Passkeys verstehen: Was steckt dahinter, wo werden sie gespeichert, und wie nutzt man sie richtig?
Passkeys tauchen gerade überall auf. Apple, Google, Microsoft, 1Password, Bitwarden – alle drängen auf den Standard. Aber was ist ein Passkey eigentlich genau? Wo liegt er? Und was passiert, wenn das Gerät weg ist? Dieser Beitrag beantwortet die wichtigsten Fragen – technisch korrekt, aber ohne Kryptografie-Vorlesung.
Was ist ein Passkey?
Ein Passkey ist ein kryptografisches Schlüsselpaar, das euer Gerät beim Registrieren an einem Dienst erzeugt:
- Ein öffentlicher Schlüssel wird beim Dienst (Website, App) gespeichert
- Ein privater Schlüssel bleibt auf eurem Gerät – und verlässt es nie in Klarform
Beim Login sendet der Dienst eine zufällige Challenge. Euer Gerät signiert sie mit dem privaten Schlüssel; der Dienst prüft die Signatur mit dem öffentlichen. Kein Passwort, kein geteiltes Geheimnis, nichts Phishbares.
Der Standard dahinter heißt FIDO2 / WebAuthn und wird von der FIDO Alliance sowie dem W3C definiert. Passkeys sind im Kern FIDO2-Credentials – nur mit besserer Synchronisierbarkeit und einer freundlicheren UX.
Was Passkeys von klassischer MFA unterscheidet
Bei Passwort + TOTP/Push gibt es immer ein übertragbares Geheimnis: das Passwort. Ein Angreifer der das Passwort kennt und den zweiten Faktor abfangen oder erschleichen kann (Adversary-in-the-Middle, Push-Fatigue), hat gewonnen.
Bei Passkeys gibt es kein übertragbares Geheimnis. Der private Schlüssel verlässt das Gerät nicht – nicht beim Login, nicht beim Phishing-Versuch. Der Dienst bekommt nur die Signatur, die ohne den privaten Schlüssel wertlos ist.
Wo wird ein Passkey gespeichert?
Das ist die entscheidende Designfrage – und die Antwort ist: es kommt drauf an. Es gibt drei grundlegende Speicherorte, die sich in Sicherheitsniveau und Komfort unterscheiden.
1. Plattform-Passkeys (iPhone, Android, Windows Hello)
Passkeys, die auf einem Gerät erstellt werden und durch den Betriebssystem-Hersteller synchronisiert werden können.
Apple (iPhone / Mac): Passkeys werden im iCloud Keychain gespeichert und über alle Apple-Geräte synchronisiert, die mit derselben Apple ID angemeldet sind. Die Entsperrung erfolgt per Face ID, Touch ID oder Gerät-PIN. Der private Schlüssel wird dabei Ende-zu-Ende-verschlüsselt synchronisiert – Apple kann ihn nicht lesen.
Praktisch: Wer ein neues iPhone einrichtet, hat alle Passkeys sofort wieder. Der Verlust eines einzelnen Geräts ist kein Problem.
Android / Google Password Manager: Funktioniert analog über den Google-Account. Synchronisation zwischen Android-Geräten mit demselben Google-Konto. Entsperrung per Fingerabdruck, Gesichtserkennung oder PIN.
Windows Hello: Passkeys in Windows 11 werden im Windows Hello-System gespeichert, hardwaregebunden im TPM. Microsoft bietet seit 2024 Passkey-Synchronisierung über den Microsoft-Account an – ähnlich wie Apple und Google.
Sicherheitseinordnung: Das Sicherheitsniveau hängt direkt am jeweiligen Cloud-Account. Wer den Apple-ID-Account kompromittiert, hat Zugriff auf alle synchronisierten Passkeys. Account-Absicherung (starkes Passwort + MFA auf dem Cloud-Account selbst) ist hier kritisch.
2. Passwortmanager (Bitwarden, 1Password, Dashlane)
Passkeys können auch in einem Passwortmanager gespeichert werden, der plattformübergreifend funktioniert.
Bitwarden: Seit Ende 2023 unterstützt Bitwarden Passkeys nativ. Passkeys werden verschlüsselt im Bitwarden-Vault gespeichert und stehen auf allen Plattformen zur Verfügung, auf denen die Bitwarden-Erweiterung oder App installiert ist – Windows, macOS, Linux, Android, iOS. Entsperrung per Master-Passwort, Biometrie oder PIN je nach Gerätekonfiguration.
Vorteil gegenüber Plattform-Passkeys: Unabhängigkeit vom Ökosystem. Wer zwischen Apple und Windows wechselt oder beruflich und privat unterschiedliche Systeme nutzt, hat mit einem zentralen Passwortmanager alle Passkeys an einem Ort.
1Password: Analoges Prinzip, ebenfalls plattformübergreifend. 1Password war einer der ersten Passwortmanager mit Passkey-Support und hat eine besonders ausgefeilte UX für die Verwaltung.
Sicherheitseinordnung: Die Sicherheit hängt am Master-Passwort und der Absicherung des Passwortmanager-Accounts. Starkes, einzigartiges Master-Passwort und MFA auf dem Vault-Account sind Pflicht. Ein kompromittierter Vault gibt alle gespeicherten Passkeys preis.
3. Hardware-Tokens (YubiKey, FIDO2 Security Keys)
Passkeys, die physisch auf einem Hardware-Token gespeichert sind und diesen nie verlassen.
YubiKey / FIDO2 Keys: Der private Schlüssel wird direkt auf dem Token generiert und gespeichert. Er verlässt das Gerät physisch nie – keine Synchronisierung, keine Cloud, kein Backup. Entsperrung per Touch (und optional PIN bei FIDO2 mit User Verification).
Das ist das höchste Sicherheitsniveau: Ein Angreifer braucht physischen Besitz des Keys, um sich zu authentifizieren. Kein Cloud-Account, kein Sync-Mechanismus, keine Angriffsfläche durch gestohlene Credentials.
Wichtige technische Einschränkung: Hardware-Keys haben begrenzten Speicher. Ein YubiKey 5 speichert ab Firmware 5.7 bis zu 100 Discoverable Credentials (ältere Firmwares: max. 25) (resident keys) – also Passkeys die ohne Eingabe einer User-ID funktionieren. Nicht-Discoverable FIDO2-Credentials (klassische FIDO2 ohne Passkey-UX) sind theoretisch unbegrenzt, aber ältere Token-Generationen haben hier praktische Limits.
Sicherheitseinordnung: Physischer Verlust des Keys = Zugriffsverlust (kein Backup möglich). Deshalb: immer zwei Keys registrieren und einen sicher verwahren. Recovery-Codes beim Dienst aufbewahren.
Synchronisierte vs. gerätegebundene Passkeys – der entscheidende Unterschied
| Plattform / Passwortmanager | Hardware-Token | |
|---|---|---|
| Synchronisierbar | ✔ Ja | ✘ Nein |
| Backup möglich | ✔ (Cloud-Account) | ✘ Nur zweiter Key |
| Phishing-resistent | ✔ | ✔ |
| Offline nutzbar | ✔ | ✔ |
| Angriffsfläche | Cloud-Account-Kompromittierung | Physischer Diebstahl |
| Ideal für | Konsumenten, Standard-Accounts | Admin-Accounts, hochkritische Dienste |
Synchronisierte Passkeys (iCloud, Google, Bitwarden) sind deutlich komfortabler und für die meisten Anwendungsfälle ausreichend sicher. Gerätegebundene Hardware-Keys sind maximal sicher, erfordern aber mehr organisatorischen Aufwand.
Wie sollte man Passkeys einsetzen? Praktische Empfehlungen
Für Privatanwender
- Einfacher Einstieg: Passkeys im Gerät des Herstellers nutzen (iCloud Keychain auf Apple, Google Password Manager auf Android). Voraussetzung: der Cloud-Account ist stark abgesichert (starkes Passwort, MFA – am besten ebenfalls phishing-resistent).
- Besser: Passkeys in einem Passwortmanager wie Bitwarden oder 1Password zentralisieren. Das funktioniert plattformübergreifend und ist unabhängig vom Hersteller-Ökosystem.
- Immer: Recovery-Codes oder Backup-Zugangsmethoden beim Dienst einrichten. Passkey verloren = keine zweite Chance ohne Backup.
Für Unternehmen und IT-Admins
- Standard-Nutzer: Passkeys über Entra ID + Microsoft Authenticator oder Plattform-Passkeys auf firmenverwalteten Geräten. Lässt sich über Conditional Access erzwingen und steuern.
- Privilegierte Accounts (Admins, PAM): Hardware-Token (YubiKey) als gerätegebundener Passkey. Keine Cloud-Synchronisierung für Accounts mit Zugriff auf kritische Infrastruktur. Zwei Keys pro Person registrieren, zweiten Key sicher verwahren.
- Break-Glass-Accounts: Immer mindestens zwei registrierte Authentifizierungsmethoden. Für Break-Glass reicht ein physisch gesicherter Recovery-Code – aber der primäre Account sollte Passkey-gesichert sein.
- Nicht vergessen: Passkey-fähige Dienste aktiv inventarisieren. Viele SaaS-Plattformen unterstützen Passkeys mittlerweile nativ – ein regelmäßiger Check lohnt sich.
Was man vermeiden sollte
- Passkeys ohne Backup-Methode registrieren – besonders bei kritischen Diensten
- Den Cloud-Account (Apple ID, Google Account) schlechter absichern als die Dienste, die man damit schützt
- Auf Hardware-Keys setzen ohne einen Ersatz-Key registriert zu haben
- Passkeys und Passwörter beim selben Dienst parallel aktiv lassen, ohne den Passwort-Fallback explizit zu deaktivieren – das neutralisiert die Phishing-Resistenz
Der aktuelle Stand: Wo funktionieren Passkeys heute?
Die Unterstützung wächst schnell. Passkeys sind heute bei Google, Apple, Microsoft, GitHub, PayPal, Amazon, Dropbox, Adobe, Shopify und vielen weiteren Diensten verfügbar. Eine aktuelle und laufend gepflegte Übersicht findet sich auf passkeys.directory.
Im Enterprise-Bereich ist Entra ID (Microsoft) der wichtigste Integrationspunkt: FIDO2-Passkeys, MS Authenticator Passkeys und Windows Hello sind alle nativ unterstützt und über Conditional Access steuerbar.
Fazit
Passkeys sind keine Zukunftstechnologie mehr – sie sind heute produktionsreif und breit verfügbar. Die Frage ist nicht ob, sondern wo sie gespeichert werden und wer auf den Backup-Account Zugriff hat.
Für die meisten Nutzer und Unternehmen gilt: Mit iCloud Keychain, Google Password Manager oder Bitwarden fängt man gut an. Für Admin-Accounts und privilegierten Zugang sollte ein Hardware-Token der Standard werden.
Das Passwort stirbt nicht über Nacht – aber mit jedem neu registrierten Passkey wird die Angriffsfläche kleiner.