Home » Netzwerk & Sicherheit » Passkeys - Vor und Nachteile

Passkeys - Vor und Nachteile

VonMario

Passkeys gelten als der nächste große Schritt in der sicheren Online-Authentifizierung. Sie sollen klassische Passwörter ablösen und durch moderne kryptografische Verfahren nicht nur den Login einfacher, sondern vor allem auch sicherer machen. Gleichzeitig setzen viele große Tech-Konzerne auf Passkeys, um ihre Nutzer enger an die eigenen Ökosysteme zu binden, da Passkeys häufig direkt in Cloud-Diensten wie iCloud, Google Password Manager oder Microsoft-Konten gespeichert werden. Wer Passkeys nutzen möchte, sollte deshalb genau verstehen, wie sie funktionieren, welche Vorteile sie bringen, wo mögliche Risiken liegen – und worauf man achten muss, um die eigene Unabhängigkeit zu bewahren.

Quelle Bild: gbhackers.com
Inhaltsverzeichnis Verbergen
Was sind Passkeys
Vorteile von Passkeys
Nachteile von Passkeys
Passkeys bringen nur dann Sicherheit, wenn Passwörter abgeschaltet werden
Vendor Lock-in & Plattformbindung
Beispiel für ein „ökosystemgebundenes“ Szenario
Passkeys sorgen für Verwirrung
Einheitlicher Passwortmanager: So vermeidet Ihr Vendor Lock-in und Verwirrung
Worauf sollte man weiter achten
Backup und Wiederherstellung
Kompatibilität
Fazit

Was sind Passkeys

Passkeys sind eine moderne Authentifizierungsmethode, die klassische Passwörter ablösen soll. Technisch beruhen sie auf einem Verfahren namens Public-Key Cryptography (asymmetrische Kryptographie), konkret der WebAuthn- und FIDO2-Standards.

Statt ein Passwort einzugeben, erzeugt Euer Gerät ein Schlüsselpaar:

  • Privater Schlüssel: bleibt sicher auf Eurem Gerät und wird nie übertragen.
  • Öffentlicher Schlüssel: wird an den Dienst übergeben, z.B. an den Login-Server.

Beim Einloggen:

  1. Der Server sendet eine Challenge (eine Art „Einmal-Code“).
  2. Euer Gerät signiert diese Challenge mit dem privaten Schlüssel.
  3. Der Server prüft anhand des gespeicherten öffentlichen Schlüssels, ob die Signatur korrekt ist.
  4. Falls ja, seid Ihr eingeloggt.

Dadurch kann kein Passwort abgefischt oder in einem Leak ausgespäht werden.

Passkeys werden oft mit Geräten verknüpft:

  • Smartphones
  • Hardware-Token (z.B. YubiKey)
  • Laptop/PC (Trusted Platform Module)
  • Browser und deren Cloud-Dienste (Google, Apple, Microsoft)

Vorteile von Passkeys

Hohe Sicherheit

  • Keine wiederverwendbaren Passwörter
  • Kein Phishing (Angreifer können keine „Geheimnisse“ abgreifen)
  • Keine Datenbank-Leaks mit Passwörtern

Benutzerfreundlich

  • Biometrie oder Gerätesperre reicht (Face ID, Touch ID, PIN)
  • Kein Merken langer Passwörter

Schneller Login

  • Ein Klick oder ein Fingerabdruck

Nachteile von Passkeys

Kommen wir zu den Nachteilen von Passkeys, den da gibt es aktuell noch jede Menge. Wir schauen uns die parallele Nutung von Passkeys und Passwörtern an, die Uneinheitliche Implementierung und das Vendor Lock-in Problem von BigTech, die Passkeys nutzen, um ihre Nutzer weiter an ihr Ökosystem zu binden.

Passkeys bringen nur dann Sicherheit, wenn Passwörter abgeschaltet werden

Ein weitverbreitetes Missverständnis ist, dass Passkeys automatisch alle Sicherheitsprobleme lösen, nur weil sie hinzugefügt wurden. In der Praxis sieht es aber oft so aus:

  • Der Dienst erlaubt weiterhin den Login mit Eurem alten Passwort.
  • Passkeys sind nur eine zusätzliche Option neben Benutzername + Passwort.
  • Phishing-Angriffe, Credential Stuffing (also Angriffe mit geleakten Passwörtern) und andere Risiken bleiben bestehen.

Das bedeutet konkret:
Solange Euer Passwort weiter aktiv ist, ändert sich an der Gefährdungslage wenig. Angreifer können immer noch versuchen, sich mit dem Passwort einzuloggen – Passkeys verhindern das nur dann, wenn Ihr komplett auf „Passkey only“ umstellt und die Passwörter deaktiviert oder löscht.

Viele Plattformen machen es aber schwer, diesen Schritt konsequent zu gehen:

  • Manche bieten gar keine Möglichkeit, Passwörter zu entfernen.
  • Andere verstecken die Option tief in den Sicherheitseinstellungen.
  • Einige Dienste unterstützen noch gar keinen reinen Passkey-Login.

Wichtiger Hinweis:
Der große Sicherheitsgewinn entsteht erst dann, wenn Ihr das Passwort als Fallback abschaltet. Nur so entzieht Ihr Angreifern die Chance, über alte oder geleakte Passwörter auf Euer Konto zuzugreifen.

Falls ein Dienst kein „Passkey only“-Login unterstützt, könnt Ihr überlegen, ob Ihr dort entweder:

  • ein sehr langes, zufälliges Passwort in einem Passwortmanager erstellst (quasi als Notnagel), oder
  • den Dienst nach Möglichkeit meidet, bis er Passkey-only einführt.

Kurz gesagt:

Wer Passkeys nur als „Zusatz“ verwendet, hat zwar Bequemlichkeit gewonnen – die alten Risiken bleiben aber weitgehend bestehen.

Erst die vollständige Abkehr von Passwörtern bringt den vollen Sicherheitsvorteil.

Vendor Lock-in & Plattformbindung

Hier kommen wir zu einem weiteren kritischen Teil:

Viele große Anbieter verknüpfen Passkeys mit ihren eigenen Ökosystemen, zum Beispiel:

  • Apple: Speicherung in der iCloud Schlüsselbund. Ohne Apple-ID keine Wiederherstellung.
  • Google: Speicherung im Google Password Manager. Ohne Google-Konto kein Zugriff.
  • Microsoft: Speicherung im Microsoft-Account.
  • Browser-Hersteller (Chrome, Edge, Safari): Verknüpfung mit dem jeweiligen Profil.

Das führt zu einer Bindung an den Anbieter!

Ihr werdet de facto an das Ökosystem gebunden, da ein Wechsel schwieriger ist als bei klassischen Passwörtern oder Passwortmanagern.

Beispiele:

  • Ihr nutzt Safari und iCloud? Dann wird der Passkey nur in Eurem Apple-Ökosystem synchronisiert.
  • Chrome und Google Password Manager? Euer Passkey liegt in der Google-Cloud.
  • Firefox hat (noch) keine eigene Passkey-Synchronisation, hier muss man separate Hardware-Keys nutzen.

Beispiel für ein „ökosystemgebundenes“ Szenario

Ein Nutzer erstellt einen Passkey für seinen Google-Account mit Chrome. Dieser Passkey wird automatisch im Google Password Manager hinterlegt.
Später möchte er auf Firefox oder Safari wechseln, oder komplett Google verlassen – dann ist der Passkey ohne Migrationsschritt nicht verfügbar.
Es gibt noch kein standardisiertes, leicht nutzbares Export-/Importverfahren zwischen allen Plattformen.

Das ist einer der Hauptkritikpunkte an Passkeys derzeit:

  • Sie erhöhen die Sicherheit
  • Aber sie können dazu beitragen, Nutzer stärker an große Anbieter zu binden

Passkeys sorgen für Verwirrung

Ein Punkt, der viele Nutzer schnell durcheinanderbringt, ist die Frage:

Wo genau liegt mein Passkey – und wie finde ich ihn wieder?

Im Gegensatz zu Passwörtern, die Ihr bewusst eintippt oder in einem Passwortmanager seht, werden Passkeys meist unsichtbar im Hintergrund erstellt und in Eurem Gerät oder Eurem Benutzerkonto gespeichert. Das kann je nach Betriebssystem, Browser und Endgerät sehr unterschiedlich sein:

  • Apple-Geräte: Passkeys landen automatisch in der iCloud Schlüsselbund, wenn Ihr iCloud aktiviert habt. Das heißt: Ohne Apple-ID und iCloud-Synchronisation kommt Ihr nicht mehr an Euren Passkey.
  • Android und Chrome: Hier speichert der Google Password Manager den Passkey in Eurem Google-Konto. Viele merken gar nicht, dass sie ihn in der Cloud ablegen.
  • Windows und Edge: Passkeys werden in Eurem Microsoft-Account gesichert.
  • Hardware-Token (z.B. YubiKey): Der Passkey bleibt direkt auf dem Stick gespeichert, ohne Cloud.
  • Manche Passwortmanager (Bitwarden, 1Password): Dort könnt Ihr Passkeys ebenfalls speichern – aber auch nur, wenn die jeweilige App das Feature unterstützt.

Das führt leicht zu Verwirrung:

  • Registriert Ihr Euch auf dem Handy? Liegt der Passkey meistens dort oder in der Cloud des Handy-Herstellers.
  • Loggt Ihr Euch auf dem Laptop ein? Kann ein anderer Passkey gespeichert werden.
  • Nutzt Ihr mehrere Browser? Kann jeder seine eigene Speicherung haben.

Viele Nutzer stellen sich nach ein paar Monaten die Frage:

„Moment mal – habe ich meinen Passkey jetzt bei Google, Apple oder nur lokal auf dem Gerät?“

Wichtig: Es gibt bislang keinen einheitlichen, leicht verständlichen Standard, der immer anzeigt, wo der Passkey gespeichert wird und wie man ihn exportiert. Manche Dienste zeigen zwar den registrierten Authenticator an („iPhone von Max“ oder „YubiKey“), aber nicht jeder erklärt das so transparent.

Tipp:
Behalte immer im Blick:

  • Welches Gerät Ihr benutzt habt, als Ihr den Passkey erstellt habt.
  • Ob Ihr einen Cloud-Speicher aktiviert hattet (iCloud, Google, Microsoft).
  • Ob Ihr mehrere Geräte oder Backup-Methoden registriert habt.

So vermeidet Ihr später unangenehme Überraschungen, wenn Ihr ein Gerät verliert oder wechseln wollt.

Einheitlicher Passwortmanager: So vermeidet Ihr Vendor Lock-in und Verwirrung

Wenn Ihr Passkeys nutzen wollt, ohne Euch an Apple, Google oder Microsoft zu binden, könnt Ihr auf unabhängige Passwortmanager setzen. Lösungen wie Bitwarden, 1Password oder Proton Pass bieten mittlerweile Unterstützung für Passkeys an – und helfen Euch, den Überblick zu behalten.

Vorteile dieser Strategie:

Zentrale Verwaltung
Alle Passkeys liegen in einem einzigen Tresor, statt verstreut in iCloud, Google Password Manager oder Windows Hello. Ihr seht jederzeit, welche Schlüssel Ihr angelegt habt.

Plattformunabhängigkeit
Egal ob Windows, macOS, Linux, Android oder iOS – Ihr könnt Deine Passkeys überall nutzen, ohne an einen Hersteller gebunden zu sein.

Browser-Erweiterungen
Fast alle modernen Passwortmanager haben Erweiterungen für:

  • Chrome
  • Firefox
  • Edge
  • Safari
  • Brave
  • Vivaldi

Damit könnt Ihr Passkeys direkt beim Login automatisch ausfüllen und verwalten.

Apps für alle Geräte
Ob Smartphone, Tablet oder Desktop-PC: Ihr könnt Eure Passkeys komfortabel in der jeweiligen App abrufen, sichern und synchronisieren.

Synchronisation mit Zero-Knowledge-Prinzip
Seriöse Anbieter verschlüsseln alle Daten clientseitig, bevor sie synchronisiert werden. So kann der Betreiber (z.B. Bitwarden oder Proton) Eure Passkeys nicht sehen.

Beispielablauf:

  1. Ihr erstellt einen Passkey über Euren Passwortmanager, statt über den Browser oder das Betriebssystem.
  2. Der Manager speichert den privaten Schlüssel in Eurem verschlüsselten Tresor.
  3. Beim Login erkennt die Browser-Erweiterung, dass ein Passkey benötigt wird, und bietet automatisch die Anmeldung an.
  4. Bei Bedarf synchronisiert Ihr den Tresor auf andere Geräte – unabhängig von Apple-ID oder Google-Konto.

Warum ist das sinnvoll?

  • Ihr vermeidet Vendor Lock-in: Kein Zwang zur Nutzung von iCloud oder Google.
  • Ihr könnt alle Passkeys einheitlich verwalten – auch zusammen mit klassischen Passwörtern und 2FA-Codes.
  • Ihr seht transparent, wo was gespeichert ist.
  • Ihr könnt Eure Passkeys leichter sichern, exportieren oder notfalls löschen.

Kurz gesagt:
Ein moderner Passwortmanager wird zur Schaltzentrale Eurer Online-Identitäten. Ihr reduziert Verwirrung, behaltet die volle Kontrolle und müsst Euch nicht auf einen einzelnen Tech-Konzern verlassen der Euch nicht erlaubt, Eure Passkeys auf anderen Plattformen zu nutzen.

Worauf sollte man weiter achten

Auch wenn Passkeys viele Probleme klassischer Passwörter lösen, gibt es weitere wichtige Punkte, die Ihr bedenken solltet:

Backup und Wiederherstellung

  • Verliert Ihr Euer Gerät, oder Zugang zum Passwort Manager, verliert Ihr die privaten Schlüssel.
  • Viele Plattformen bieten Synchronisation in der Cloud (Apple iCloud Keychain, Google Password Manager), was aber die angesprochenen Risiken birgt.
  • Alternativ könnt Ihr mehrere Geräte registrieren oder einen FIDO2-Token als Backup hinterlegen.

Tipp: Immer mindestens zwei Passkeys bzw. Geräte registrieren!

Kompatibilität

  • Nicht jeder Dienst unterstützt Passkeys.
  • Auch nicht jedes Gerät kann Passkeys speichern oder signieren.

Fazit

Passkeys sind ein enormer Fortschritt im Bereich Authentifizierung: sicherer, bequemer, moderner.
Aber sie sind nicht neutral: Die Art, wie sie implementiert werden, spielt Konzernen wie Apple, Google oder Microsoft in die Hände, indem sie Nutzer in die eigenen Dienste hineinziehen und dort halten.

Wichtige Empfehlungen:

  1. Nutzt Passkeys mit Bedacht.
  2. Registriert mehrere Geräte.
  3. Bevorzuge Hardware-Token, wenn Euch Unabhängigkeit wichtig ist.
  4. Informiert Euch, wo Eure Schlüssel gespeichert werden und ob Ihr sie exportieren könnt.
  5. Erstelle Notfallpläne für den Verlust Eures Geräte.
  6. Benutzt immer den selben Passwortmanager (z.B Bitwarden)

Ähnliche Beiträge

Was sind Bitcoin Silent Payments (BIP352)

Was sind Bitcoin Silent Payments (BIP352)

VonMario

Silent Payments sind ein Konzept im Bitcoin-Ökosystem, das darauf abzielt, die Privatsphäre von Bitcoin-Transaktionen zu verbessern, indem es den Empfang von Bitcoin-Transaktionen ermöglicht, ohne dass die Öffentlichkeit oder Dritte den...

Der anonyme Youtube Client Clipious für Android

Der anonyme Youtube Client Clipious für Android

VonMario

Der anonyme Youtube Client Clipious ist eine ziemlich coole App für Android, welcher als Client für Invidious fungiert, einem datenschutzorientierten Frontend für YouTube. Das bedeutet, dass ihr YouTube-Inhalte über eine...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert