Passkeys lösen seit einigen Jahren zunehmend das klassische Passwort ab, wenn es um den Login bei Apps, Plattformen und digitalen Diensten geht. Sie gelten als sicherer, weil die sensiblen Zugangsdaten nicht wie bei herkömmlichen Passwörtern beim jeweiligen Anbieter hinterlegt werden, sondern verschlüsselt auf dem eigenen Gerät sowie innerhalb des jeweiligen Google- oder Apple-Kontos gespeichert sind.
Trotzdem ist vielen Nutzern noch unklar, wie Passkeys genau funktionieren und worin ihr Vorteil im Alltag liegt. Unsicherheit besteht vor allem bei der Frage, was beim Verlust oder Diebstahl eines Geräts passiert und welche Rolle biometrische Daten wie Fingerabdruck oder Gesichtserkennung dabei überhaupt spielen.
Warum einheitliche Login-Systeme immer wichtiger werden
Digitale Dienste beschränken sich heute längst nicht mehr auf einzelne Plattformen oder nationale Angebote. Nutzer bewegen sich parallel auf verschiedenen Websites, Apps und Services, oft auch über Ländergrenzen hinweg. Dabei geht es nicht nur um große Anbieter wie Google oder Amazon, sondern auch um kleinere oder spezialisierte Plattformen, die international ausgerichtet sind.
Das stellt auch neue Anforderungen an den Login. Nutzer erwarten, dass der Zugang überall ähnlich funktioniert und nicht jedes Mal neu gedacht werden muss. Unterschiedliche Passwortregeln, zusätzliche Sicherheitsabfragen oder komplizierte Registrierungsprozesse sorgen schnell für Frust und werden im Alltag eher als Hindernis wahrgenommen.
Gerade bei internationalen Angeboten zeigt sich, wie wichtig einheitliche Lösungen sind. Nutzer greifen nicht nur auf lokale Dienste zu, sondern auch auf Plattformen, die außerhalb nationaler Regulierungen betrieben werden, wie zum Beispiel Portale ohne deutsche Lizenz.
Passkeys sind hier eine praktische Lösung, weil sie einen sicheren und möglichst einfachen Login ermöglichen, der über verschiedene Anbieter hinweg nach einem ähnlichen Prinzip funktioniert.
Private und öffentliche Schlüssel
Im Kern besteht ein Passkey aus zwei zusammengehörigen digitalen Schlüsseln. Einer davon ist privat, der andere öffentlich. Der private Schlüssel ist der sensible Teil des Systems. Er wird auf dem eigenen Gerät erzeugt und dort sicher gespeichert. Wird er über ein Google- oder Apple-Konto auf weitere eigene Geräte übertragen, geschieht das verschlüsselt.
Der öffentliche Schlüssel wird beim jeweiligen Anbieter hinterlegt. Der öffentliche Schlüssel dient nicht dazu, den Zugang selbst zu ermöglichen. Er wird nur für die Prüfung benötigt. Wenn sich ein Nutzer anmelden will, sendet der Anbieter eine Anfrage an das Gerät. Das Gerät beantwortet diese Anfrage mit Hilfe des privaten Schlüssels.
Anschließend prüft der Anbieter mit dem öffentlichen Schlüssel, ob diese Antwort echt ist. Auf diese Weise lässt sich bestätigen, dass es sich um den richtigen Nutzer handelt, ohne dass der eigentliche Zugangsschlüssel weitergegeben werden muss. Und hier liegt der entscheidende Unterschied zum klassischen Passwort.
Bei einem Passwort gibt der Nutzer ein Geheimnis direkt ein, das beim Anbieter überprüft wird. Beim Passkey bleibt der sensible Teil dagegen beim Nutzer beziehungsweise innerhalb seiner geschützten Geräteumgebung und wird nicht an die Plattform übermittelt.
Beim Anbieter liegt nur der öffentliche Teil, mit dem sich ein Login prüfen, aber nicht selbst auslösen lässt.
So wird der Passkey eingerichtet
Die Einrichtung eines Passkeys ist in der Praxis einfacher, als der Begriff zunächst vermuten lässt. Unterstützt ein Dienst diese Login-Methode, erscheint beim Registrieren oder Anmelden direkt ein entsprechender Hinweis, dass statt eines klassischen Passworts ein Passkey angelegt werden kann.
Wird diese Option ausgewählt, fordert das jeweilige Gerät eine Bestätigung an. Dafür wird dieselbe Methode genutzt, mit der das Gerät ohnehin entsperrt wird, also zum Beispiel der Geräte-PIN, ein Fingerabdruck oder eine Gesichtserkennung.
Nach dieser Bestätigung wird der Passkey erstellt und auf dem Gerät gespeichert. Erfolgt eine Synchronisierung über Google oder Apple, steht er anschließend auch auf weiteren eigenen Geräten zur Verfügung.
Bei späteren Logins muss dann kein Passwort mehr eingegeben werden. Stattdessen wird der Passkey ausgewählt und die Anmeldung direkt über das Gerät bestätigt. Der technische Ablauf dahinter bleibt im Hintergrund.
Was passiert bei Geräteverlust?
Ein häufiger Einwand bei Passkeys betrifft den Verlust des eigenen Geräts. Da der Zugang an das Gerät gebunden ist, entsteht schnell die Sorge, dass mit dem Verlust auch der Zugriff auf wichtige Accounts verloren geht. In der Praxis ist das jedoch in den meisten Fällen nicht der Fall.
Passkeys werden nicht nur lokal auf einem einzelnen Gerät gespeichert, sondern können verschlüsselt über das jeweilige Benutzerkonto synchronisiert werden. Wird ein neues Gerät eingerichtet und mit dem gleichen Google oder Apple Konto verknüpft, stehen die vorhandenen Passkeys dort wieder zur Verfügung.
Der Zugang wird also nicht an ein einzelnes Gerät gebunden, sondern an die Kombination aus Gerät und verifiziertem Nutzerkonto. Gleichzeitig bleibt der Schutz bestehen, wenn ein Gerät verloren geht oder in falsche Hände gerät. Der Zugriff auf die gespeicherten Passkeys ist nur möglich, wenn das Gerät selbst entsperrt werden kann.
Ohne die entsprechende Geräte-PIN, einen Fingerabdruck oder eine andere lokale Entsperrmethode lässt sich der private Schlüssel nicht nutzen. Ein Finder oder Dieb kann sich daher nicht einfach bei Accounts anmelden, selbst wenn das Gerät in seinem Besitz ist.
Ein neues Gerät erhält außerdem nicht automatisch Zugriff auf bestehende Passkeys. Es muss zunächst über das jeweilige Benutzerkonto verifiziert werden. Dieser Schritt erfolgt in der Regel über zusätzliche Sicherheitsabfragen, zum Beispiel durch einen Bestätigungscode oder eine bestehende Anmeldung auf einem anderen Gerät.
Erst danach gilt das neue Gerät als vertrauenswürdig und kann auf die gespeicherten Passkeys zugreifen. Selbst in Fällen, in denen kein direktes Backup zur Verfügung steht, bieten viele Dienste alternative Möglichkeiten zur Wiederherstellung des Zugangs, zum Beispiel über eine E-Mail-Authentifizierung.
Das Festhalten am klassischen Passwort
Trotz der klaren Vorteile haben sich Passkeys bislang noch nicht flächendeckend durchgesetzt. Ein Grund dafür ist, dass viele Nutzer das Prinzip noch nicht kennen oder nicht genau verstehen. Der Login über ein Passwort ist seit Jahren etabliert und wirkt vertraut, auch wenn er technisch anfälliger ist.
Hinzu kommt, dass Passkeys noch nicht von allen Diensten unterstützt werden. In vielen Fällen existieren beide Optionen parallel, sodass Nutzer weiterhin beim gewohnten Passwort bleiben. Dadurch entsteht kein unmittelbarer Druck zur Umstellung.
Noch bedenklicher als das Festhalten am Passwort ist jedoch, dass viele Menschen aus Bequemlichkeit enorm unsichere Passwörter wählen. Umfragen zufolge ist 123456 noch immer der Klassiker. Alternativ werden ein Geburtsdatum oder der Name von Kindern oder Haustieren gewählt.
Manchmal braucht es auch erst einen persönlichen Schockmoment, wie einen tatsächlichen Angriff durch Hacker oder Phishing-Betrüger, bis die eigenen Sicherheitsstandards angehoben werden.
