← Alle Artikel
🔑
Security Basics

Was sind Passkeys — und warum sind sie sicherer als Passwörter?

3 min Lesezeit · 15. Mai 2025

Was sind Passkeys — und warum sind sie sicherer als Passwörter?

Jedes Jahr werden Millionen von Passwörtern gestohlen. Durch Phishing, durch Datenlecks bei großen Diensten, durch schlicht zu schwache Kombinationen. Die Antwort der Industrie heißt Passkeys — und sie löst das Problem an der Wurzel.

Das Problem mit Passwörtern

Ein Passwort ist ein Geheimnis, das du weißt — und das du irgendwo eingeben musst. Genau darin liegt die Schwäche:

  • Du gibst es auf einer gefälschten Website ein (Phishing)
  • Der Dienst speichert es unsicher und wird gehackt (Datenleck)
  • Du verwendest es mehrfach — ein Leck öffnet zehn Accounts
  • Du vergisst es und wählst etwas Schwaches

Passwort-Manager helfen, lösen das Problem aber nicht vollständig. Der Phishing-Angriff funktioniert auch gegen Passwort-Manager.

Wie Passkeys funktionieren

Passkeys basieren auf Public-Key-Kryptografie — dasselbe Verfahren das auch HTTPS absichert.

Beim Erstellen eines Passkeys werden zwei mathematisch verknüpfte Schlüssel generiert:

  • Privater Schlüssel — bleibt auf deinem Gerät (Smartphone, Laptop, YubiKey). Verlässt es nie.
  • Öffentlicher Schlüssel — wird beim Dienst gespeichert. Ist für Angreifer wertlos.

Beim Login schickt der Dienst eine zufällige Aufgabe. Dein Gerät löst sie mit dem privaten Schlüssel und schickt die Antwort zurück. Der Dienst prüft sie mit dem öffentlichen Schlüssel. Kein Passwort wurde übertragen — es gibt nichts zu stehlen.

Dienst:  "Löse diese Aufgabe: [zufällige Daten]"
Gerät:   Signiert mit privatem Schlüssel → schickt Signatur zurück
Dienst:  Prüft Signatur mit öffentlichem Schlüssel → Zugang gewährt

Warum Phishing damit nicht mehr funktioniert

Eine gefälschte Website kann eine Passkey-Anmeldung nicht abfangen. Der private Schlüssel ist an die echte Domain gebunden — auf paypa1.com weigert sich das Gerät schlicht, den Passkey für paypal.com zu verwenden. Das ist technisch erzwungen, nicht nur eine Warnung.

Passkeys für Unternehmen — was bedeutet das konkret?

Für KMU heißt das:

Microsoft 365 / Azure AD: Passkeys werden bereits unterstützt. Mitarbeiter können sich mit Fingerabdruck oder Gesichtserkennung einloggen — kein Passwort mehr.

Google Workspace: Passkey-Support seit 2023 aktiv. Aktivierung über die Admin-Konsole.

SSH-Zugang zu Servern: Mit Hardware-Tokens wie dem YubiKey lassen sich Passkeys auch für Server-Logins nutzen.

Was du jetzt tun kannst

  1. Für kritische Accounts sofort: Prüfe ob Microsoft 365, Google Workspace oder andere zentrale Dienste Passkeys unterstützen — die meisten tun es bereits.
  2. Hardware-Token als stärkste Variante: Ein YubiKey speichert den privaten Schlüssel auf dedizierter Hardware. Selbst wenn dein Laptop kompromittiert ist, bleibt der Schlüssel sicher.
  3. Mitarbeiter schulen: Der Wechsel zu Passkeys ist einfacher als gedacht — aber Mitarbeiter müssen wissen wie es funktioniert.

Rapid Conversion IT übernimmt den Passkey-Rollout für dein Unternehmen — von der Bestandsaufnahme bis zur fertigen Konfiguration. Kostenlose Ersteinschätzung anfragen →

Fragen zu diesem Thema?

Wir helfen gerne — kostenlos und ohne Verkaufsdruck.

Kontakt aufnehmen →