierung an den jeweiligen Onlinedienst (z. B. deine Bank, Amazon oder Google) übermittelt und dort gespeichert.
Bei der Anmeldung stellt der Server dem Gerät ein kryptografisches Rätsel. Dein Gerät löst dieses mithilfe des privaten Schlüssels (nachdem du dich per Biometrie autorisiert hast) und sendet die Lösung zurück. Da der Server den öffentlichen Schlüssel besitzt, kann er die Lösung verifizieren und dich einloggen.
Vergleich: Passwort vs. Passkey
| Merkmal | Klassisches Passwort | Moderner Passkey |
|---|---|---|
| Sicherheit vor Phishing | Schlecht (Kann auf gefälschten Seiten eingetippt werden) | Absolut sicher (Funktioniert nur auf der echten Domain) |
| Merkaufwand | Hoch (Sollte für jede Seite komplex und einzigartig sein) | Keiner (Wird vom Gerät verwaltet) |
| Gefahr durch Datenlecks | Ja (Wird der Server gehackt, ist das Passwort weg) | Nein (Server speichert nur den wertlosen öffentlichen Schlüssel) |
| Zwei-Faktor-Authentisierung (2FA) | Muss separat eingerichtet werden (SMS, App) | Bereits integriert (Besitz des Geräts + Biometrie) |
🔒 Warum Passkeys so extrem sicher sind:
- Resistent gegen Phishing: Ein Passkey ist untrennbar mit der echten Domain des Dienstes verknüpft. Selbst wenn du auf eine täuschend echte Kopie einer Website hereinfällst, weigert sich dein Gerät, den Passkey an die falsche URL zu übermitteln.
- Keine Server-Gefahr: Da Betreiber keine Passwörter mehr speichern, haben Hacker nach einem erfolgreichen Angriff auf eine Plattform keine Zugangsdaten, mit denen sie sich in deine Konten einloggen könnten.
- Geräte-Synchronisation: Passkeys werden verschlüsselt in den Cloud-Schlüsselbunden (z. B. iCloud-Schlüsselbund, Google Passwort-Manager oder Dashlane) synchronisiert. Verlierst du dein Smartphone, hast du auf deinem neuen Gerät sofort wieder Zugriff.