Passkeys sind derzeit in aller Munde. Sie versprechen eine sichere Alternative zum klassischen Passwort. Doch gegen unsichere Logins mittels einfacher Passwörter gehen viele Webseitenanbieter bereits mit der 2-Faktor-Authentifizierung (2FA) vor. Warum jetzt also auf Passkeys umsteigen? Im Vergleich zeigen wir auf, warum Passkeys nicht nur sicherer als 2FA, sondern auch einfacher und schneller in der Anwendung sind.
Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter.
(Bild: bloomicon - stock.adobe.com)
In der Welt der IT-Sicherheit ist Phishing nach wie vor eine Bedrohung. So gab jeder der Befragten einer aktuellen 1Password-Studie an, bereits selbst mit Phishing in Kontakt gekommen zu sein oder jemanden zu kennen, der oder dem das passiert sei. Kein Wunder also, dass 77 Prozent sich eine sicherere Login-Methode für ihre Accounts wünschen. Passwörter sind nach wie vor die am weitesten verbreitete Authentifizierungsmethode, haben jedoch einige Schwächen. So nutzen viele Menschen unsichere Passwörter, die aus persönlichen Informationen wie dem Namen des Kindes oder dem Geburtsdatum der Mutter bestehen – Daten, die Cyberkriminelle schneller herausfinden, als man das Wort Passkey buchstabieren kann. Hinzu kommt, dass sie häufig das gleiche Passwort für verschiedene Accounts nutzen.
Es wird jedoch immer schwieriger, die immer größer werdende Menge an Online-Accounts samt Login-Daten zu überblicken. Passwortmanager können hier mittlerweile Abhilfe verschaffen. So müssen sich Nutzer und Nutzerinnen ihre Passwörter für die unzähligen Webseiten nicht mehr merken, sondern sie werden dank Browsererweiterung automatisch auf den Seiten ausgefüllt, wenn sie im Passwortmanager hinterlegt sind. Darüber hinaus schlagen Passwortmanager sichere Passwörter vor und speichern diese auch gleich mit ab.
Das Problem: Auch Hacker entwickeln sich weiter. Phishing- und andere Cyber-Attacken werden immer ausgefeilter und auch vermeintlich sichere Passwörter bieten keinen umfassenden Schutz mehr. Ist erst einmal das Passwort abgefangen, können Angreifer erheblichen Schaden anrichten. Zusätzlicher Schutz muss her.
Ein weiterer Schritt für mehr Sicherheit
Für ein sichereres Online-Erlebnis bieten viele Dienstleister mittlerweile Logins mit 2-Faktor-Authentifizierung an. Dabei gibt man im ersten Schritt regulär sein Passwort ein. Um Zugang zum Account zu bekommen, ist dann ein weiterer Schritt notwendig: Anwender erhalten über E-Mail oder SMS Codes, die sie zusätzlich eingeben müssen. Erst wenn sie auf beide Komponenten Zugriff haben, können sie ihren Account einsehen. Eine sehr verbreitete Variante der 2FA funktioniert über Authenticator-Apps für Smartphones, die Time-based One-time Passwords (TOTP), also einmalige, zeitlich limitierte Passwörter, kreieren. Damit sind sie nicht wiederholbar und später auch nicht mehr verwendbar für Dritte.
Das klingt erst einmal nach einer guten Lösung, welche die Sicherheit auch tatsächlich erhöht. Ein großer Nachteil der 2-Faktor-Authentifizierung ist jedoch, dass man sich ganz einfach selbst aussperren kann. Hat man gerade keinen Zugriff auf die Codes, ist ein Login nicht möglich. Das gilt insbesondere für die Variante mit Authenticator-Apps, welche meist auf einem separaten Gerät installiert sind. Des Weiteren gehören weiterhin Passwörter zur Sicherheitsinfrastruktur und bieten somit eine Angriffsfläche. Hacker haben zudem Methoden gefunden, um SMS abzufangen und so an den zweiten Faktor zu gelangen. Ideal wäre es also, wenn Zugangsdaten gar nicht erst ausspioniert werden könnten. Hier kommen Passkeys ins Spiel.
Überall sicher mit Passkeys?
Mit Passkeys ist seit einiger Zeit eine weitere Möglichkeit der Authentifizierung auf dem Markt. Wie es der Name bereits verrät, ist ein Passkey ein virtueller Schlüssel. Dieser ist auf einem Endgerät gespeichert und öffnet das Schloss, das vor dem Account liegt. Mit nur einem Klick können sich Nutzer in Sekundenschnelle einloggen.
Aber wie funktioniert das konkret? Bei der Erstellung eines Online-Accounts werden zwei Schlüssel generiert, die miteinander mathematisch verknüpft sind. Ein öffentlicher Schlüssel wird mit dem Dienst, beispielsweise einer Webseite oder einer App, geteilt. Ein privater Schlüssel bleibt ausschließlich auf dem Gerät des Anwenders gespeichert. Die öffentliche Variante dient dazu, Informationen zu verschlüsseln, die nur der private Schlüssel entschlüsseln kann.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Um dies besser zu verstehen, können wir eine Analogie heranziehen: Der öffentliche Schlüssel ist vergleichbar mit einem unsichtbaren Tintenstift, der nur unter Verwendung einer speziellen UV-Lampe sichtbar wird. Der private Schlüssel entspricht dem UV-Licht, das die geheime Nachricht enthüllt. Jede:r kann den Tintenstift verwenden, um eine Nachricht zu verfassen, aber nur die Person mit dem UV-Licht kann die Nachricht lesen. Beim Login-Versuch schickt der Dienst über den öffentlichen Schlüssel eine sogenannte Challenge in Form einer geheimen Nachricht an das Gerät des/der Benutzenden. Wenn es die Nachricht lesen kann, ist die Challenge bestanden. Anders ausgedrückt: Der Dienst erkennt, dass der private Schlüssel auf dem Gerät vorliegt und meldet seine:n Besitzer:in sicher an.
Schnell und einfach einloggen mit Passkeys
Nutzerinnen und Nutzer spüren die Vorteile von Passkeys gegenüber der 2-Faktor-Authentifizierung unmittelbar: Schnelligkeit und Einfachheit. Statt zwei Komponenten eingeben zu müssen, braucht es nur noch den entsprechenden Passkey auf dem Gerät. Man muss sich kein Passwort mehr merken, es eintippen oder einfügen. Es verwundert daher nicht, dass jüngst eine Google-Studie aufzeigte, dass sich User mit Passkeys im Vergleich zu Passwörtern viermal erfolgreicher einloggen und dabei auch noch knapp doppelt so schnell sind. Das schnelle Einloggen mit Passkeys trägt aber auch zum wichtigsten Aspekt des Authentifizierens bei: Sicherheit. Denn mit jeder Eingabe eines Passwortes steigt die Gefahr, dass Dritte es abgreifen. Dieser Schritt entfällt bei Passkeys komplett.
Da Passkeys sicher auf den Endgeräten gespeichert werden, bleibt nur noch die Frage zu klären, wie sich diese effektiv vor Fremdübernahme schützen lassen. Auch hier gibt es eine Lösung. Denn die neueren Modelle von Endgeräten – ob Smart TV, Laptop oder Smartphone – bieten Geräte- und auch App-Entsperrung über biometrische Scans an. Die bekanntesten Beispiele sind Fingerabdruck und Face ID. Durch Entsperren des Gerätes haben Anwender Zugriff auf die Passkeys, die ihnen dann Zugriff auf ihre Online-Accounts gewähren. Diese biometrischen Daten können Hacker selbst dann nicht abfangen oder imitieren, wenn sie beim Einloggen direkt auf den Bildschirm starren. Außerdem können Anwenderinnen und Anwender ihren Zugang nie vergessen, es gibt keine TOTPs, die ablaufen können, und auch keine anderen Faktoren, die ein einfacheres und sicheres Einloggen verhindern.
Auf in eine passwortlose Zukunft?
Die 2-Faktor-Authentifizierung ist ein Schritt in die richtige Richtung und wird auch weiterhin eine Rolle in der IT-Sicherheit spielen. So könnte es in Zukunft möglicherweise Nischenszenarien geben, in denen es sich lohnt, Passkeys mit 2FA zu kombinieren. Allgemein gesprochen, sollte man sich aber bewusst sein, dass bei der bisher stark verbreiteten 2FA keine der Komponenten gänzlich sicher vor Diebstahl ist. Hacker haben längst die Schwachstellen erkannt und ausgenutzt – von SIM-Karten-Austausch bis hin zu Person-in-the-Middle-Angriffen und Phishing-Techniken. Es ist deshalb an der Zeit, dass Passkeys als Authentifizierungsmethode weite Verbreitung finden. Nur so lässt sich der Risikofaktor Mensch gänzlich ausschließen.
Über den Autor: Alex Hoffmann ist Senior Solutions Engineer bei 1Password und seit 2013 in verschiedenen Rollen und Funktionen Teil des Unternehmens. Zuvor leitete er den Kundensupport für die Windows-App und war maßgeblich an der Entwicklung des Business-Sales-Teams von 1Password beteiligt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/5f/ff/5fff56db982e32c617379295fa2f98dd/0125925965v1.jpeg "MFA mit Passkeys (FIDO2) ist heute mehr als eine Zusatzmaßnahme, sie ist der Kern einer modernen Sicherheitsstrategie. (Bild: Swissbit)")
:quality(80)/p7i.vogel.de/wcms/72/69/7269d6030ca13ba6c8d50670db2a6728/0126359392v2.jpeg "Passkeys sind eine sichere Alternative, um den Schutz vor Phishing-Angriffen zu erhöhen. (Bild: Dall-E / KI-generiert)")