Berglandschaft mit einer Pass-Straße. Auf der Straße befindet sich ein Tor mit einer Ketter und einem Schloss davor.
25/02/2026 Marc CMS, eCommerce, Frontend, Tools

Passkeys einfach erklärt: Vorteile, Einrichtung & CMS

Passkeys gelten als die Zukunft der digitalen Anmeldung und könnten klassische Passwörter langfristig ersetzen. Während Passwörter unsicher sind, häufig wiederverwendet werden und ein zentrales Einfallstor für Phishing-Angriffe darstellen, setzen Passkeys auf moderne Kryptografie und gerätebasierte Sicherheit.

Für Unternehmen, Online-Shops und CMS-Projekte stellt sich deshalb zunehmend die Frage:
Wie funktionieren Passkeys genau – und lohnt sich die Einführung bereits heute?

In diesem Beitrag erklären wir verständlich:

  • Was Passkeys sind
  • Welche Vor- und Nachteile sie haben
  • Wie man sie auf iPhone, Android und Windows einrichtet
  • Wie sie sich in TYPO3, WordPress und Shopware einsetzen lassen

Was sind Passkeys – einfach erklärt

Passkeys sind eine passwortlose Authentifizierungsmethode, bei der ein kryptografisches Schlüsselpaar zur Anmeldung verwendet wird. Statt sich ein Passwort zu merken, bestätigt der Nutzer seine Identität mit:

  • Face ID
  • Fingerabdruck
  • Geräte-PIN

Technisch basiert das Verfahren auf dem FIDO2-Standard und WebAuthn. Bereits 2018 wurde WebAuthn offizieller Webstandard. Die breite Einführung unter dem Begriff „Passkeys“ begann ab 2022, als große Technologieanbieter die passwortlose Anmeldung aktiv vorantrieben.

Heute unterstützen alle modernen Betriebssysteme und Browser die Technologie nativ.

Wie funktionieren Passkeys?

Das Prinzip ist vergleichsweise einfach:

1. Bei der Registrierung

Das Gerät des Nutzers erzeugt automatisch zwei Schlüssel:

  • 🔐 Einen privaten Schlüssel (bleibt sicher auf dem Gerät)
  • 🔓 Einen öffentlichen Schlüssel (wird auf dem Server bzw. beim Anbieter gespeichert)

2. Beim Login

  • Der Server sendet eine digitale „Challenge“
  • Das Gerät signiert diese mit dem privaten Schlüssel
  • Der Server prüft die Signatur mit dem öffentlichen Schlüssel

Passkeys erläutert: dein Gerät hat den privaten Schlüssel und eine biometrische Authentifizierung, Webseite bzw. Server hat nur den öffentlichen Schlüssel. Die Login-Daten werden über eine verschlüsselte Anfrage geprüft.

Wichtig!

  • Es wird kein Passwort übertragen.
  • Der private Schlüssel verlässt niemals das Gerät.
  • Ein Datenbank-Leak enthält nur wertlose öffentliche Schlüssel.

Man kann es sich vorstellen wie Schloss und Schlüssel:
Das Schloss (öffentlicher Schlüssel) liegt beim Anbieter.
Den Schlüssel besitzt nur der Nutzer.

Das folgende Video erklärt Passkeys ebenfalls verständlich:

Info Icon

Dieses Video wird über eine externe Plattform (YouTube) gehostet. Das Laden bedarf der Zustimmung unserer Datenschutzbestimmungen.

Einstellung vornehmen

Vorteile von Passkeys

Passkeys bieten Unternehmen und Nutzern mehrere klare Vorteile:

  1. Hohe Sicherheit
    Schutz vor Phishing und Datenbank-Leaks, da kein Passwort existiert.

  2. Kein Passwort-Management
    Nutzer müssen sich keine komplexen Kombinationen merken.

  3. Schneller Login
    Anmeldung per Fingerabdruck oder Gesichtserkennung dauert nur Sekunden.

  4. Weniger Support-Aufwand
    Kaum „Passwort vergessen“-Anfragen oder Account-Sperrungen.

  5. Bessere User Experience
    Besonders auf mobilen Geräten deutlich komfortabler.

Nachteile und Herausforderungen

Trotz der Vorteile sollten Unternehmen auch mögliche Einschränkungen berücksichtigen:

  1. Abhängigkeit von kompatiblen Geräten
    Ältere Systeme unterstützen Passkeys nicht immer.

  2. Einführungsaufwand
    Integration in bestehende Systeme erfordert technische Planung.

  3. Erklärungsbedarf bei Nutzern
    Das Konzept ist noch nicht jedem vertraut.

  4. Recovery-Prozesse notwendig
    Für Geräteverlust müssen Backup-Optionen definiert werden.

  5. Nicht überall Standard
    Manche Plattformen oder Altsysteme bieten noch keine Unterstützung.

Passkey erstellen: So funktioniert es auf verschiedenen Geräten

Passkeys werden immer direkt auf deinem Gerät erzeugt – und zwar für jede Website oder Anwendung separat.

Wenn du also bei Google und bei Amazon jeweils einen Passkey einrichtest, erstellt dein Gerät zwei unterschiedliche kryptografische Schlüsselpaare. Jeder Dienst erhält seinen eigenen öffentlichen Schlüssel.

Die eigentliche Schlüsselerzeugung läuft automatisch im Hintergrund. Dein Betriebssystem übernimmt das – zum Beispiel:

  • über den iCloud-Schlüsselbund bei Apple
  • über den Google Password Manager bei Android
  • über Windows Hello unter Windows

Du musst keinen Schlüssel manuell erstellen und keine zusätzliche Software installieren.

Offizielle Anleitungen zur Einrichtung

Welche Rolle spielt der Browser bei Passkeys?

Wenn du auf einer Website „Mit Passkey anmelden“ auswählst, läuft der Prozess über mehrere Instanzen – deine Website selbst erzeugt den Passkey jedoch nicht.

Der Ablauf sieht vereinfacht so aus:

  • Deine Website startet die Passkey-Anfrage.
  • Der Browser (z. B. Chrome, Safari oder Edge) vermittelt über die WebAuthn-Schnittstelle.
  • Das Betriebssystem erzeugt das kryptografische Schlüsselpaar.
  • Die sichere Hardware (z. B. Secure Enclave oder TPM) speichert den privaten Schlüssel.

Mauszeiger klickt bei einer Webseite auf Passkey Login, Browser vermittelt zum Betriebssystem und dieses speichert den Key auf einer sicheren Hardware

Wichtig!
Der Browser fungiert lediglich als Schnittstelle zwischen Website und Betriebssystem. Die eigentliche Schlüsselerzeugung und sichere Speicherung übernimmt immer das Betriebssystem.

Das bedeutet:

  • Deine Website hat keinen Zugriff auf den privaten Schlüssel.
  • Der Browser speichert den privaten Schlüssel nicht selbst.
  • Der Schlüssel bleibt im geschützten Hardware-Bereich deines Geräts.

Genau diese Architektur macht Passkeys so sicher.

Passkeys in TYPO3, WordPress und Shopware

Die native Unterstützung für Passkeys ist in vielen CMS- und Shopsystemen noch im Aufbau. In der Praxis erfolgt die Integration derzeit meist über Extensions oder Plugins.

FAQ – Häufige Fragen zu Passkeys

Wo kann man Passkeys bereits nutzen?

Viele große Plattformen setzen Passkeys bereits produktiv ein – darunter Google, Apple, Microsoft, Amazon und PayPal. Eine aktuelle Übersicht findest du unter passkeys.directory.

Was passiert bei Geräteverlust?

Passkeys werden über das jeweilige Benutzerkonto (Apple, Google, Microsoft) synchronisiert. Zusätzlich sollten Backup-Methoden vorgesehen werden.

Sind Passkeys DSGVO-konform?

Ja. Biometrische Daten verlassen das Gerät nicht. Gespeichert wird lediglich ein öffentlicher Schlüssel.

Können Passkeys gehackt werden?

Ein Angreifer müsste Zugriff auf das physische Gerät und die biometrische Sicherung haben. Das ist deutlich schwieriger als Passwortdiebstahl.

Sind Passkeys die Zukunft?

Die Unterstützung durch Betriebssysteme und große Plattformen zeigt klar: Passwortlose Authentifizierung wird sich weiter durchsetzen.

Fazit: Passkeys sind mehr als ein Trend

Passkeys sind bereits heute produktiv einsetzbar und werden von großen Plattformen standardmäßig unterstützt. Auch in TYPO3, WordPress und Shopware lässt sich die Integration über Plugins umsetzen.

Technisch ähneln Passkeys dem Prinzip von SSH-Keys: Ein privater Schlüssel bleibt sicher auf dem Gerät, während der öffentliche Schlüssel beim Server gespeichert wird. Wenn du dich dafür interessierst, findest du mehr dazu in unserem Beitrag zu SSH-Keys.

Für Unternehmen bieten Passkeys die Chance, Sicherheit und Nutzererlebnis gleichzeitig zu verbessern.

Hast du Passkeys bereits im Einsatz oder planst die Einführung? Teile gerne deine Erfahrungen in den Kommentaren.

Quellen:

Ähnliche Beiträge

Tags

, , , ,

Kommentar hinzufügen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert