Passwörter sind 2026 endgültig ein Auslaufmodell. Google, Apple, Microsoft und fast jeder große Dienst setzen mittlerweile auf Passkeys als neuen Standard. Wer sich heute noch mit „Passwort123!“ einloggt, lebt gefährlich – und unbequem. In diesem Beitrag erkläre ich, wie Passkeys wirklich funktionieren, wo ihre Stärken liegen und wie du sie für deine wichtigsten Accounts einrichtest.
Was ist ein Passkey überhaupt?
Ein Passkey ist – vereinfacht gesagt – ein digitaler Schlüssel auf deinem Gerät, der ein Passwort vollständig ersetzt. Technisch basiert er auf dem FIDO2/WebAuthn-Standard und nutzt asymmetrische Kryptografie: Auf deinem Smartphone, Laptop oder Hardware-Key liegt ein privater Schlüssel, der dein Gerät nie verlässt. Der Dienst (z. B. Google) kennt nur den dazugehörigen öffentlichen Schlüssel.
Beim Login fordert der Server eine Signatur an. Dein Gerät erzeugt sie – aber nur, wenn du deine Identität lokal bestätigst: per Fingerabdruck, Face ID, PIN oder Hardware-Button. Der Server prüft die Signatur mit dem öffentlichen Schlüssel. Passwort eintippen? Entfällt komplett.
Warum Passkeys Phishing-sicher sind
Das vielleicht stärkste Argument für Passkeys: Sie sind gegen Phishing praktisch immun. Ein Passkey ist an die exakte Domain gebunden, für die er erstellt wurde. Landest du versehentlich auf g00gle-login.com, funktioniert dein Google-Passkey dort schlicht nicht – der Browser verweigert die Signatur. Mehr zu aktuellen Phishing-Maschen findest du in unserem Beitrag Phishing erkennen – aktuelle Maschen 2026.
Vergleich mit klassischen Angriffsmethoden:
- Phishing-Seite → Passkey kann nicht ausgelöst werden, Passwort würde abgegriffen
- Datenbank-Leak beim Anbieter → Angreifer erhält nur den öffentlichen Schlüssel (nutzlos)
- Man-in-the-Middle → Signatur ist an die Origin gebunden, schlägt fehl
- Credential Stuffing → existiert nicht mehr, weil es kein wiederverwendbares Geheimnis gibt
So richtest du Passkeys für deine Accounts ein
1. Google-Konto
Öffne myaccount.google.com/signinoptions/passkeys und klicke auf Passkey erstellen. Google erkennt automatisch dein Gerät (Android, iOS, Windows Hello, macOS) und führt dich durch die biometrische Einrichtung. Dauer: unter 30 Sekunden.
2. Apple-ID
Apple-IDs nutzen Passkeys automatisch, sobald du in der iCloud-Schlüsselbund eingeloggt bist. Unter Einstellungen → Passwörter siehst du alle synchronisierten Passkeys. Einmal erstellt, stehen sie auf allen deinen Apple-Geräten zur Verfügung.
3. Microsoft-Konto
Gehe auf account.microsoft.com → Sicherheit → Erweiterte Sicherheitsoptionen und wähle Passkey hinzufügen. Microsoft erlaubt seit 2024 sogar komplett passwortlose Konten – das klassische Passwort lässt sich nachträglich entfernen.
4. GitHub, Amazon, PayPal, eBay & Co.
Die meisten großen Dienste findest du unter Einstellungen → Sicherheit → Passkey. Eine laufend aktualisierte Liste unterstützender Anbieter gibt es auf passkeys.directory.
Wo liegen die Passkeys – und was, wenn ich mein Handy verliere?
Die häufigste Sorge: „Was ist, wenn mein Gerät kaputtgeht?“ Die Antwort lautet Sync. Passkeys werden in der Regel über einen Cloud-Schlüsselbund synchronisiert:
- Apple: iCloud-Schlüsselbund (Ende-zu-Ende verschlüsselt)
- Google: Google Passwort-Manager / Android-Konto
- Microsoft: Windows Hello + Microsoft-Konto
- Passwort-Manager: 1Password, Bitwarden, Proton Pass, Dashlane unterstützen plattformübergreifende Passkeys – einen ausführlichen Überblick findest du im Passwort-Manager-Vergleich 2026
Für maximale Paranoia bietet sich zusätzlich ein Hardware-Key wie der YubiKey 5C oder ein Nitrokey als Backup an. Darauf landet ein geräteeigener Passkey, der nicht synchronisiert wird.
Passkeys vs. 2FA – ersetzt das eine das andere?
Kurze Antwort: Ja, und zwar sinnvoller. Ein Passkey enthält implizit zwei Faktoren: Besitz (das Gerät mit dem privaten Schlüssel) und Wissen/Inhärenz (PIN oder Biometrie zum Entsperren). Die klassische Kombination „Passwort + SMS-Code“ ist nicht nur lästig, sondern auch angreifbar (SIM-Swap, Smishing). Ein Passkey-Login ist in einem einzigen Schritt stärker als die meisten 2FA-Setups. Wenn du dennoch klassische 2FA brauchst (etwa weil ein Dienst noch keine Passkeys unterstützt), zeigt dir unsere Anleitung Zwei-Faktor-Authentifizierung richtig einrichten, wie du sie sauber aufsetzt.
Fazit: Jetzt umsteigen – gerätweise
Mein Rat für 2026: Richte Passkeys zunächst für deine drei kritischsten Accounts ein – üblicherweise Google/Apple/Microsoft, dein Mail-Anbieter und dein Passwort-Manager. Wenn diese passwortlos laufen, ist der „Haustürschlüssel“ deines digitalen Lebens geschützt. Den Rest kannst du gemütlich über die nächsten Wochen nachziehen.
Passwörter wirst du nicht über Nacht los. Aber jeder Passkey, den du heute einrichtest, ist ein Account weniger, der bei einem Datenleck morgen panisch zurückgesetzt werden muss.
📖 Passende Artikel: Zwei-Faktor-Authentifizierung einrichten · Passwort-Manager im Vergleich 2026 · Phishing erkennen – aktuelle Maschen 2026
