Alle Kategorien
Update wöchentlich DE | EUR ▾
use_case · Sicherheits-Tech

Passkey fuer Google und Microsoft mit Hardware-Key 2026

Von Lukas Bergmann · Veröffentlicht

Was ist ein Passkey und warum auf Hardware?

Ein Passkey ist ein FIDO2/WebAuthn-Credential — technisch ein asymmetrisches Schluesselpaar. Der private Schluessel bleibt im Geraet (Smartphone, Mac, USB-Stick), der oeffentliche wandert zum Anbieter. Beim Login signiert der private Schluessel eine Challenge, der Anbieter prueft mit dem oeffentlichen — fertig, ohne Passwort. Phishing scheitert, weil der Stick nur fuer die exakt aufgerufene Domain signiert.

Cloud-Passkey vs. Hardware-Passkey. Apple, Google und Microsoft bieten Passkeys auch geraeteuebergreifend an: iCloud Keychain synchronisiert Passkeys zwischen iPhone, iPad und Mac. Bequem, aber: Die Schluessel liegen verschluesselt in der Cloud. Ein Hardware-Key hingegen speichert den Schluessel ausschliesslich im Stick — er kann nicht extrahiert werden, weder per Cloud-Backup noch per Geraete-Diebstahl.

Empfohlene Hardware-Keys fuer Passkey

YubiKey 5C NFC — Allround-Empfehlung

USB-C plus NFC, 100 resident credentials Speicher, FIDO2-Standard, Apple-zertifiziert. Funktioniert mit Google, Microsoft, Apple, 1Password, GitHub, Facebook, Amazon, eBay, PayPal — kurz: jeder Dienst, der FIDO2/WebAuthn unterstuetzt. Per NFC am iPhone, per USB-C am Mac und Android.

Token2 T2F2-PIN — Budget-Backup

50 Passkey-Slots, FIDO-Alliance-zertifiziert, USB-A plus NFC. Fuer den klassischen „Backup im Tresor”-Stick optimal: ca. 20 Euro, voller FIDO2-Funktionsumfang.

Passkey bei Google einrichten

  1. Stick einstecken und in Chrome oder Safari einloggen mit deinem Google-Konto (mit Passwort, falls noch noetig).
  2. Gehe zu myaccount.google.com → Sicherheit → 2-Schritt-Verifizierung.
  3. Scroll zu „Sicherheitsschluessel” und klicke „Sicherheitsschluessel hinzufuegen”.
  4. Folge dem Prompt: Stick einstecken oder per NFC ans iPhone halten, PIN setzen (falls erstmaliger Use), Touch-Sensor beruehren.
  5. Stick einen Namen geben („YubiKey 5C Schluesselbund”), speichern.
  6. Zweiter Stick. Wiederhole Schritt 3-5 mit dem Backup-Stick (Token2 T2F2-PIN). Pflicht — Google empfiehlt mindestens zwei Schluessel.
  7. Passkey aktivieren. Unter „Passkey und Sicherheitsschluessel” in den Sicherheitseinstellungen aktivierst du Passkey-Login. Beim naechsten Login wird Google den Stick automatisch akzeptieren — Passwort wird optional.

Hinweis: Bei Google heisst es offiziell „Sicherheitsschluessel” fuer den Hardware-FIDO2-Stick und „Passkey” fuer den Cloud-/Geraete-Passkey. Fuer den Hardware-Stick willst du den ersten Eintrag.

Passkey bei Microsoft einrichten

  1. Gehe zu account.microsoft.com → Sicherheit → Erweiterte Sicherheitsoptionen.
  2. Unter „Methoden zur Anmeldung oder Verifizierung” waehle „Sicherheitsschluessel hinzufuegen”.
  3. Waehle USB-Geraet oder NFC (je nach Stick).
  4. Folge dem Prompt: PIN setzen, Stick beruehren.
  5. Name vergeben, speichern. Zweiter Stick: Schritt 2-5 wiederholen.
  6. Passwortlose Anmeldung aktivieren (optional): Im selben Menue „Passwortloses Konto aktivieren”. Damit wird der Stick zum primaeren Login-Faktor — Passwort wird komplett deaktiviert.

Hinweis: Microsoft 365 Business und Enterprise unterstuetzen FIDO2 ebenfalls, aber dort musst du als Admin in Microsoft Entra ID das Feature freischalten (Authentication Methods Policy).

Passkey bei Apple einrichten

Apple-Konten funktionieren etwas anders. Apple ID akzeptiert seit iOS 16.3 / macOS Ventura 13.2 Hardware-Keys nur als 2FA-Faktor — nicht als reinen passwortlosen Login. Trotzdem sinnvoll, weil der Hardware-Key SMS und 6-stelligen Code ersetzt.

  1. iPhone: Einstellungen → Apple-ID → Anmeldung und Sicherheit → Sicherheitsschluessel hinzufuegen.
  2. Mac: Systemeinstellungen → Apple-ID → Passwort und Sicherheit → Sicherheitsschluessel hinzufuegen.
  3. Mindestens zwei Sticks noetig — Apple erzwingt das, weil bei Stick-Verlust sonst der Account gesperrt waere.
  4. Pro Stick: Einstecken oder NFC-Tap, PIN setzen, Touch.

Wichtig: Apple akzeptiert Sicherheitsschluessel nur fuer Apple-ID-Logins, nicht fuer iCloud-Keychain-Entsperrung.

Passkey bei 1Password einrichten

1Password unterstuetzt Hardware-Keys als 2FA fuer den 1Password-Account selbst. Bei den im 1Password gespeicherten Passwoertern bleibt das normale 1Password-Master-Password aktiv.

  1. 1password.com → Mein Profil → Mehr Optionen → Zwei-Faktor-Authentifizierung.
  2. „Sicherheitsschluessel” klicken, Stick einstecken oder NFC-Tap.
  3. PIN setzen (falls erstmaliger Use), Touch.
  4. Wiederhole fuer Backup-Stick.

Was passiert, wenn ich den Stick verliere?

Hier zeigt sich der Wert der Backup-Strategie. Drei Faelle:

Fall 1: Du hast zwei Sticks registriert (Standard-Praxis). Du nimmst den Backup-Stick aus dem Tresor, loggst dich damit ein, gehst in die Sicherheitseinstellungen, loeschst den verlorenen Stick aus der Liste und registrierst ggf. einen neu gekauften Ersatz.

Fall 2: Du hast nur einen Stick. Bei Google: Account-Wiederherstellung per Backup-Codes (die du beim Setup heruntergeladen hast — hast du sie?), per altem Geraet oder per Telefonnummer. Kann mehrere Tage dauern. Bei Microsoft: aehnlich. Bei Apple: ohne zweiten Stick gibt Apple dir keinen Sticks-only-Modus.

Fall 3: Du hast Backup-Codes. Backup-Codes (8-stellige Einmalcodes) sind die ultimative Reserve. Beim Sicherheitsschluessel-Setup bietet jeder Anbieter sie an — herunterladen, ausdrucken, im Tresor verstauen. Sie reichen fuer einmalige Recovery-Logins.

+ Pro

  • Phishing-resistent -- Stick signiert nur fuer die exakte Domain
  • Privater Schluessel verlaesst nie den Stick (anders als Cloud-Passkey)
  • Funktioniert ohne Internet (offline-Authentifizierung moeglich)
  • Ein Stick fuer Dutzende Konten
  • Kein Smartphone als 2FA-Geraet noetig

Contra

  • × Stick-Verlust ohne Backup -- Account-Recovery dauert Tage
  • × Pro Konto Setup-Aufwand 2-3 Minuten
  • × Anschaffungskosten 40-95 Euro pro Stick
  • × PIN-Aktivierung macht Stick weniger spontan nutzbar

FAQ

Häufige Fragen

01 Brauche ich PIN auf dem Stick?
Bei FIDO2 mit resident credentials (Passkeys) ist eine PIN Pflicht — sie ersetzt das Passwort und macht den gestohlenen Stick wertlos. Die PIN wird beim ersten Setup gesetzt. 6 Stellen sind Standard, manche Sticks erlauben bis 8. Drei Fehlversuche -> Stick wird temporaer gesperrt, acht Fehlversuche -> Reset noetig (alle Passkeys werden geloescht).
02 Kann ich denselben Hardware-Key fuer Google und Microsoft nutzen?
Ja. Du registrierst den Stick bei Google, dann bei Microsoft, dann bei Apple, dann bei 1Password — beliebig oft, mit derselben PIN. Der Stick speichert pro Dienst eine eigene resident credential und unterscheidet sie automatisch. Beim YubiKey 5C NFC passen 100 solche Eintraege drauf.
03 Funktioniert der Stick auch mit dem iPhone?
Ja, sofern der Stick NFC hat. Bei YubiKey 5C NFC, Nitrokey 3A NFC und Token2 T2F2-PIN haeltst du den Stick einfach an die obere Rueckseite des iPhones (NFC-Antenne). Ab iOS 13.3 unterstuetzt Safari FIDO2 ueber NFC; ab iOS 16 auch fuer Apple ID. Beim iPhone 15+ kannst du USB-C-Sticks alternativ direkt einstecken.
04 Was ist der Unterschied zwischen Passkey und FIDO2-2FA?
FIDO2-2FA ist Passwort plus Stick — du loggst dich mit Username + Passwort ein und beruehrst dann den Stick. Passkey ist nur Stick — du gibst nur den Username ein (oder klickst „Mit Passkey anmelden"), beruehrst den Stick, gibst die PIN — fertig, kein Passwort. Technisch nutzt Passkey resident credentials, FIDO2-2FA nur non-resident credentials.
05 Wie viele Hardware-Keys soll ich pro Konto registrieren?
Zwei sind Pflicht. Einer fuer den Alltag (Schluesselbund), einer als Backup im Tresor oder Bankschliessfach. Bei Apple zwingt das System dich zu zwei Sticks. Bei Google/Microsoft empfohlen, aber nicht erzwungen — du solltest dich aber selbst dazu zwingen. Eleganter Mix: 1 YubiKey 5C NFC fuer 75 Euro plus 1 Token2 T2F2-PIN fuer 20 Euro als Backup.

Verwandte Themen