Passkey ist eine auf FIDO2 basierende Authentifizierungstechnologie. Sie ermöglicht eine sichere, passwortlose Anmeldung und verwendet das Public-Key-Verfahren mit privaten und öffentlichen Schlüsseln. Webdienste wie Amazon, Google und Paypal unterstützen Passkey bereits.
Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort.
(Bild: gemeinfrei / Pixabay)
Passkey ist eine Alternative zum herkömmlichen Anmelden mit Nutzername und Passwort. Entwickelt haben das Passkey-Verfahren die FIDO Alliance und das World Wide Web Consortium. Es basiert im Kern auf dem FIDO2-Standard, der eine sichere, passwortlose Anmeldung ermöglicht. Dabei ersetzt er Passwörter durch kryptographische Schlüsselpaare, bestehend aus öffentlichen und privaten Schlüsseln. Zusätzlich nutzt das Verfahren zur Bestätigung der Benutzeridentität Sicherheitsmerkmale wie biometrische Merkmale (Fingerabdruck, Gesichtserkennung), PINs oder Wischmuster. Passkey ist ein offenes, herstellerunabhängiges Verfahren und schützt vor Cyberbedrohungen wie Phishing. Es wird bereits von zahlreichen Betriebssystemen und Webbrowsern wie iOS, Android, Windows, macOS, Chrome, Edge und Safari unterstützt. Auch viele Webseiten wie Amazon, Apple PayPal, eBay und Google erlauben inzwischen die Anmeldung per Passkey.
Passkey basiert auf der asymmetrischen Verschlüsselung. Bei der ersten Anmeldung wird ein Schlüsselpaar bestehend aus einem privaten Schlüssel und einem öffentlichen Schlüssel erzeugt. Während der private Schlüssel auf dem Endgerät des Nutzer verbleibt, wird der öffentliche Schlüssel von der Gegenseite zum Beispiel einem Webservice oder einer App gespeichert. Passkey erweitert FIDO2 und macht die Authentifizierung nutzerfreundlicher, indem die privaten Schlüssel nicht mehr fest an ein bestimmtes Gerät gebunden sind und sich auf mehreren Geräten speichern oder über die Cloud synchronisieren lassen. Ein Schlüsselpaar ist immer nur für einen Service oder ein Konto gültig.
Bei der Authentifizierung mit Passkey meldet sich der Nutzer mit einem auf dem Gerät gespeicherten privaten Schlüsel und einem biometischen Merkmal an. Bei der Überprüfung der Identität erlangt der Server niemals Kenntnis über den privaten Schlüssel, sondern nutzt dafür nur den öffentlichen Schlüssel.
(Bild: Vogel IT-Medien GmbH)
Bei der Anmeldung per Passkey an einem Server sendet der Server zunächst eine Challenge an das Gerät des Users. Die Challenge wird gelöst, indem sie mit dem auf dem Gerät gespeicherten privaten Schlüssel digital signiert wird. Lokal auf dem Gerät authentifiziert sich der Benutzer per biometrischem Merkmal, PIN oder Wischgeste. Der Server überprüft die ihm übermittelte Lösung der Challenge und kann mithilfe des ihm bekannten öffentlichen Schlüssels zweifelsfrei feststellen, dass die Lösung vom Besitzer des zugehörigen privaten Schlüssels stammt. Der Server benötigt niemals Kenntnis über den privaten Schlüssel und es müssen auch keine sensiblen Daten über das Netzwerk übertragen werden. Eine geräteübergreifende Authentifizierung wird ebenfalls unterstützt. Zum Beispiel kann ein QR-Code von einem Gerät mit gültigem Passkey gescannt werden, um die Anmeldung abzuschließen, oder Passkeys werden per Cloud über mehrere Geräte hinweg synchronisiert.
Was sind die Vorteile und Nachteile von Passkey?
Eine Anmeldung mit Passkeys anstatt Username und Passwort bietet viele Vorteile. Zu diesen Vorteilen zählen:
Der User muss sich keine Passwörter mehr ausdenken und merken.
Die Anmeldung ist nutzerfreundlicher, da kein Passwort eingegeben werden muss und biometrische Merkmale genutzt werden können.
Die Zwei-Faktor-Authentifizierung über biometrische Merkmale macht die Anmeldung sicherer.
Für jeden Service, jede Seite oder jede App werden eigene Passkeys verwendet. Sie funktionieren nicht bei anderen Services, Seiten oder Apps.
Die Passkeys sind immer komplex und einzigartig.
Das Verfahren schützt vor Angriffsmethoden wie Phishing.
Es werden bei der Anmeldung keine geheimen Informationen übertragen und es können keine Passwörter abgefangen werden.
Server, an denen man sich anmelden möchte, müssen keine Passwörter speichern und benötigen keine Kenntnis über private Schlüssel. Wird ein Server kompromittiert, gelangen keine Passwörter oder private Schlüssel in die Hände des Angreifers.
Allerdings sollten Anwender bedenken, dass Passkeys oft an bestimmte Geräte gekoppelt sind. Geht das Gerät zur Authentifizierung verloren, kann es schwierig sein, den Zugriff auf Konten wiederherzustellen. Deshalb sollten Nutzer zusätzliche Backups wie eine Cloud-Synchronisierung oder andere Wiederherstellungsmethoden einrichten. Daneben sind Passkeys weniger benutzerfreundlich, wenn sich mehrere Personen Geräte teilen, da sie in der Regel an einen einzigen für die biometrische Authentifzierung gebunden sind. Während sich Passkeys unter Privatpersonen an hoher Akzeptanz erfreuen und immer häufiger eingesetzt werden, kommt die Umstellung für Unternehmen mit hohem Ressourcenaufwand einher.
Während FIDO2 die Basis für Passkey darstellt, haben Unternehmen wie Google, Paypal und Amazon ihre Passkey-Implementierungen etwas angepasst, um die Nutzung nahtlos zu ermöglichen. Bei Google sind Passkeys eng mit dem Android-Betriebssystem und dem Google-Account des Nutzers verknüpft. Die Wiederherstellung des Passkeys erfolgt über die Google-Kontosicherheitseinstellungen. Bei Paypal liegt der Fokus auf der Zahlungssicherheit und bietet eine breite Plattformunterstützung. Hier ist die Nutzung eher an den Paypal-Account gebunden als an ein bestimmtes Gerät. Auch Amazon bietet Passkey als Authentifizierungsmethode. Im eigenen Ökosystem funktionieren Passkeys reibungslos für Kindle, Fire TV und Echo-Geräte. Externe Plattformen werden ebenfalls unterstütz, funktionieren jedoch weniger nahtlos.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wie der Passkey eingerichtet werden kann, hängt vom jeweiligen Anbieter ab. Grundsätzlich sollten Sie jedoch vorab sicherstellen, dass Ihr Gerät und Ihr Browser die Passkey-Technologie WebAuthn unterstützt. Zudem müssen die Geräte für die biometrische Identifizierung geeignet sein.
1. Öffnen Sie die Website oder die App, bei der sie einen Passkey einrichten möchten.
2. Melden Sie sich mit Ihren bestehenden Zugangsdaten, als Nutzername und Passwort an, oder registrieren Sie sich erstmalig.
3. Bei den meisten Diensten finden Sie die Passkey-Option im Menüpunkt für Sicherheit nund Kontoeinstellungen.
4. Dort suchen Sie nach der Option „Passkey hinzufügen“ oder „Passkey erstellen“.
5. Für die Authentifizierung müssen Sie sich für eine Methode entscheiden. In der Regel werden Biometrie, PIN oder Passwort oder ein externer Schlüssel zur Auswahl geboten.
6. Haben Sie eine Option gewählt generiert der Dienst ein kryptografisches Schlüsselpaar. Der private Schlüssel wird auf Ihrem Gerät beziehungsweise in einer gesicherten Cloud gespeichert und der öffentliche Schlüssel wird auf dem Server des Dienstes gespeichert.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/42/d2/42d2340c11ba5870c63458558fd56729/0117617546.jpeg "Wie funktionieren Passkeys? Kann man sich ohne Kennwort wirklich sicher anmelden? Wir geben Antworten auf wichtige Fragen von Admins und Anwendern. (Bild: Andres Victorero/Wirestock Creators - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/ec/a9ecfbc90f2fdd25735bd272e5b6d72b/0121486173v1.jpeg "Immer weniger Menschen setzen bei der Authentifizierung auf Passwörter. Stattdessen nutzen sie biometrische Verfahren wie Passkeys. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/ff/5fff56db982e32c617379295fa2f98dd/0125925965v1.jpeg "MFA mit Passkeys (FIDO2) ist heute mehr als eine Zusatzmaßnahme, sie ist der Kern einer modernen Sicherheitsstrategie. (Bild: Swissbit)")
:quality(80)/p7i.vogel.de/wcms/72/69/7269d6030ca13ba6c8d50670db2a6728/0126359392v2.jpeg "Passkeys sind eine sichere Alternative, um den Schutz vor Phishing-Angriffen zu erhöhen. (Bild: Dall-E / KI-generiert)")