Passkeys statt Passwörter: Ratgeber für Webmaster
Sie befinden sich: Home > News Archiv > Webmaster > Passkeys statt Passw...
Passwörter gelten als das schwächste Glied der Sicherheit. Passkeys sollen sie ablösen, und 2026 sind weltweit bereits rund fünf Milliarden im Einsatz. Was dahintersteckt, wie sicher das wirklich ist und wie Sie Passkeys auf Ihrer Seite einrichten.
Passwörter gelten seit Jahren als das schwächste Glied der IT-Sicherheit. Sie werden vergessen, mehrfach verwendet, per Phishing abgegriffen und tauchen massenhaft in geleakten Datenbanken auf. Passkeys sollen damit Schluss machen, und 2026 ist die Technik endgültig im Massenmarkt angekommen.
Laut der FIDO-Allianz sind weltweit bereits rund fünf Milliarden Passkeys im Einsatz, und drei von vier Menschen haben mindestens einen aktiviert. Auch das BSI empfiehlt das Verfahren ausdrücklich. Höchste Zeit also, sich als Seitenbetreiber damit zu beschäftigen. Dieser Ratgeber erklärt, was Passkeys sind, wo ihre Grenzen liegen und wie Sie sie auf Ihrer eigenen Website einrichten.
Was sind Passkeys überhaupt?
Bevor wir zur Umsetzung kommen, klären wir den Kern der Sache. Ein Passkey ist ein digitaler Anmeldeschlüssel, der das Passwort vollständig ersetzt. Statt einer Zeichenkette, die Sie sich merken und eintippen, läuft die Anmeldung über Kryptografie ab.
Technisch entsteht bei der Einrichtung ein Schlüsselpaar. Der private Schlüssel verlässt Ihr Gerät nie und ist durch Fingerabdruck, Gesichtsscan oder eine PIN geschützt. Der öffentliche Schlüssel wird beim Onlinedienst hinterlegt. Wichtig zu verstehen: Passkey ist keine Marke und kein Produkt, sondern eine Technologie, die auf den offenen Standards FIDO2 und WebAuthn aufbaut. Der Begriff wurde 2022 von Apple, Google und Microsoft geprägt, um die schon länger existierende FIDO2-Technik massentauglich zu machen.
Wie die Anmeldung technisch funktioniert
Der eigentliche Anmeldevorgang wirkt für den Nutzer wie Magie, dahinter steckt aber ein nachvollziehbares Verfahren. Es beruht auf einem sogenannten Challenge-Response-Prinzip und braucht immer drei Beteiligte: die Website als Relying Party, den Client im Browser oder Betriebssystem und den Authentikator, der die Schlüssel verwaltet.
Eine Anmeldung läuft dann in wenigen Schritten ab:
- Die Website schickt eine zufällige Aufgabe, die sogenannte Challenge, an Ihr Gerät.
- Ihr Gerät bittet Sie, sich zu bestätigen, etwa per Fingerabdruck oder Gesichtsscan.
- Der private Schlüssel signiert die Aufgabe, ohne selbst preisgegeben zu werden.
- Die Website prüft die Signatur mit dem hinterlegten öffentlichen Schlüssel.
- Stimmt die Signatur, sind Sie angemeldet.
Der entscheidende Punkt dabei: Zwischen Ihnen und dem Dienst wird zu keinem Zeitpunkt ein Geheimnis ausgetauscht, das jemand abfangen könnte. Genau daraus ergeben sich die Sicherheitsvorteile.
Warum Passkeys sicherer sind als Passwörter
Der größte Gewinn liegt nicht im Komfort, sondern in der Sicherheit. Weil es kein geteiltes Geheimnis mehr gibt, fallen die häufigsten Angriffsarten einfach weg. Ein direkter Vergleich macht das deutlich.
| Merkmal | Passwort | Passkey |
|---|---|---|
| Phishing | anfällig | resistent, da an die Domain gebunden |
| Datenleck | Hash kann gestohlen werden | kein Geheimnis auf dem Server |
| Merken und Tippen | nötig | entfällt |
| Wiederverwendung | häufig und riskant | je Konto ein eigener Schlüssel |
| Brute-Force-Angriff | möglich | praktisch ausgeschlossen |
Besonders die Phishing-Resistenz ist ein starkes Argument. Ein Passkey ist fest mit der echten Domain verknüpft und funktioniert auf einer gefälschten Seite schlicht nicht, selbst wenn der Nutzer auf den Trick hereinfällt. Solche Phishing-Versuche laufen damit ins Leere, anders als bei der klassischen Eingabe von Zugangsdaten. Wie Sie zusätzlich Ihre Domain vor Missbrauch für gefälschte Mails schützen, lesen Sie im Beitrag zu SPF, DKIM und DMARC.
Synchronisiert oder gerätegebunden?
Ein Detail sollten Sie kennen, weil es über Komfort und Sicherheit entscheidet. Passkeys gibt es in zwei Varianten, und die Wahl hängt vom Schutzbedarf ab.
| Eigenschaft | Synchronisierter Passkey | Gerätegebundener Passkey |
|---|---|---|
| Speicherort | Cloud, etwa iCloud oder Google | nur Gerät oder Hardware-Schlüssel |
| Mehrere Geräte | ja, automatisch synchron | nein, je Gerät neu anlegen |
| Sicherheitsstufe nach NIST | AAL2 | AAL3 |
| Bei Geräteverlust | unkritisch, da synchronisiert | Zugang kann verloren gehen |
| Ideal für | Alltag und breite Nutzerbasis | Hochsicherheit und Admins |
Das BSI weist auf einen Haken der synchronisierten Variante hin: Weil die Schlüssel in der Cloud des Anbieters liegen, geht damit ein gewisser Sicherheitsverlust einher, denn theoretisch könnten diese Server angegriffen werden. Für den Hochsicherheitsbereich bleibt ein Hardware-Schlüssel daher die erste Wahl. Für die allermeisten Websites sind synchronisierte Passkeys aber der beste Kompromiss aus Sicherheit und Bedienbarkeit.
Wie verbreitet sind Passkeys 2026?
Die Frage, ob sich der Aufwand lohnt, beantwortet ein Blick auf die Zahlen. Passkeys sind längst kein Nischenthema mehr, sondern auf dem Weg zum Standard.
Die wichtigsten Kennzahlen aus dem Report der FIDO-Allianz zum World Passkey Day im Mai 2026:
- Rund fünf Milliarden Passkeys sind weltweit im Einsatz.
- 90 Prozent der Menschen kennen den Begriff inzwischen, nach 75 Prozent im Vorjahr.
- 75 Prozent haben einen Passkey auf mindestens einem Konto aktiviert.
- 68 Prozent der Unternehmen setzen Passkeys für die Mitarbeiteranmeldung ein oder führen sie gerade ein.
Bei den großen Diensten ist die Technik ohnehin angekommen: Google, Apple, Microsoft, Amazon, PayPal, eBay und viele weitere bieten Passkeys an. Schätzungen zufolge unterstützen bereits 50 bis 60 Prozent der hundert größten Websites die Anmeldung per Passkey. Für kleinere Seiten wird es damit zunehmend zum Erwartungswert. Wie also setzen Sie das konkret um?
Passkeys in WordPress einrichten
Für die größte Gruppe der Seitenbetreiber, die WordPress-Nutzer, ist der Einstieg besonders einfach. Mehrere Plugins bringen Passkey-Unterstützung mit, ohne dass Sie eine Zeile Code schreiben müssen.
| Plugin | Besonderheit |
|---|---|
| Secure Passkeys | Integration mit WooCommerce und MemberPress, Shortcodes, Multisite |
| WP-WebAuthn | Anmeldung ohne Benutzernamen, Gutenberg-Blöcke, benötigt die PHP-Erweiterungen gmp und mbstring |
| Multidots Passkey Login | von einer WordPress-VIP-Agentur, setzt allerdings einen CSP-Header, der mit eigenen Richtlinien kollidieren kann |
| Bye Bye Passwords | bietet Wiederherstellungscodes als Notfall-Backup |
Bei der Installation gibt es ein paar technische Voraussetzungen zu beachten. Ihr Server sollte eine aktuelle PHP-Version mitbringen, die Erweiterungen gmp oder mbstring für die Kryptografie bereitstellen, und die Seite muss zwingend über HTTPS laufen. Gerade bei günstigem Shared Hosting lohnt vorab ein Blick, ob diese Bedingungen erfüllt sind. Da Plugins immer wieder ein Einfallstor sein können, gilt hier dasselbe wie bei jedem anderen Plugin, wie wir im Artikel zu WordPress und dem Plugin-Risiko beschrieben haben.
Passkeys auf einer eigenen Website
Wer keine Standard-Software einsetzt, sondern eine eigene Anwendung betreibt, hat zwei Wege. Beide führen zum Ziel, unterscheiden sich aber im Aufwand.
Der erste Weg ist die direkte Umsetzung über fertige Bibliotheken. Für praktisch jede Programmiersprache gibt es WebAuthn-Bibliotheken, etwa SimpleWebAuthn für JavaScript, py_webauthn für Python oder das webauthn-framework für PHP. Der zweite, schnellere Weg führt über spezialisierte Dienste, die die gesamte Anmeldung als fertigen Baustein liefern. Anbieter wie Hanko, Corbado, Passage, Stytch, Auth0 oder Clerk übernehmen die komplexe Logik, sodass Sie sich nicht selbst um Schlüsselverwaltung und Sicherheit kümmern müssen. Für die meisten Projekte ist dieser zweite Weg der pragmatischere.
Die Schwachstellen, die Sie kennen müssen
So überzeugend Passkeys sind, ein ehrlicher Ratgeber benennt auch die Grenzen. Drei Punkte sollten Sie bei der Einführung bedenken, sonst verlagern Sie das Sicherheitsproblem nur, statt es zu lösen.
- Die Wiederherstellung ist die neue Schwachstelle. Verliert ein Nutzer alle Geräte, greift meist eine Wiederherstellung per E-Mail oder Code, und genau dieser Weg lässt sich angreifen. Fachleute beobachten bereits, dass Angreifer sich vom Login auf die Wiederherstellung verlagern.
- Das Passwort als Rückfalltür hebelt den Schutz aus. Wer Passkeys nur zusätzlich zum Passwort anbietet, bleibt angreifbar, solange das Passwort weiter funktioniert. Der Passkey schützt dann nur die Anmeldungen, die ihn auch nutzen.
- Die Bindung an ein Ökosystem. Der Wechsel vom iPhone zu Android bedeutet bislang oft, dass Passkeys neu angelegt werden müssen. Ein offener Standard namens Credential Exchange Protocol soll den Umzug zwischen Anbietern erleichtern und wird seit iOS 26 erstmals unterstützt, ist aber noch nicht überall verfügbar.
Diese Punkte sind kein Grund, auf Passkeys zu verzichten. Sie zeigen aber, dass die Wiederherstellung und der Umgang mit dem Passwort die eigentlich heiklen Stellen sind, denen Sie besondere Aufmerksamkeit schenken sollten.
Best Practices für die Einführung
Damit der Umstieg gelingt, hat sich ein bewährtes Vorgehen herausgebildet. Es sorgt dafür, dass Sie niemanden aussperren und trotzdem an Sicherheit gewinnen.
- Parallel starten. Bieten Sie Passkeys zunächst zusätzlich zum bestehenden Login an, statt das Passwort sofort abzuschalten.
- Mit Admins beginnen. Führen Sie Passkeys erst für einen kleinen Kreis technisch versierter Nutzer ein und sammeln Sie Erfahrungen.
- Mehrere Passkeys erlauben. Ermutigen Sie Nutzer, gleich mehrere Geräte zu hinterlegen, damit der Verlust eines Geräts nicht zur Aussperrung führt.
- Wiederherstellung sauber gestalten. Planen Sie den Notfallweg sorgfältig, denn er entscheidet über die tatsächliche Sicherheit.
- Schrittweise umstellen. Beobachten Sie die Akzeptanz und machen Sie Passkeys erst dann verpflichtend, etwa für Administratoren, wenn sie sich bewährt haben.
So wird aus dem Umstieg kein riskanter Bruch, sondern ein kontrollierter Übergang. Zum Abschluss noch die Fragen, die am häufigsten gestellt werden.
Häufige Fragen
Rund um Passkeys tauchen immer wieder dieselben Unsicherheiten auf. Die wichtigsten davon klären wir hier.
Sind Passkeys wirklich sicherer als Passwörter?
Ja. Da kein Geheimnis gespeichert oder übertragen wird, entfallen Phishing, Datenlecks und Brute-Force-Angriffe als Bedrohung. Auch das BSI bewertet Passkeys als sicherer und nutzerfreundlicher.
Was passiert, wenn ich mein Gerät verliere?
Bei synchronisierten Passkeys sind diese auf Ihren anderen Geräten weiter verfügbar. Bei gerätegebundenen Passkeys hilft ein zweites hinterlegtes Gerät oder ein Ersatz-Sicherheitsschlüssel. Das BSI rät, bei Hardware-Schlüsseln immer einen zweiten als Reserve zu besitzen.
Brauche ich einen teuren Hardware-Schlüssel?
Nein. Für die normale Nutzung genügen ein Smartphone oder Computer als Authentikator. Ein Hardware-Schlüssel wie ein YubiKey lohnt sich vor allem im Hochsicherheitsbereich.
Muss ich Passwörter sofort abschaffen?
Nein, und das ist sogar nicht ratsam. Bieten Sie Passkeys zunächst parallel an und stellen Sie erst nach und nach um, um niemanden auszusperren.
Sind Passkeys datenschutzkonform?
Ja. Biometrische Daten wie Fingerabdruck oder Gesicht verlassen das Gerät nie, sie dienen nur lokal zur Freigabe. Übertragen wird ausschließlich die kryptografische Signatur, weshalb das Verfahren als DSGVO-freundlich gilt.
Das Fazit
Passkeys sind 2026 kein Zukunftsversprechen mehr, sondern gelebte Praxis mit fünf Milliarden aktiven Schlüsseln und klarer Empfehlung vom BSI. Für Seitenbetreiber bedeutet das einen echten Mehrwert: höhere Sicherheit durch Phishing-Resistenz, weniger Support durch wegfallende Passwort-Resets und eine schnellere Anmeldung. Der Einstieg ist dank fertiger WordPress-Plugins und spezialisierter Dienste einfacher denn je. Wichtig ist nur, die Wiederherstellung sorgfältig zu planen und schrittweise vorzugehen. Wer seinen Login zukunftssicher machen will, sollte jetzt damit beginnen.
Wie stehen Sie zu Passkeys?
Bieten Sie auf Ihrer Seite schon Passkeys an, und wie haben Ihre Nutzer reagiert? Oder zögern Sie noch, etwa wegen der Wiederherstellung? Schreiben Sie Ihre Erfahrungen und offenen Fragen in die Kommentare. Gerade Berichte aus der Praxis, welches Plugin oder welcher Dienst sich bewährt hat, helfen anderen Seitenbetreibern hier direkt weiter.
passkeys ratgeber schwächste einrichten glied ablösen
Webung: Hier bekommen Sie PHP fähigen Webspace der mit Ökostrom betrieben wird ab bereits 2 Euro/ Monat für ihre Homepage. Zusätzlich ist eine eigene Internetadresse mit enthalten.
Neusten News in der Kategorie "Webmaster"
| • NIS2 in Deutschland: Wer betroffen ist und was gilt Seit Dezember 2025 gilt in Deutschland das NIS2-Gesetz, und zwar ohne ... |
| • CVE-2026-54420: LiteSpeed-cPanel-Lücke wird ausgenutzt Eine kritische Lücke im LiteSpeed-Plugin für cPanel wird bereits aktiv... |
| • Neuer KI-Bericht in der Google Search Console erklärt Seit Juni 2026 zeigt die Google Search Console endlich, wie oft Ihre S... |
| • llms.txt: Hype oder Pflicht für SEO und Webmaster? Kaum eine Datei wurde 2025 so gehypt wie llms.txt. Doch eine Analyse v... |
| • FAQ Rich Snippets sind weg: Schema jetzt entfernen? Jahrelang war FAQ-Schema ein einfacher Trick für mehr Platz in der Goo... |
| • Gmail lehnt Mails ab: SPF, DKIM und DMARC einrichten Seit Ende 2025 prallen Mails ohne saubere Authentifizierung an Gmail u... |
| • HTTP/2 Bomb: Webserver-Lücke trifft Apache und nginx Ein einzelner Heim-PC mit normaler Leitung genügt, um einen Webserver ... |
| • PHP 8.5 Upgrade: jetzt oder doch bei 8.4 bleiben? PHP 8.1 ist tot, PHP 8.2 läuft Ende 2026 aus, ein Upgrade steht also a... |
| • KI-Crawler blocken, zur Kasse bitten oder zulassen? GPTBot, ClaudeBot und PerplexityBot überziehen Webseiten mit Anfragen.... |
| • UpdraftPlus-Lücke löst Supply-Chain-Angriff aus Erst war es nur eine Lücke im Backup-Plugin UpdraftPlus. Dann gelangte... |
Kommentar schreiben
Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.