Sicherheit 6 Min Lesezeit

Passkeys statt Passwörter — der Praxisstand 2025

Passkeys sind reif für den Produktiveinsatz: Browser-Support, Geräte-Sync, Backup-Strategien. Was KMU jetzt wissen müssen — WordPress, Shopify, Custom-Logins.

Bild: Zulfugar Karimov · Pexels License

Thorsten Heß
Thorsten Heß MOLOTOW Web Development

Das Passwort ist seit Jahrzehnten das kaputteste Sicherheitskonzept im Web — jedes ernstzunehmende Datenleck der letzten zehn Jahre hing direkt oder indirekt an schwachen, wiederverwendeten oder gephishten Passwörtern. Mit Passkeys gibt es seit 2022 einen Nachfolger, der nicht nur theoretisch besser ist, sondern in der Praxis für Nutzerinnen und Nutzer sogar bequemer. 2025 ist der Punkt erreicht, an dem Du als KMU-Betreiber ernsthaft über einen Umstieg nachdenken solltest — oder zumindest über einen Parallelbetrieb.

Wir sind MOLOTOW Web Development aus Lahr im Schwarzwald und haben Passkeys im letzten Jahr in mehreren Kundenprojekten eingeführt. In diesem Beitrag erklären wir, was Passkeys wirklich sind, wo sie heute stehen, und wie Du sie in WordPress, Shopify oder einer Custom-Anwendung konkret umsetzt.

Was Passkeys sind — ohne Marketing-Nebel

Technisch gesehen sind Passkeys eine Nutzerfreundliche Implementierung des FIDO2-Standards, der wiederum auf WebAuthn (W3C-Standard seit 2019) und CTAP2 aufsetzt. Stark vereinfacht: Statt einem geteilten Geheimnis (Passwort) nutzt der Login ein asymmetrisches Schlüsselpaar. Der private Schlüssel verlässt nie Dein Gerät, der öffentliche liegt beim Dienst. Beim Login signiert Dein Gerät eine Challenge vom Server, und wenn die Signatur stimmt, bist Du drin.

Die wichtigste Eigenschaft für Sicherheit: Passkeys sind domain-gebunden. Ein Passkey für deine-bank.de lässt sich technisch nicht auf deine-bank.fake.com verwenden — selbst wenn Du auf einen perfekt aussehenden Phishing-Link reinfällst. Das ist der Punkt, an dem Passwörter versagen und Passkeys einfach nicht mehr ausgetrickst werden können.

Der Unterschied zu früheren FIDO-Produkten (etwa YubiKeys): Passkeys sind synchronisierbar zwischen Geräten — über iCloud Keychain, Google Password Manager, Microsoft Account oder Passwort-Manager wie 1Password, Bitwarden, Dashlane. Damit ist das größte Praxis-Problem alter Hardware-Keys gelöst: Du verlierst nicht den Zugang, wenn das Gerät kaputt geht.

Browser- und Geräte-Support 2025

Der Support-Stand ist ehrlich gesagt besser, als viele denken:

  • Apple: Seit iOS 16 und macOS Ventura (2022) nativ, iCloud-Sync inklusive.
  • Google: Android 9+ und Chrome unterstützen Passkeys seit 2022. Sync über Google Password Manager.
  • Microsoft: Windows 11 mit Windows Hello, Edge voll unterstützt. Windows 10 nur eingeschränkt.
  • Firefox: Volle WebAuthn-Unterstützung, Sync seit Firefox 122.
  • Passwort-Manager: 1Password (seit 2023), Bitwarden (seit 2024), Dashlane, Proton Pass — alle mit plattformübergreifendem Sync.

In der Praxis heißt das: Rund 95 Prozent aller Endgeräte im deutschen Web können heute Passkeys nutzen. Die verbleibenden 5 Prozent sind meist sehr alte Geräte oder Firmen-PCs mit restriktiver Gruppenrichtlinie. Wichtig: Der Fallback auf Passwort muss weiterhin möglich sein, sonst schließt Du Nutzer:innen aus. Passkeys sind 2025 noch nicht reif als alleinige Authentifizierung — aber als präferierte Methode sehr wohl.

Passkeys in WordPress

Für WordPress gibt es inzwischen mehrere solide Plugins:

  • WP WebAuthn — Open Source, gepflegt, gut dokumentiert. Erlaubt Passkey-Login parallel zum klassischen Passwort.
  • Passkeys for WordPress — kommerzielle Option mit Admin-Panel und Audit-Log.
  • Wordfence Login Security — integriert WebAuthn in das etablierte Security-Plugin.

Die Installation ist simpel: Plugin aktivieren, im Benutzerprofil einen Passkey registrieren, zukünftig auf dem Login-Bildschirm auf „Mit Passkey einloggen” klicken. Der Browser zeigt den System-Dialog (Touch-ID, Face-ID, Windows Hello, PIN), und nach einer Sekunde bist Du eingeloggt — ohne Tippen, ohne Passwort, ohne 2FA-Code.

Unsere Empfehlung für Kunden: Parallelbetrieb. Admin-Accounts mit Passkey-Pflicht, Redakteurs-Accounts optional, Abo-/Shop-User ohne Zwang. Die Security-Gewinne liegen vor allem bei den Admin-Zugängen, und dort ist der Durchsetzungs-Aufwand überschaubar. Mehr zu WordPress-Sicherheit haben wir unter WordPress-Sicherheit 2025 — Angriffsvektoren ausführlich beschrieben.

Passkeys in Shopify, SaaS und Custom-Logins

Shopify unterstützt Passkeys seit 2024 nativ im Kundenkonto-Login. Für Store-Betreiber keine Arbeit — Shopify liefert es mit, die Kundschaft kann es im Profil einrichten.

SaaS-Dienste mit Passkey-Unterstützung sind inzwischen Standard: GitHub, GitLab, PayPal, Amazon, Microsoft, Google, Stripe, Cloudflare, DocuSign. Wer betriebliche Accounts verwaltet, sollte in der jährlichen Security-Audit-Runde systematisch durchgehen, wo Passkeys aktivierbar sind — und es dann auch aktivieren.

Für Custom-Anwendungen ist der Aufwand höher, aber nicht dramatisch. Die navigator.credentials.create() und navigator.credentials.get()-APIs sind gut dokumentiert, und Libraries wie SimpleWebAuthn (Node.js, auch mit Ports für PHP, Python, Go) nehmen den Großteil der Komplexität ab. Rechne mit ein bis zwei Entwicklertagen für eine saubere Implementation inklusive Backend-Storage der Public Keys, Attestation-Check und Fallback-Logik.

Backup und Account-Recovery — der unangenehme Teil

Die größte offene Frage in der Praxis: Was passiert, wenn der Nutzer seinen Passkey verliert? Die Antworten 2025:

  • Sync über Cloud-Provider ist in 95 Prozent der Fälle die Antwort — iCloud, Google, Microsoft. Der Nutzer installiert auf einem neuen Gerät den gleichen Account, der Passkey ist wieder da.
  • Zweiter Passkey als Backup auf einem weiteren Gerät oder Hardware-Key. Empfehlenswert für Admin-Accounts.
  • Recovery-Codes klassisch als gedruckte Fallback-Liste — wie bei 2FA.
  • Support-Prozess für den Worst Case: Identitätsprüfung per Video-Call oder Ausweis, manueller Reset. Für SaaS-Anbieter mit Kundensupport vorhandene Prozesse, für kleine Seiten oft das Recovery-Code-Modell.

Wichtig: Ohne Recovery-Strategie kein Passkey-Rollout. Wir sehen in Audits regelmäßig, dass Passkeys enthusiastisch eingeführt und dann beim ersten verlorenen Gerät zu einem ungeplanten Support-Desaster werden.

Was bleibt vom Passwort

Kurze Antwort: Für die meisten Seiten in absehbarer Zukunft noch ein Parallelgleis. Passwörter werden 2025 nicht verschwinden — sie werden Fallback. Die ehrliche Roadmap für eine KMU-Seite:

  • 2025: Passkeys als Option anbieten, Passwort als Standard.
  • 2026: Passkeys als Standard bei neuen Registrierungen, Passwort bleibt für Alt-Accounts.
  • 2027+: Passwort-Deprecation möglich, abhängig von der Nutzer-Basis.

Für interne Admin-Zugänge kannst Du deutlich schneller auf Passkey-Only umstellen. Das ist ein überschaubarer User-Kreis, der geschult werden kann und bei dem die Security-Gewinne besonders wertvoll sind.

Häufige Fragen

Sind Passkeys DSGVO-konform?

Ja. Der private Schlüssel verlässt das Endgerät nie, der Server speichert nur den öffentlichen Schlüssel — also keine biometrischen Daten beim Dienstanbieter. Die biometrische Authentifizierung (Touch-ID etc.) findet lokal statt, Du als Seitenbetreiber bekommst nur „Ja, Nutzer ist authentifiziert” zurück. Das ist datenschutztechnisch besser als jedes Passwort-System.

Kann ich mit Passkeys Phishing verhindern?

Gegen die klassische Form (gefälschte Login-Seite) ja, fast vollständig. Durch die Domain-Bindung kann ein Passkey für banking.de nicht auf banking.phisher.com benutzt werden — der Browser würde den Passkey dort gar nicht anbieten. Das ist der größte Security-Gewinn. Vorsicht bleibt geboten bei Social Engineering in anderen Kanälen (Support-Anruf, SMS, E-Mail).

Was ist mit Hardware-Keys wie YubiKey?

YubiKeys sind weiterhin eine gültige FIDO2-Implementierung und werden neben synchronisierten Passkeys weiter existieren. Für Höchstsicherheits-Szenarien (Admin-Accounts, IT-Stammdaten) bleiben sie Best Practice — sie lassen sich nicht per Cloud-Account kompromittieren und sind an physische Präsenz gebunden.

Wie überzeuge ich meine Kundschaft, Passkeys zu nutzen?

Mit Bequemlichkeit, nicht mit Security-Argumenten. „Einloggen ohne Tippen” ist die Botschaft, die bei Endkunden zieht. Kurzes Onboarding-Video, ein-Klick-Aktivierung im Profil, klarer Fallback — mehr braucht es nicht. In unseren Kundenprojekten haben wir Adoptionsraten von 30 bis 50 Prozent innerhalb der ersten drei Monate gesehen.

Fazit

Passkeys sind keine Zukunftsmusik mehr. 2025 sind Support, Sync und Produktreife an einem Punkt, an dem sich ein Rollout für die meisten Business-Anwendungen lohnt. Der technische Aufwand ist überschaubar, die Security-Gewinne real, und die User-Experience ist in vielen Fällen sogar besser als das alte Passwort-Modell.

Unsere pragmatische Empfehlung für KMU: Fang bei den Admin-Accounts an. WordPress-Admin, Shop-Backend, Cloud-Services, Code-Repositories — dort, wo ein erfolgreicher Phishing-Angriff maximalen Schaden anrichten würde. Danach geht es in die Breite: Optionale Passkey-Unterstützung für Kundenkonten, begleitet von klarer Kommunikation und einem sauberen Recovery-Prozess.

Wenn Du Passkeys in Deinem WordPress, Shopify-Store oder Custom-Login einführen willst und dabei Unterstützung brauchst — schreib uns über unser Kontaktformular oder schau Dir unsere Leistungen unter Webentwicklung an. Wir beraten ehrlich darüber, was sich für Deine Seite lohnt und was noch warten kann.

Beitrag teilen
Thorsten Heß — Gründer MOLOTOW Web Development

Über den Autor

Thorsten Heß

Gründer · MOLOTOW Web Development

Seit über 20 Jahren beschäftige ich mich mit dem Web — von der ersten handgeschriebenen HTML-Seite bis zu komplexen KI-gestützten Plattformen. Bei MOLOTOW Web Development in Lahr entwickeln wir für kleine wie für mittelständische Unternehmen Lösungen, die nicht nur gut aussehen, sondern auch nach Jahren noch wartbar sind. Seit 2024 ergänzen wir unser Portfolio um zertifizierte KI-Beratung nach dem EU AI Act. Wenn Du eine Idee, ein Problem oder nur eine kurze Frage hast — schreib uns.

Kontakt aufnehmen Alle Blog-Beiträge

Verwandte Beiträge

WordPress-Sicherheit 2025 — die 5 häufigsten Angriffsvektoren
Sicherheit

WordPress-Sicherheit 2025 — die 5 häufigsten Angriffsvektoren
WooCommerce 9 Sicherheits-Checkliste 2025 — was Shop-Betreiber jetzt tun müssen
Sicherheit

WooCommerce 9 Sicherheits-Checkliste 2025 — was Shop-Betreiber jetzt tun müssen
1m.al – Teile sensible Daten, aber nur einmal
Sicherheit

1m.al – Teile sensible Daten, aber nur einmal
Lieber direkt? +49 7821 509 4500 mail@molotow-web.com