Das Passwort hat ausgedient — zumindest, wenn es nach Google, Microsoft und Apple geht. Jahrzehntelang waren Buchstaben-Zahlen-Kombinationen die wichtigste Sicherheitsbarriere im Netz. Doch sie sind die Achillesferse unserer digitalen Identität: Phishing-Mails, geleakte Datenbanken und schwache Wiederverwendung machen Konten angreifbar. Besonders kritisch ist das beim E-Mail-Postfach, denn wer Zugriff darauf hat, kann meist gleich Dutzende weiterer Konten übernehmen.
Die Alternative heißt Passkey. Sie kombiniert moderne Kryptografie mit Biometrie — also Fingerabdruck oder Gesichtserkennung. Ich erkläre euch hier, was Passkeys wirklich sind, warum sie Passwörtern überlegen sind und wie ihr sie heute schon bei euren Google- und Microsoft-Konten aktivieren könnt.
Was sind Passkeys? Definition und Funktionsweise einfach erklärt
Ein Passkey ist im Kern ein kryptografisches Schlüsselpaar. Beim Einrichten erzeugt euer Gerät zwei zusammengehörige Schlüssel: einen öffentlichen, der beim Dienst gespeichert wird, und einen privaten, der euer Gerät niemals verlässt. Beim Anmelden beweist euer Smartphone oder Laptop dem Server, dass es den privaten Schlüssel besitzt — ohne ihn jemals zu übertragen.
Freigegeben wird dieser Vorgang durch Biometrie oder eine Geräte-PIN. Ihr legt also den Finger auf den Sensor, schaut in die Kamera — fertig. Es gibt nichts mehr zu tippen, nichts zu merken, nichts, das jemand abphishen könnte.
Hinter Passkeys steht die FIDO Alliance, ein Industriekonsortium mit Google, Microsoft, Apple und vielen weiteren Mitgliedern. Der zugrundeliegende Standard heißt WebAuthn und ist mittlerweile in allen großen Browsern und Betriebssystemen verankert. Synchronisiert werden die Schlüssel je nach Plattform über den Google Password Manager, den iCloud-Schlüsselbund oder Drittanbieter wie 1Password und Bitwarden.
Warum sind Passkeys sicherer als Passwörter? 5 entscheidende Vorteile
Der entscheidende Vorteil: Passkeys sind phishing-resistent. Ein klassisches Passwort könnt ihr aus Versehen auf einer gefälschten Login-Seite eingeben — der Angreifer fängt es ab und meldet sich damit beim echten Dienst an. Mit einem Passkey funktioniert das nicht, weil der Schlüssel kryptografisch an die echte Domain gebunden ist. Eine nachgebaute Seite bekommt schlicht keine gültige Antwort.
Auch Datenbank-Leaks verlieren ihren Schrecken. Selbst wenn ein Dienst gehackt wird, finden die Angreifer dort nur den öffentlichen Schlüssel — und mit dem allein lässt sich nichts anfangen. Es gibt kein Passwort-Hash mehr, das man knacken könnte.
Dazu kommt der Komfort. Wer kennt es nicht: dreimal das falsche Passwort getippt, dann Reset-Mail anfordern, neues Passwort ausdenken, in den Manager eintragen. Mit Passkeys ist die Anmeldung in Sekunden erledigt. Gerade auf dem Smartphone, wo das Tippen komplexer Passwörter nervt, ist das ein spürbarer Gewinn.
Google Passkeys einrichten: Schritt-für-Schritt-Anleitung 2026
Google unterstützt Passkeys schon länger und hat sie inzwischen als Standard-Anmeldemethode etabliert. So aktiviert ihr sie:
- Öffnet g.co/passkeys in eurem Browser
- Meldet euch mit eurem Google-Konto an
- Klickt auf „Passkey erstellen“
- Bestätigt die Erstellung per Fingerabdruck, Gesichtserkennung oder Geräte-PIN
- Beim nächsten Login wählt ihr „Passkey verwenden“ statt Passwort
Praktisch: Ihr könnt mehrere Passkeys auf verschiedenen Geräten anlegen — etwa einen auf dem Laptop, einen auf dem Smartphone. Verliert ihr ein Gerät, deaktiviert ihr den entsprechenden Passkey einfach in den Kontoeinstellungen.
Microsoft Passkeys einrichten: Passwortlose Anmeldung aktivieren
Microsoft geht beim Thema passwortlose Anmeldung sogar noch einen Schritt weiter und drängt aktiv darauf, das Passwort komplett aus dem Konto zu entfernen. Die Einrichtung läuft so:
- Geht zu account.microsoft.com und meldet euch an
- Wechselt zum Bereich „Sicherheit“ und dort zu „Erweiterte Sicherheitsoptionen“
- Wählt unter „Weitere Sicherheitsmöglichkeiten“ den Punkt „Passkey hinzufügen“
- Folgt den Anweisungen und bestätigt mit Biometrie oder PIN
- Optional: Aktiviert „Kennwortloses Konto“, um das Passwort komplett zu entfernen
Für die alltägliche Nutzung empfiehlt sich zusätzlich die Microsoft Authenticator App. Sie funktioniert als zweiter Faktor und kann selbst als Passkey-Speicher dienen, falls ihr keinen biometrischen Sensor am Gerät habt.
Passkeys Umstellung: Diese 6 Dinge solltet ihr beachten
So überzeugend Passkeys sind: Ein paar Stolperfallen gibt es. Erstens braucht ihr immer einen Backup-Weg. Wenn euer einziges Gerät kaputtgeht, müsst ihr trotzdem ans Konto kommen. Legt deshalb Passkeys auf mindestens zwei Geräten an oder nutzt einen Cloud-synchronisierten Manager.
Zweitens: Nicht jeder Dienst unterstützt Passkeys schon. Neben Google und Microsoft sind unter anderem Apple, Amazon, PayPal, eBay und viele Passwortmanager dabei — bei kleineren Anbietern müsst ihr aber oft noch beim klassischen Passwort bleiben. Hier gilt weiterhin: einzigartiges Passwort plus Zwei-Faktor-Authentifizierung.
Drittens das Thema Datenschutz: Eure biometrischen Daten verlassen das Gerät nicht. Weder Google noch Microsoft bekommen euren Fingerabdruck zu sehen — die Erkennung passiert lokal in einem geschützten Chip-Bereich. Das ist ein wichtiger Unterschied zu cloudbasierten Biometrie-Lösungen, vor denen Datenschützer zu Recht warnen.
Passkeys für Anfänger: Praktische Tipps für den sicheren Einstieg
Fangt mit dem Konto an, das am wichtigsten ist: eurer E-Mail-Adresse. Sie ist der Generalschlüssel zu fast allem anderen — Online-Shops, Social Media, Banking-Resets laufen darüber. Wer hier einen Passkey einrichtet, schützt automatisch eine ganze Kette weiterer Konten.
Danach arbeitet euch durch die übrigen Dienste, die Passkeys unterstützen. Plant ruhig eine halbe Stunde ein und legt euch direkt Passkeys auf zwei Geräten an. Das Passwort müsst ihr nicht sofort löschen — es schadet nicht, es als Notfall-Backup zu behalten, solange es lang und einzigartig ist.
Der Umstieg auf Passkeys ist einer der seltenen Fälle, in denen mehr Sicherheit gleichzeitig mehr Komfort bedeutet. Genau deshalb wird sich die Technik durchsetzen — die Frage ist nur, ob ihr früh dabei seid oder erst, wenn das alte Passwort endgültig ausgedient hat.
