Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreiev2oxzmstytrtq2otdj2omzghousnnt62bqpmawioxu3z55xwlcu",
    "uri": "at://did:plc:4hfnzpcvsy5k3uwjqhaynx45/app.bsky.feed.post/3mn5cnxxbm2d2"
  },
  "description": "Passwörter sind wie Haustürschlüssel aus nassem Papier: alle benutzen sie, keiner liebt sie, und trotzdem wundern wir uns jedes Mal, wenn sie wieder irgendwo im Internet herumliegen. Passkeys sollen das ändern. Zeit, sich das mal anzuschauen.",
  "path": "/passkeys-passworter-waren-eine-schlechte-idee-die-wir-viel-zu-lange-ertragen-haben/",
  "publishedAt": "2026-05-31T10:00:38.000Z",
  "site": "https://codeundkram.de",
  "tags": [
    "Warum Passwörter nerven",
    "Was ist ein Passkey?",
    "Wie funktioniert Public-Key-Kryptografie?",
    "Was passiert beim Registrieren?",
    "Was passiert beim Einloggen?",
    "Warum Passkeys gegen Phishing helfen",
    "Passkeys und Biometrie: Wird mein Fingerabdruck verschickt?",
    "Synchronisierte und gerätegebundene Passkeys",
    "Was passiert, wenn das Handy weg ist?",
    "Passkeys vs. 2FA",
    "Wo es noch hakt",
    "Praktische Tipps für den Alltag",
    "Fazit"
  ],
  "textContent": "Passwörter sind eine Zumutung.\n\nDas muss man einfach mal so sagen.\n\nSeit Jahrzehnten erzählen wir Menschen, sie sollen sich für jeden Dienst ein langes, einzigartiges, komplexes Passwort merken. Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen, bitte nicht wiederverwenden, bitte regelmäßig ändern, bitte nicht aufschreiben, bitte nicht vergessen, bitte nicht `Sommer2024!`, bitte nicht den Namen des Hundes, bitte nicht „Passwort123“, bitte nicht verzweifeln.\n\nUnd dann wundern wir uns, dass überall dieselben drei Passwörter benutzt werden.\n\nÜberraschung.\n\nMenschen sind keine Passwort-Tresore mit Puls.\n\nSie sind müde. Sie haben Arbeit, Kinder, Termine, Apps, Steuerkram, Lieferdienste, Streamingkonten, Banking, Krankenkasse, Kundenportal, Vereinsverwaltung, Newsletter, Smart-TV, WLAN-Gästezugang und irgendein Portal, das man einmal im Jahr braucht und dessen Passwort exakt in dem Moment verschwunden ist, in dem man dringend eine PDF herunterladen muss.\n\nPasswörter waren lange das kleinere Übel.\n\nAber gut waren sie nie.\n\nJetzt kommen Passkeys.\n\nUnd Passkeys versprechen etwas, das fast zu schön klingt, um nicht direkt misstrauisch zu werden:\n\nEinloggen ohne Passwort.\n\nSicherer.\n\nEinfacher.\n\nPhishing-resistenter.\n\nMit Fingerabdruck, Gesichtserkennung, PIN oder Gerätesperre.\n\nKlingt nach Marketing.\n\nIst aber tatsächlich technisch spannend.\n\nUnd ausnahmsweise nicht nur alter Kram mit neuem Namen und mehr „Experience“.\n\n## Inhaltsverzeichnis\n\n  1. Warum Passwörter nerven\n  2. Was ist ein Passkey?\n  3. Wie funktioniert Public-Key-Kryptografie?\n  4. Was passiert beim Registrieren?\n  5. Was passiert beim Einloggen?\n  6. Warum Passkeys gegen Phishing helfen\n  7. Passkeys und Biometrie: Wird mein Fingerabdruck verschickt?\n  8. Synchronisierte und gerätegebundene Passkeys\n  9. Was passiert, wenn das Handy weg ist?\n  10. Passkeys vs. 2FA\n  11. Wo es noch hakt\n  12. Praktische Tipps für den Alltag\n  13. Fazit\n\n\n\n* * *\n\n## 1. Warum Passwörter nerven\n\nPasswörter haben ein grundsätzliches Problem:\n\nSie müssen gleichzeitig leicht genug sein, damit Menschen sie nutzen können, und schwer genug, damit Angreifer sie nicht erraten oder knacken können.\n\nDas ist ein schlechter Deal.\n\nFür alle.\n\nNimmt man ein einfaches Passwort, ist es unsicher.\n\nNimmt man ein starkes Passwort, kann es sich kein normaler Mensch merken.\n\nNimmt man für jeden Dienst ein eigenes starkes Passwort, braucht man einen Passwortmanager.\n\nNimmt man keinen Passwortmanager, landet man irgendwann bei Varianten wie:\n\n\n    Sommer2024!\n    Sommer2025!\n    Sommer2025!!\n    Sommer2025!!Neu\n\n\nSehr sicher.\n\nWenn der Angreifer ein Praktikant mit Augenbinde ist.\n\nDazu kommen Datenlecks.\n\nPasswörter werden auf Servern gespeichert. Hoffentlich nicht im Klartext. Hoffentlich ordentlich gehasht. Hoffentlich mit Salt. Hoffentlich nicht mit irgendeinem Verfahren aus der digitalen Bronzezeit.\n\nHoffentlich.\n\nDas Wort „hoffentlich“ ist in der IT immer ein Warnschild mit freundlicher Schriftart.\n\nWenn ein Dienst gehackt wird und Passwortdaten abfließen, können Angreifer versuchen, diese Passwörter zu knacken. Wenn Nutzer dasselbe Passwort bei mehreren Diensten verwenden, wird es richtig hässlich.\n\nDann wird aus einem Leak bei Dienst A plötzlich ein Problem bei Dienst B, C und D.\n\nWeil Menschen Passwörter wiederverwenden.\n\nNatürlich tun sie das.\n\nNicht weil sie dumm sind.\n\nSondern weil das System dumm ist.\n\nMan hat Menschen eine Aufgabe gegeben, die Menschen schlecht können, und ihnen danach erklärt, sie seien schuld, wenn es schiefgeht.\n\nKlassiker.\n\n* * *\n\n## 2. Was ist ein Passkey?\n\nEin Passkey ist ein moderner Anmeldeschlüssel.\n\nNicht im Sinne von: Noch ein Passwort, nur hübscher.\n\nSondern wirklich anders.\n\nBei einem Passkey wird kein gemeinsames Geheimnis zwischen dir und dem Dienst ausgetauscht. Es gibt also kein Passwort, das du eintippst und das irgendwie überprüft werden muss.\n\nStattdessen arbeitet ein Passkey mit einem Schlüsselpaar:\n\n  * einem **privaten Schlüssel**\n  * einem **öffentlichen Schlüssel**\n\n\n\nDer private Schlüssel bleibt bei dir.\n\nAuf deinem Gerät.\n\nIm sicheren Speicher.\n\nDer öffentliche Schlüssel geht zum Dienst.\n\nDer darf öffentlich sein. Deshalb heißt er so. Verrückt, ich weiß.\n\nWenn du dich einloggst, beweist dein Gerät mit dem privaten Schlüssel, dass es zu dem öffentlichen Schlüssel passt. Der private Schlüssel selbst wird dabei nicht verschickt.\n\nDas ist der wichtige Teil.\n\nBei Passwörtern lautet das Prinzip:\n\n> Ich sage dir mein Geheimnis. Bitte geh gut damit um.\n\nBei Passkeys lautet das Prinzip:\n\n> Ich beweise dir, dass ich mein Geheimnis habe, ohne es dir zu geben.\n\nDas ist technisch deutlich eleganter.\n\nUnd menschlich auch.\n\nDenn Menschen müssen sich nichts merken.\n\nSie entsperren nur ihr Gerät.\n\nMit Fingerabdruck, Gesichtserkennung, PIN, Passwort oder Hardware-Sicherheitsschlüssel.\n\nAlso mit etwas, das sie ohnehin nutzen.\n\n* * *\n\n## 3. Wie funktioniert Public-Key-Kryptografie?\n\nPublic-Key-Kryptografie klingt erst mal nach Matheunterricht mit Servergeruch.\n\nMuss aber nicht weh tun.\n\nStell dir ein Schloss vor.\n\nDer öffentliche Schlüssel ist wie ein offenes Schloss, das du jedem geben kannst.\n\nJeder kann etwas damit verschließen.\n\nAber nur du hast den privaten Schlüssel, um es wieder zu öffnen.\n\nBei Signaturen läuft es etwas anders, aber die Idee bleibt ähnlich: Mit dem privaten Schlüssel kann dein Gerät etwas unterschreiben. Mit dem öffentlichen Schlüssel kann der Dienst prüfen, ob diese Unterschrift echt ist.\n\nWichtig:\n\nDer private Schlüssel verlässt dein Gerät nicht.\n\nDas ist der große Unterschied zum Passwort.\n\nEin Passwort wird irgendwann eingegeben, übertragen, verarbeitet, verglichen, gespeichert oder zumindest als Hash behandelt.\n\nEin privater Passkey-Schlüssel bleibt lokal.\n\nDer Dienst bekommt nur den öffentlichen Teil.\n\nWenn der Dienst gehackt wird, liegt dort kein Passwort herum, das Angreifer bei anderen Diensten ausprobieren können.\n\nDas heißt nicht, dass plötzlich alles perfekt ist.\n\nAber es entfernt eine riesige, seit Jahrzehnten brennende Mülltonne aus dem Login-Prozess.\n\nUnd das ist schon mal was.\n\n* * *\n\n## 4. Was passiert beim Registrieren?\n\nWenn du bei einem Dienst einen Passkey anlegst, passiert vereinfacht Folgendes:\n\nDer Dienst sagt deinem Gerät:\n\n> Erstelle bitte einen neuen Schlüssel für diese Website.\n\nDein Gerät erzeugt ein neues Schlüsselpaar.\n\nDer private Schlüssel bleibt auf deinem Gerät oder in deinem Passkey-Speicher.\n\nDer öffentliche Schlüssel wird an den Dienst geschickt.\n\nDer Dienst speichert:\n\n  * deinen Account\n  * den öffentlichen Schlüssel\n  * einige technische Informationen\n\n\n\nWas er nicht speichert:\n\n  * dein Passwort\n  * deinen privaten Schlüssel\n  * deinen Fingerabdruck\n  * dein Gesicht\n\n\n\nUnd das ist gut.\n\nBeim nächsten Login fragt der Dienst nicht mehr:\n\n> Wie lautet dein Passwort?\n\nSondern eher:\n\n> Beweise mir, dass du den passenden privaten Schlüssel hast.\n\nDein Gerät fragt dich dann lokal:\n\n> Willst du dich hier anmelden?\n\nDu bestätigst mit Fingerabdruck, Face Unlock, PIN oder Gerätesperre.\n\nDein Gerät signiert eine Herausforderung.\n\nDer Dienst prüft die Signatur mit dem öffentlichen Schlüssel.\n\nPasst.\n\nDu bist drin.\n\nKein Passwort.\n\nKein Eintippen.\n\nKein „Ihr Passwort muss mindestens ein Sonderzeichen enthalten, aber nicht dieses Sonderzeichen, weil unser System aus 2009 Angst hat“.\n\nSchön.\n\nFast ungewohnt.\n\n* * *\n\n## 5. Was passiert beim Einloggen?\n\nBeim Einloggen bekommt dein Gerät eine sogenannte Challenge.\n\nDas ist eine zufällige Aufgabe, die nur für diesen Login gilt.\n\nDer Server sagt also nicht:\n\n> Sag mir dein Geheimnis.\n\nSondern:\n\n> Signiere bitte diese zufällige Nachricht mit deinem privaten Schlüssel.\n\nDein Gerät macht das.\n\nAber nur, wenn du die Anmeldung bestätigst.\n\nDann schickt es die Signatur zurück.\n\nDer Server prüft:\n\n  * Ist die Signatur gültig?\n  * Gehört sie zum gespeicherten öffentlichen Schlüssel?\n  * Passt sie zur richtigen Domain?\n  * Ist die Challenge frisch?\n\n\n\nWenn ja: Login erfolgreich.\n\nWenn nein: Pech.\n\nOder Angriff.\n\nOder kaputte Implementierung.\n\nOder wieder dieser eine Browser, der alles anders macht, weil Standardisierung offenbar nur eine lose Empfehlung ist.\n\nDas Schöne an diesem Verfahren: Selbst wenn jemand die Kommunikation mitschneidet, kann er damit nicht einfach später einloggen. Die Challenge ist nur einmal gültig.\n\nUnd selbst wenn jemand den öffentlichen Schlüssel kennt, kann er daraus nicht den privaten Schlüssel bauen.\n\nDas ist genau der Sinn.\n\n* * *\n\n## 6. Warum Passkeys gegen Phishing helfen\n\nPhishing funktioniert bei Passwörtern erschreckend gut.\n\nEin Angreifer baut eine gefälschte Login-Seite.\n\nSie sieht aus wie die echte.\n\nDu gibst dein Passwort ein.\n\nVielleicht auch noch deinen 2FA-Code.\n\nDer Angreifer nimmt beides und loggt sich auf der echten Seite ein.\n\nDas ist kein theoretisches Problem.\n\nDas passiert jeden Tag.\n\nMit Passkeys wird das deutlich schwerer.\n\nDenn Passkeys sind an die Domain gebunden.\n\nEin Passkey für `example.com` funktioniert nicht einfach auf `examp1e.com`, `example-login.com` oder `bitte-hier-einloggen-wirklich-echt.net`.\n\nDer Browser und das Betriebssystem prüfen, für welche Website der Passkey gilt.\n\nEine Fake-Seite kann dich nicht einfach dazu bringen, deinen Passkey für die echte Seite herauszugeben.\n\nDenn dein privater Schlüssel wird sowieso nicht herausgegeben.\n\nDas ist der Punkt.\n\nBei Passwörtern kann ein Mensch ausgetrickst werden.\n\nBei Passkeys muss der Angreifer das Gerät und die Domainbindung austricksen.\n\nDas ist deutlich schwieriger.\n\nNicht unmöglich, weil in der IT „unmöglich“ ungefähr so gefährlich ist wie „das passiert nie“.\n\nAber schwieriger.\n\nViel schwieriger.\n\nUnd das ist ein riesiger Fortschritt.\n\nPhishing lebt davon, dass Menschen in Stress, Müdigkeit oder Routine Dinge eintippen.\n\nPasskeys nehmen genau dieses Eintippen aus dem Spiel.\n\nDas ist gut.\n\nDenn der Mensch ist in Sicherheitsfragen oft nicht das Problem, weil er doof ist.\n\nDer Mensch ist das Problem, weil Systeme ihn ständig zu Dingen zwingen, die er unter schlechten Bedingungen richtig machen soll.\n\nUnd dann ist es plötzlich seine Schuld.\n\nNatürlich.\n\n* * *\n\n## 7. Passkeys und Biometrie: Wird mein Fingerabdruck verschickt?\n\nEine häufige Sorge:\n\n> Wenn ich mich mit Fingerabdruck oder Gesicht anmelde, bekommt dann der Dienst meinen Fingerabdruck oder mein Gesicht?\n\nNein.\n\nSollte er jedenfalls nicht.\n\nBiometrie entsperrt lokal dein Gerät oder deinen Passwort-/Passkey-Speicher.\n\nDer Dienst bekommt nicht deinen Fingerabdruck.\n\nEr bekommt nicht dein Gesicht.\n\nEr bekommt nur die kryptografische Antwort, die beweist, dass dein Gerät den passenden privaten Schlüssel nutzen durfte.\n\nAlso:\n\nFinger auf Sensor.\n\nGerät sagt lokal: passt.\n\nPrivater Schlüssel darf verwendet werden.\n\nSignatur wird erstellt.\n\nDienst prüft Signatur.\n\nFertig.\n\nDas ist ein wichtiger Unterschied.\n\nDer Fingerabdruck ist nicht dein Passwort.\n\nEr ist eher der lokale Türöffner zum Schlüssel.\n\nWenn jemand deinen Fingerabdruck nicht mag, kann er meist auch PIN oder Gerätesperre verwenden, je nach System.\n\nPasskeys sind also nicht automatisch Biometriepflicht.\n\nBiometrie ist nur eine bequeme Methode, lokal zu bestätigen:\n\n> Ja, ich bin gerade wirklich am Gerät und will mich anmelden.\n\nUnd natürlich gilt:\n\nGerätesicherheit bleibt wichtig.\n\nWenn dein Handy mit `1234` entsperrt wird, ist das kein Passkey-Problem.\n\nDas ist ein Du-hast-deinen-digitalen-Haustürschlüssel-unter-die-Fußmatte-gelegt-Problem.\n\n* * *\n\n## 8. Synchronisierte und gerätegebundene Passkeys\n\nJetzt wird es etwas praktischer.\n\nEs gibt grob zwei Arten von Passkeys:\n\n  * synchronisierte Passkeys\n  * gerätegebundene Passkeys\n\n\n\nSynchronisierte Passkeys werden über ein Ökosystem verteilt.\n\nZum Beispiel über Apple iCloud Keychain, Google Password Manager oder andere Passwortmanager mit Passkey-Unterstützung (Bitwarden ftw).\n\nDer Vorteil:\n\nDu legst einen Passkey auf dem Handy an und kannst ihn später auch auf deinem Laptop nutzen, sofern alles sauber synchronisiert ist.\n\nBequem.\n\nSehr bequem.\n\nUnd Bequemlichkeit ist in Sicherheit immer gleichzeitig Segen und Augenbrauenheber.\n\nGerätegebundene Passkeys bleiben auf einem bestimmten Gerät oder Hardware-Sicherheitsschlüssel.\n\nZum Beispiel auf einem YubiKey oder einem anderen FIDO2-Security-Key.\n\nDer Vorteil:\n\nDer Schlüssel ist nicht einfach über Cloud-Sync verteilt.\n\nDer Nachteil:\n\nWenn du ihn verlierst, hast du ein Problem.\n\nDeshalb sollte man bei wichtigen Accounts mehrere Anmeldemöglichkeiten hinterlegen.\n\nEin Hardware-Key als Backup.\n\nEin zweites Gerät.\n\nWiederherstellungscodes.\n\nIrgendetwas.\n\nDenn Sicherheit ohne Wiederherstellung ist wie ein Tresor, dessen Schlüssel man in den Tresor legt.\n\nTechnisch konsequent.\n\nPraktisch dämlich.\n\n* * *\n\n## 9. Was passiert, wenn das Handy weg ist?\n\nDie wichtigste Alltagsfrage:\n\n> Was passiert, wenn mein Handy kaputtgeht oder verloren ist?\n\nGute Frage.\n\nUnd genau hier entscheidet sich, ob Passkeys im echten Leben funktionieren oder ob Menschen wieder Zettel schreiben.\n\nWenn deine Passkeys synchronisiert werden, kannst du sie auf einem neuen Gerät wiederherstellen, sobald du dich in dein Konto einloggst und die Sicherheitsprüfungen bestehst.\n\nWenn du gerätegebundene Passkeys nutzt, brauchst du Backup-Schlüssel oder andere Wiederherstellungswege.\n\nViele Dienste bieten zusätzlich Wiederherstellungsmethoden an:\n\n  * Backup-Codes\n  * Zweitgerät\n  * E-Mail-Wiederherstellung\n  * Support-Prozess\n  * Hardware-Security-Key\n\n\n\nDas ist gut.\n\nAber es ist auch eine Schwachstelle.\n\nDenn was nützt ein extrem sicherer Passkey, wenn die Account-Wiederherstellung am Ende über eine E-Mail-Adresse läuft, deren Passwort `Sommer2025!` ist?\n\nGenau.\n\nSicherheit ist immer nur so stark wie der schwächste Weg zurück ins Konto.\n\nAccount-Recovery ist der Hintereingang.\n\nUnd Hintereingänge sind in der IT traditionell die Orte, an denen später jemand sagt:\n\n> Damit haben wir nicht gerechnet.\n\nPasskeys lösen viel.\n\nAber sie lösen nicht automatisch schlechte Wiederherstellungsprozesse.\n\nDeshalb gilt:\n\nFür wichtige Accounts mehrere sichere Wiederherstellungswege einrichten.\n\nNicht nur ein Gerät.\n\nNicht nur eine Mailadresse.\n\nNicht nur Hoffnung.\n\nHoffnung ist kein Backup.\n\n* * *\n\n## 10. Passkeys vs. 2FA\n\nZwei-Faktor-Authentifizierung ist gut.\n\nZumindest meistens.\n\nEin Passwort plus zweiter Faktor ist besser als nur Passwort.\n\nKlassische Varianten:\n\n  * SMS-Code\n  * Authenticator-App\n  * Push-Bestätigung\n  * Hardware-Key\n\n\n\nSMS ist besser als nichts, aber nicht ideal. SIM-Swapping, Weiterleitungen und Mobilfunk-Gedöns machen SMS nicht gerade zur Festung.\n\nAuthenticator-Apps sind besser.\n\nHardware-Keys sind sehr gut.\n\nAber Passkeys gehen einen anderen Weg.\n\nEin Passkey kann Passwort und zweiten Faktor in einem Verfahren ersetzen.\n\nWarum?\n\nWeil er zwei Dinge kombiniert:\n\n  * Besitz: Du hast das Gerät oder den Schlüssel.\n  * lokale Bestätigung: Du entsperrst es mit PIN, Fingerabdruck, Gesicht oder Gerätesperre.\n\n\n\nDas ist stark.\n\nUnd deutlich bequemer als Passwort plus Code aus einer App, den man natürlich genau dann abtippen muss, wenn die App gerade ein Update, dein Handy wenig Akku und du wenig Geduld hast.\n\nPasskeys sind außerdem phishing-resistenter als viele 2FA-Verfahren.\n\nEin 6-stelliger Code kann abgegriffen und sofort missbraucht werden.\n\nEin Passkey signiert für die richtige Domain.\n\nDas ist ein großer Unterschied.\n\nTrotzdem sollte man nicht blind alles abschalten.\n\nManche Dienste lassen Passkeys zusätzlich zu Passwörtern laufen.\n\nAndere erlauben passwortlose Anmeldung.\n\nMan muss sich pro Dienst anschauen, wie das Sicherheitsmodell aussieht.\n\nDenn „Passkey unterstützt“ heißt nicht automatisch:\n\n> Alles perfekt, bitte Gehirn aus.\n\nEs heißt:\n\n> Gute Grundlage. Jetzt bitte nicht den Recovery-Prozess mit Tesafilm befestigen.\n\n* * *\n\n## 11. Wo es noch hakt\n\nPasskeys sind gut.\n\nAber nicht magisch.\n\nUnd schon gar nicht überall elegant umgesetzt.\n\nErstes Problem: Verwirrung.\n\nViele Nutzer verstehen nicht, wo ihr Passkey liegt.\n\nIm Browser?\n\nIm Betriebssystem?\n\nIm Passwortmanager?\n\nAuf dem Handy?\n\nIm Google-Konto?\n\nIn der iCloud?\n\nAuf dem Sicherheitsschlüssel?\n\nJa.\n\nVielleicht.\n\nKommt drauf an.\n\nSehr hilfreich.\n\nZweites Problem: Ökosysteme.\n\nApple, Google, Microsoft und Passwortmanager unterstützen Passkeys, aber die Benutzerführung ist nicht überall gleich. Manchmal ist es wunderbar. Manchmal wirkt es, als hätten drei Teams gleichzeitig am Login gearbeitet und danach nicht mehr miteinander gesprochen.\n\nDrittes Problem: Firmenumgebungen.\n\nUnternehmen lieben kontrollierte Prozesse.\n\nUnd Passkeys werfen Fragen auf:\n\n  * Wer verwaltet die Schlüssel?\n  * Was passiert bei Geräteverlust?\n  * Wie läuft Offboarding?\n  * Was ist mit privaten Geräten?\n  * Welche Passwortmanager sind erlaubt?\n  * Wie werden Hardware-Keys ausgegeben?\n\n\n\nDas ist lösbar.\n\nAber nicht mit einem „Wir machen jetzt mal eben Passkeys“-Meeting und einem PDF voller guter Laune.\n\nViertes Problem: Fallbacks.\n\nSolange Dienste weiterhin Passwort-Login als einfache Alternative erlauben, bleibt das Passwort ein Einfallstor.\n\nPasskeys sind dann zwar schön, aber der alte Kellereingang steht noch offen.\n\nFünftes Problem: Gewohnheit.\n\nMenschen sind an Passwörter gewöhnt.\n\nNicht weil sie gut sind.\n\nSondern weil Schmerz auch eine Form von Routine werden kann.\n\n* * *\n\n## 12. Praktische Tipps für den Alltag\n\nWer Passkeys nutzen will, sollte nicht planlos klicken und hoffen, dass die Zukunft schon irgendwie synchronisiert.\n\nEin paar einfache Regeln helfen.\n\nErstens: Nutze einen guten Passwortmanager, der Passkeys unterstützt.\n\nAuch wenn Passkeys Passwörter ersetzen können, bleibt ein Passwortmanager nützlich. Für alte Accounts. Für Recovery-Codes. Für Notizen. Für alles, was noch nicht in der Zukunft angekommen ist.\n\nZweitens: Richte bei wichtigen Accounts mehr als einen Zugang ein.\n\nAlso nicht nur ein einziges Handy.\n\nNutze ein zweites Gerät oder einen Hardware-Sicherheitsschlüssel als Backup.\n\nDrittens: Sichere Recovery-Codes.\n\nNicht als Screenshot in der Galerie zwischen Urlaubsfotos und Memes.\n\nNicht in einer Textdatei namens `passwoerter_neu_final.txt` auf dem Desktop.\n\nSicher ablegen.\n\nViertens: Prüfe, welche Fallbacks aktiv sind.\n\nWenn Passwort-Login weiterhin möglich ist, sollte das Passwort stark und einzigartig bleiben.\n\nJa, nervig.\n\nWillkommen in der Übergangszeit.\n\nFünftens: Lass dich nicht von Begriffen blenden.\n\n„Passkey“ auf einer Website kann unterschiedlich umgesetzt sein. Schau dir an, ob du Passwörter deaktivieren kannst, welche Wiederherstellungsmöglichkeiten existieren und ob mehrere Passkeys hinterlegt werden können.\n\nSechstens: Für sehr wichtige Accounts Hardware-Keys überlegen.\n\nE-Mail, Passwortmanager, Banking, Admin-Zugänge, Cloud-Konten.\n\nAlles, was richtig weh tut, wenn es weg ist.\n\nDenn am Ende hängt an deinem E-Mail-Konto oft dein halbes digitales Leben.\n\nWer deine Mail kontrolliert, kontrolliert oft deine Passwort-Resets.\n\nDas ist nicht schön.\n\nAber wahr.\n\n* * *\n\n## 13. Fazit\n\nPasswörter waren nie gut.\n\nSie waren nur lange das, was wir hatten.\n\nEin Notbehelf, der zur Gewohnheit wurde.\n\nEin Sicherheitskonzept, das Menschen zu kleinen Passwortverwaltungsmaschinen machen wollte und sich dann wunderte, dass Menschen lieber `Sommer2025!` nehmen.\n\nPasskeys sind ein echter Fortschritt.\n\nNicht, weil sie perfekt sind.\n\nNicht, weil plötzlich alles sicher ist.\n\nNicht, weil Big Tech aus reiner Menschenliebe Login-Probleme löst.\n\nSondern weil sie ein altes Grundproblem entschärfen:\n\nDu musst kein Geheimnis mehr an einen Dienst schicken.\n\nDu musst dir nichts mehr merken.\n\nDu kannst dich anmelden, ohne ein Passwort einzutippen.\n\nUnd Phishing wird deutlich schwieriger.\n\nDas ist gut.\n\nSehr gut sogar.\n\nNatürlich wird es Übergangsprobleme geben.\n\nNatürlich werden manche Dienste es schlecht umsetzen.\n\nNatürlich wird irgendwo ein Portal Passkeys anbieten und daneben einen Recovery-Prozess haben, der aussieht wie ein Gartentor mit Pappschloss.\n\nNatürlich.\n\nEs ist immer noch das Internet.\n\nAber die Richtung stimmt.\n\nWeg vom Passwort.\n\nWeg vom Eintippen.\n\nWeg von „Bitte wählen Sie ein Passwort mit mindestens acht Zeichen, einem Sonderzeichen, einer Rune und dem Blut eines Systemadministrators“.\n\nHin zu kryptografischen Schlüsseln, Domainbindung und lokaler Bestätigung.\n\nDas klingt trocken.\n\nIst aber ziemlich gut.\n\nPasskeys sind vielleicht nicht sexy.\n\nAber Passwörter sind auch nicht sexy.\n\nPasswörter sind kleine digitale Haftnotizen mit Trauma.\n\nUnd wenn wir die endlich loswerden, darf man ruhig kurz dankbar sein.\n\nNicht euphorisch.\n\nDas wäre verdächtig.\n\nAber dankbar.\n\nMit Backup.\n\nImmer mit Backup.",
  "title": "Passkeys: Passwörter waren eine schlechte Idee, die wir viel zu lange ertragen haben",
  "updatedAt": "2026-05-31T12:00:38.427Z"
}