Was ist ein Passkey, und warum ist er sicherer als ein Passwort?

Was ist ein Passkey, und warum ist er sicherer als ein Passwort?

Tech-Wissen · Hintergrund
Dieser Artikel geht tiefer als unsere üblichen Ratgeber. Oben steht die verständliche Erklärung mit dem praktischen Fazit, weiter unten der Abschnitt für alle, die die Kryptografie dahinter genau wissen wollen. Mit Quellen zum Nachlesen.

Ein Passwort ist ein Geheimnis, das du dir merkst und das du bei jeder Anmeldung an den Dienst schickst. Genau das ist das Problem: Du kannst es vergessen, jemand kann es erraten, es kann bei einem Datenleck gestohlen werden, und auf einer gut gemachten Betrugsseite tippst du es freiwillig beim Falschen ein. Ein Passkey löst das anders. Statt eines Geheimnisses, das hin- und herwandert, nutzt er ein Schlüsselpaar, bei dem der entscheidende Teil dein Gerät nie verlässt. Anmelden tust du dich dann mit dem, was dein Handy ohnehin kann: Face ID, Touch ID oder der Geräte-PIN.

Talkis Tipp. Wenn du dir nur eine Sache merkst: Ein Passkey hat kein Geheimnis, das man dir abluchsen oder vom Server klauen könnte. Du gibst nichts ein, was eine Fake-Seite abgreifen kann. Genau das macht ihn sicherer als jedes Passwort, egal wie lang und kompliziert das ist. — Talki, dein Berater

Das Wichtigste in Kürze

  • Kein Passwort mehr. Du meldest dich mit Face ID, Touch ID oder deinem Geräte-PIN an.
  • Ein Schlüsselpaar statt eines Geheimnisses. Der öffentliche Schlüssel liegt beim Dienst, der private Schlüssel bleibt in deinem Gerät und verlässt es nie.
  • Datenleck wird wertlos. Beim Dienst liegt nichts Geheimes, das man stehlen und wiederverwenden könnte.
  • Phishing-sicher. Ein Passkey ist an die echte Adresse der Seite gebunden und signiert nicht für eine Fälschung.
  • Nichts zu raten, nichts zu merken. Passkeys können nicht zu kurz oder zu simpel sein und nicht vergessen werden.
  • Geräteverlust ist eingeplant. Über iCloud-Schlüsselbund oder den Google Passwortmanager synchronisieren Passkeys auf deine anderen Geräte.

Der verständliche Teil: anmelden ohne Passwort

Ein Passkey ist eine Anmeldeinformation, die du einmal für ein Konto bei einem Dienst einrichtest, und mit der du dich danach so anmeldest, wie du dein Handy entsperrst. Die FIDO Alliance, das Industriebündnis hinter dem Standard, beschreibt einen Passkey genau so: anmelden bei Apps und Webseiten mit demselben Vorgang, mit dem du dein Gerät entsperrst, also Biometrie oder PIN.

Du legst pro Konto und Dienst einen Passkey an. Für dein E-Mail-Konto einen, für deinen Online-Shop einen anderen. Diese Passkeys sind an dein Gerät beziehungsweise dein Ökosystem gebunden, lassen sich aber über einen Cloud-Dienst auf deine Geräte verteilen. Bei Apple übernimmt das der iCloud-Schlüsselbund, bei Google der Passwortmanager. So liegt derselbe Passkey auf deinem Handy und deinem Tablet, ohne dass du irgendwo ein Passwort abtippst.

Der Unterschied zum Passwort beginnt schon im Kopf. Beim Passwort gibst du dem Dienst dein Geheimnis und vertraust darauf, dass er es gut wegschließt. Beim Passkey behältst du den geheimen Teil und gibst dem Dienst nur einen öffentlichen Gegenpart, mit dem er prüfen kann, dass du es bist. Das Geheimnis selbst sieht der Dienst nie.

Mit PasswortMit Passkey••••Passwortdein Gerät••••Geheimnis wird gesendet••••Server speichertdas GeheimnisDatenleck = Konto offenprivaterSchlüsselbleibt im Gerätdein Gerätöffentl. Schlüsselnur das Öffentliche geht rausServer speichert nurden öffentl. SchlüsselDatenleck = nutzlos

Im Alltag merkst du von dieser Mechanik nichts. Du tippst auf Anmelden, das Handy fragt nach deinem Gesicht oder Finger, fertig. Der ganze Schlüsseltausch läuft in der Sekunde dahinter ab. Wie genau, steht im nächsten Teil.

So funktioniert ein Passkey technisch

Ab hier wird es technisch. Wer nur den praktischen Teil wollte, kann zum Abschnitt über den Geräteverlust springen. Für alle anderen: Das Herzstück ist die asymmetrische Kryptografie, auch Public-Key-Verfahren genannt.

Asymmetrisch heißt, dass es nicht einen Schlüssel gibt, der sperrt und öffnet, sondern zwei zusammengehörige. Was der eine verschließt oder signiert, kann nur der andere prüfen. Die beiden sind mathematisch verbunden, aber aus dem öffentlichen Schlüssel lässt sich der private nicht zurückrechnen. Das ist die ganze Grundlage.

Bei der Einrichtung: das Schlüsselpaar entsteht

Wenn du einen Passkey anlegst, erzeugt dein Gerät ein frisches Schlüsselpaar, das einmalig für genau dieses Konto bei genau diesem Dienst gilt. Das BSI, das Bundesamt für Sicherheit in der Informationstechnik, beschreibt es so: Der Authentikator, also die sichere Funktion in deinem Gerät, erzeugt einen geheimen privaten Schlüssel und einen zugehörigen öffentlichen Schlüssel. Der öffentliche Schlüssel geht an den Dienst und wird dort mit deinem Konto verknüpft. Der private Schlüssel wird sicher im Gerät verwahrt.

Sicher verwahrt heißt wörtlich: in einem eigens dafür gebauten Hardware-Bereich. Bei iPhones ist das die Secure Enclave, ein abgeschotteter Chip-Teil, bei vielen anderen Geräten ein TPM (Trusted Platform Module) oder eine vergleichbare sichere Hardware. Apps, das Betriebssystem und erst recht der Dienst kommen an den rohen privaten Schlüssel nicht heran. Auch deine biometrischen Daten bleiben dort. Weder dein Fingerabdruck noch dein Gesichtsmodell verlassen das Gerät, sie schalten nur lokal den privaten Schlüssel frei.

Bei der Anmeldung: Challenge und Signatur

Beim Login passiert dann das eigentliche Kunststück, und zwar ohne dass je ein Geheimnis übertragen wird. Der Dienst schickt deinem Gerät eine Challenge, im Kern eine große Zufallszahl. Dein Gerät bittet dich um die biometrische Freigabe, also Face ID oder Touch ID. Erst danach signiert es die Challenge mit dem privaten Schlüssel und schickt nur diese Signatur zurück. Der Dienst prüft die Signatur mit dem öffentlichen Schlüssel, den er bei der Einrichtung bekommen hat. Passt sie, bist du angemeldet.

Dein Gerätprivater SchlüsselFace / Touch IDDienstöffentl. Schlüsselprüft die Signatur1. Challenge (Zufallszahl)2. signierte Antworterst nach Face / Touch ID3. prüfen mit öffentl. Schlüssel

Der entscheidende Satz dazu steht beim BSI klar: Der private Schlüssel verbleibt beim Nutzer und wird nicht etwa versendet oder offengelegt. Übertragen wird nur die Signatur, und die nützt einem Lauscher nichts. Sie gilt für genau diese eine Challenge und lässt sich nicht für eine andere wiederverwenden. Es gibt also nichts abzuhören, nichts wiederzuverwenden und nichts auf dem Server, das ein Angreifer stehlen und zu Geld machen könnte. Im technischen Standard hinter alldem, der Web Authentication API (WebAuthn) des W3C, heißt diese Anmeldeinformation eine scoped, public key credential, also ein an einen bestimmten Geltungsbereich gebundener Schlüssel. Genau dieser Geltungsbereich ist der nächste Punkt.

Warum Passkeys phishing-sicher sind

Phishing funktioniert, weil ein Mensch sich täuschen lässt. Eine Fake-Seite sieht aus wie deine Bank, du tippst Benutzername und Passwort ein, und schon hat der Angreifer dein Geheimnis. Mit einem Passwort lässt sich dieser Trick nie ganz ausschließen, weil am Ende immer ein Mensch das Geheimnis irgendwo eingibt.

Ein Passkey kennt diesen Fehler nicht, weil er an die echte Adresse der Seite gebunden ist. Fachlich heißt das Origin-Bindung: Der Browser und das Gerät prüfen, von welcher Domain die Anfrage kommt, und ein Passkey signiert nur für die Domain, für die er erzeugt wurde. Das BSI formuliert es so: Selbst wenn du auf eine betrügerische Seite gelockt wirst, bleibt der geheime Schlüssel geschützt und die Anmeldung scheitert, der Angriff läuft ins Leere.

dein Passkeyan talk-point.de gebundengültige Signaturechte Domaintalk-point.deAnmeldung gelingtPasskey signiert nichtFake-Domainta1k-point.deAnmeldung scheitert

Das ist der Unterschied zwischen einem Menschen, der eine Fälschung erkennen muss, und einer Maschine, die sie gar nicht erst verwechseln kann. Eine Adresse wie ta1k-point.de mit Eins statt L fällt dir vielleicht nicht auf. Dem Passkey ist sie schlicht eine andere Domain, für die er nichts signiert. Auch Apple und Google heben genau das hervor: Passkeys sind mit der Seite verknüpft, für die sie erstellt wurden, du kannst also nicht dazu verleitet werden, sie auf einer betrügerischen Seite einzusetzen.

Dazu kommen die Schwächen, die Passwörter strukturell haben und Passkeys nicht. Es gibt nichts zu raten, also läuft Brute-Force ins Leere. Es gibt keine Wiederverwendung über mehrere Dienste, weil jeder Passkey nur für ein Konto bei einem Dienst gilt. Und es gibt nichts Geheimes auf dem Server, das ein Datenleck verwertbar machen würde.

Was bei Geräteverlust passiert

Die häufigste Sorge ist verständlich: Wenn der geheime Teil im Gerät steckt, ist mein Konto dann weg, sobald das Handy weg ist? Nein, und zwar weil das eingeplant ist.

Die meisten Passkeys, die du heute auf dem Handy einrichtest, sind synchronisierte Passkeys. Sie liegen verschlüsselt im iCloud-Schlüsselbund oder im Google Passwortmanager und stehen dadurch auf deinen anderen Geräten zur Verfügung. Verlierst du dein Handy, meldest du dich auf dem Tablet oder einem neuen Gerät mit demselben Konto an und hast deine Passkeys wieder. Das BSI weist darauf hin, dass die Wiederherstellung davon abhängt, ob du Backups angelegt hast oder deine Passkeys in einer Cloud synchronisiert werden. Mehrere Geräte und ein Cloud-Backup sind also kein Komfort-Detail, sondern dein Sicherheitsnetz.

Brauchst du einen Passkey auf einem fremden oder neuen Gerät, geht das oft über einen QR-Code. Du scannst ihn mit deinem Handy, und zur Sicherheit prüfen die Geräte über Bluetooth, ob sie wirklich nah beieinander sind. Diese Näheprüfung verhindert, dass dir jemand aus der Ferne einen QR-Code unterschiebt. Die Anmeldung selbst läuft trotzdem über die normale, kryptografisch gesicherte Mechanik, nicht über die Bluetooth-Verbindung.

Wer es noch strenger mag, nutzt einen Sicherheitsschlüssel, also ein kleines Hardware-Stück, das den privaten Schlüssel trägt und sich nicht kopieren lässt. Das BSI empfiehlt in dem Fall, gleich einen zweiten solchen Schlüssel als Ersatz anzuschaffen, weil sich diese Geräte bewusst nicht klonen lassen. Für die meisten reichen die synchronisierten Passkeys auf Handy und Tablet aber völlig.

Wichtig zum Einordnen: Passkeys ersetzen Passwörter nicht über Nacht, sie kommen schrittweise dazu. Viele Dienste lassen dich heute einen Passkey zusätzlich zum Passwort einrichten. Du kannst also klein anfangen, beim wichtigsten Konto, und den Rest nachziehen, wenn die Dienste mitmachen.

Häufige Fragen

Sind Passkeys wirklich sicherer als Passwörter? Ja, und das aus mehreren Gründen zugleich. Es gibt kein Geheimnis, das übertragen, abgehört oder vom Server gestohlen werden könnte. Es gibt nichts zu raten. Und ein Passkey ist an die echte Adresse der Seite gebunden, lässt sich also nicht auf einer Fake-Seite abgreifen. Das BSI bewertet Passkeys deshalb als deutlich sicherer als herkömmliche Verfahren.

Was ist, wenn ich mein Handy verliere? Dann kommst du über deine anderen Geräte oder ein Cloud-Backup an deine Passkeys. Synchronisierte Passkeys liegen verschlüsselt im iCloud-Schlüsselbund oder im Google Passwortmanager und stehen auf deinem Tablet oder einem neuen Gerät wieder zur Verfügung, sobald du dich mit demselben Konto anmeldest. Deshalb lohnt es sich, von Anfang an mehr als ein Gerät und ein Backup zu haben.

Brauche ich trotzdem noch ein Passwort? Oft noch ja, aber nicht mehr lange überall. Viele Dienste bieten den Passkey aktuell zusätzlich zum Passwort an. Du kannst einen Passkey einrichten und das Passwort als Rückfallebene behalten, bis der Dienst ganz auf Passkeys umstellt. Der Übergang läuft schrittweise.

Funktioniert ein Passkey geräteübergreifend? Ja. Innerhalb eines Ökosystems synchronisieren sich Passkeys über die Cloud auf deine Geräte. Zwischen verschiedenen Plattformen, etwa wenn du dich mit dem Handy an einem fremden Rechner anmeldest, geht es über einen QR-Code mit einer Bluetooth-Näheprüfung, damit beide Geräte nachweislich nah beieinander sind.

Kann ich meinen Apple Account mit einem Passkey schützen? Ja, auch der Apple Account selbst lässt sich mit einem Passkey absichern, nicht nur fremde Dienste. Das passt gut zu einem sauber aufgesetzten Konto. Wenn du gerade dabei bist, hilft dir die Anleitung Apple-ID erstellen, und wenn du sie ohne hinterlegte Zahlungsart anlegen willst, zeigt dir Apple-ID ohne Kreditkarte den Weg.

Sieht der Dienst meinen Fingerabdruck oder mein Gesicht? Nein. Deine biometrischen Daten verlassen dein Gerät nie. Face ID oder Touch ID schalten lokal nur den privaten Schlüssel frei. Der Dienst bekommt davon nichts zu sehen, er erhält ausschließlich die Signatur.

Was passiert, wenn ein Dienst gehackt wird? Beim Dienst liegt nur dein öffentlicher Schlüssel, und daraus lässt sich der private nicht zurückrechnen. Ein Datenleck gibt dem Angreifer also nichts in die Hand, mit dem er sich bei dir anmelden könnte. Genau das ist der große Unterschied zu gestohlenen Passwort-Datenbanken.

Quellen und zum Weiterlesen

Fazit

Der ganze Unterschied lässt sich auf einen Satz eindampfen: Ein Passwort ist ein Geheimnis, das du verschickst und das deshalb gestohlen werden kann. Ein Passkey ist ein Geheimnis, das dein Gerät nie verlässt und das deshalb niemand abfangen, erraten oder auf einer Fake-Seite abgreifen kann. Du gewinnst dabei doppelt, mehr Sicherheit und weniger Tipparbeit, weil Face ID oder Touch ID das Passwort ersetzen. Fang beim wichtigsten Konto an, behalte das Passwort vorerst als Rückfallebene, und zieh den Rest nach, sobald die Dienste mitmachen. Wenn du dabei ein Gerät suchst, das Face ID, Touch ID und Passkeys von Haus aus mitbringt, findest du bei uns geprüfte und neue Smartphones.

Geprüfte Smartphones ansehen

Über diesen Ratgeber

Diesen Ratgeber hat Talki zusammengestellt, der digitale Assistent von talk-point. Du hast eine Frage, die hier nicht beantwortet wird, oder brauchst Hilfe bei der Geräteauswahl? Frag Talki — er hilft dir direkt weiter.

Weiterlesen

Vorheriger Artikel Doppelte Passwörter am iPhone finden und ändern
Nächster Artikel Apple-ID ohne Kreditkarte erstellen: die Zahlungsart „Keine“ nutzen
z