Passwörter sind ein Relikt der Vergangenheit - sie werden gestohlen, vergessen und erraten. Passkeys lösen dieses Problem: Basierend auf biometrischer Authentifizierung (Fingerabdruck, Gesichtserkennung) bieten sie 98% Erfolgsquote (FIDO Alliance) bei Logins (Passwörter: nur 2%), sind immun gegen Phishing und machen den Login 17x schneller. Für Online-Shops bedeutet das: Weniger Kaufabbrüche, mehr Sicherheit, zufriedenere Kunden. Passkeys sind ein zentraler Baustein einer modernen Zero-Trust-Strategie.
Was sind Passkeys?
Passkeys sind eine moderne Authentifizierungsmethode, die Passwörter durch kryptografische Schlüsselpaare ersetzt. Statt sich ein Passwort zu merken, nutzen Kunden ihren Fingerabdruck, Gesichtserkennung oder eine PIN auf ihrem Gerät.
Die Technologie basiert auf den offenen Standards FIDO2 und WebAuthn, entwickelt von der FIDO Alliance und dem W3C. Unterstützt von Apple, Google und Microsoft sind Passkeys auf praktisch allen modernen Geräten verfügbar.
Phishing-immun
Passkeys funktionieren nur auf der echten Website. Fake-Seiten können sie nicht abfangen.
Blitzschnell
Login in unter 2 Sekunden per Fingerabdruck oder Gesichtserkennung.
Keine Passwörter
Nichts zu merken, nichts zu vergessen, nichts zu stehlen.
Wie funktionieren Passkeys technisch?
Passkeys nutzen asymmetrische Kryptografie - das gleiche Prinzip wie bei HTTPS-Verschlüsselung:
- Registrierung: Das Gerät erstellt ein Schlüsselpaar - einen privaten und einen öffentlichen Schlüssel
- Speicherung: Der private Schlüssel bleibt sicher auf dem Gerät (im Secure Element), der öffentliche Schlüssel geht an den Shop
- Login: Der Shop sendet eine Challenge, das Gerät signiert sie mit dem privaten Schlüssel
- Verifizierung: Der Shop prüft die Signatur mit dem öffentlichen Schlüssel
Anders als bei Passwörtern wird bei Passkeys niemals ein Geheimnis übertragen. Selbst wenn Angreifer die Kommunikation abfangen, können sie sich nicht einloggen.
Vorteile für Online-Shops
Die Umstellung auf Passkeys bringt messbare Vorteile für E-Commerce-Betreiber:
| Metrik | Passwort-Login | Passkey-Login |
|---|---|---|
| Erfolgsquote | ~2% | 98% |
| Login-Zeit | ~30 Sekunden | ~2 Sekunden |
| Phishing-Anfälligkeit | Hoch | Keine |
| Passwort-Reset-Anfragen | 15-25% der Nutzer | 0% |
| Account-Übernahmen | Regelmäßig | Praktisch unmöglich |
Plattformen wie TikTok berichten von 17x schnelleren Logins nach der Passkey-Einführung. Weniger Reibung bedeutet weniger Kaufabbrüche.
Sicherheit: Warum Passkeys Phishing verhindern
Passkeys sind von Grund auf phishing-resistent. Das liegt an einem cleveren Mechanismus:
Jeder Passkey ist an eine spezifische Domain gebunden (z.B. ihr-shop.de). Selbst wenn ein Nutzer auf eine Fake-Seite (z.B. ihr-sh0p.de) gelockt wird, funktioniert der Passkey dort nicht. Die Browser-API prüft automatisch, ob die Domain übereinstimmt.
Studien zeigen: Plattformen, die Passkeys nutzen, reduzieren Betrug um 93% (FIS-Studie zu Finanz- und E-Commerce-Plattformen).
Implementierung in Online-Shops
Die Integration von Passkeys in Ihren Online-Shop ist heute deutlich einfacher als noch vor wenigen Jahren. Was früher ein halbes Jahr dauerte, ist jetzt in 2-3 Sprints umsetzbar.
Optionen für Shop-Systeme
- Shopware: Passkey-Plugins verfügbar, alternativ Custom-Integration über die WebAuthn-API
- WooCommerce: WordPress-Plugins wie MojoAuth bieten No-Code-Integration
- Individuelle Shops: Direkte WebAuthn-API-Integration mit JavaScript und PHP/Node.js Backend
Grundlegende Implementierungsschritte
- WebAuthn-API integrieren: JavaScript-Code für die Browser-Kommunikation
- Backend anpassen: Öffentliche Schlüssel speichern und Challenges generieren
- UI gestalten: Passkey-Option prominent im Login-Bereich platzieren
- Fallback behalten: Passwort-Login als Alternative für ältere Geräte
- Testen: Kompatibilität auf verschiedenen Geräten und Browsern prüfen
// Passkey-Registrierung (vereinfachtes Beispiel)
async function registerPasskey() {
const options = await fetch('/api/passkey/register-options');
const credential = await navigator.credentials.create({
publicKey: await options.json()
});
await fetch('/api/passkey/register', {
method: 'POST',
body: JSON.stringify(credential)
});
}Hybrid-Ansatz: Passkeys und Passwörter parallel
Eine vollständige Umstellung auf Passkeys ist nicht sofort nötig. Der empfohlene Ansatz für Online-Shops:
- Passkeys als Option anbieten - Nutzer können freiwillig umstellen
- Passwort-Login beibehalten - Für ältere Geräte und zögerliche Nutzer
- Sanfte Migration fördern - Nach dem Login zur Passkey-Registrierung einladen
- OTP als Brücke - Optional Einmalpasswort vor Passkey-Registrierung
Beginnen Sie mit Passkeys als zusätzliche Option. Mit der Zeit werden immer mehr Nutzer umsteigen, und Sie können den Passwort-Login schrittweise zurückfahren.
Browser- und Geräte-Kompatibilität
Passkeys werden 2026 von praktisch allen relevanten Plattformen unterstützt:
| Plattform | Unterstützung | Sync |
|---|---|---|
| Apple (iOS 16+, macOS Ventura+) | Vollständig | iCloud Keychain |
| Google (Android 9+, Chrome) | Vollständig | Google Password Manager |
| Microsoft (Windows 10/11) | Vollständig | Microsoft Account |
| Firefox | Vollständig | Lokaler Speicher |
| Samsung | Vollständig | Samsung Pass |
Passkeys können zwischen Geräten synchronisiert werden (z.B. iPhone → iPad → Mac). Das bedeutet: Ein einmal registrierter Passkey funktioniert auf allen Geräten des Nutzers.
2026: Das Jahr der Passkey-Adoption
Mit der breiten Unterstützung durch Apple, Google und Microsoft erreicht die Passkey-Adoption 2026 einen Wendepunkt. Branchenexperten erwarten, dass Passkeys im Mainstream ankommen werden.
Für Online-Shops bedeutet das: Jetzt implementieren heißt Wettbewerbsvorteile sichern. Wer seinen Kunden den komfortabelsten und sichersten Login bietet, gewinnt.
Passkeys werden in der Cloud synchronisiert (iCloud, Google, Microsoft). Bei Geräteverlust können Sie sich auf einem neuen Gerät mit Ihrem Cloud-Account anmelden und haben wieder Zugriff auf alle Passkeys.
Passkeys selbst funktionieren offline - die kryptografische Signatur erfolgt lokal auf dem Gerät. Nur die Kommunikation mit dem Shop-Server benötigt eine Internetverbindung.
Passkeys sind nach aktuellem Stand praktisch nicht hackbar. Der private Schlüssel verlässt nie das Gerät, kann nicht per Phishing gestohlen werden, und selbst bei einem Datenleck beim Shop sind nur öffentliche Schlüssel betroffen - damit kann niemand sich einloggen.
Mit modernen IAM-Lösungen und Plugins ist eine Basis-Integration in 2-3 Sprints möglich. Für individuelle Shops mit Custom-Integration rechnen Sie mit 4-8 Wochen.
Nein, Passkeys funktionieren auch auf Desktop-Computern mit Windows Hello (Fingerabdruck, Gesichtserkennung, PIN) oder über Security Keys (USB-Sticks wie YubiKey).
Die Zukunft des Logins beginnt jetzt
Passkeys sind keine Zukunftsmusik mehr - sie sind heute verfügbar und von allen großen Plattformen unterstützt. Shops, die jetzt umstellen, profitieren von weniger Kaufabbrüchen, zufriedeneren Kunden und einem Sicherheitsniveau, das Passwörter nie erreichen konnten.
Dieser Artikel basiert auf Daten der FIDO Alliance, WebAuthn-Spezifikation des W3C und Praxisberichten von TikTok, Shopify und FIS. Stand: Januar 2026.
Passkeys für Ihren Shop
Wir implementieren passwortlose Authentifizierung in Ihrem Online-Shop - für höhere Login-Raten und maximale Sicherheit.
Beratung anfragen