Passkey einrichten: Anleitung 2026 – Schluss mit Passwörtern

Wer einen Passkey einrichten will, ersetzt das Passwort durch ein Verfahren mit Hardware – und nimmt damit Phishing, Infostealer-Malware und Credential-Stuffing die Grundlage. Wer Marktplatz-Backends, Banking, Buchhaltung und Cloud-Tools nur mit Passwort plus SMS-TAN absichert, arbeitet auf einem Niveau, das Angreifer 2026 routiniert aushebeln. Dieser Beitrag erklärt, was ein Passkey technisch ist, und führt Schritt für Schritt durch die Einrichtung auf den vier wichtigsten Plattformen.

Das Passwort ist tot – nur weiß es noch nicht jeder Händler

Die klassische Multi-Faktor-Anmeldung (MFA) galt lange als Mindeststandard. Aber sie funktioniert zuletzt nicht mehr zuverlässig. Denn Angreifer umgehen Einmal-Codes (TOTP) und Push-Bestätigungen heute mit Tricks wie MFA-Fatigue – also dem Dauerfeuer von Push-Anfragen, bis ein genervter Mitarbeiter zustimmt. Auch Session-Hijacking ist verbreitet: Dabei schnappen sich Angreifer Browser-Cookies und übernehmen so eine bereits laufende Anmeldung.

Zudem erreichen Brute-Force-Angriffe und der Diebstahl von Zugangsdaten durch Infostealer-Malware Rekordwerte. Wenn ein Händler einmal die Daten zum Amazon-Seller-Account, zum eBay-Backend oder zum Zahlungsdienstleister verliert, kennt er die Folgen: gesperrte Accounts, eingefrorene Auszahlungen, und im schlimmsten Fall ein komplett gekaperter Marktplatz-Account. Also ist das Passwort der wunde Punkt.

Warum ein Passkey nicht zu klauen ist – die Technik dahinter

Ein Passkey ist kein Passwort, sondern ein Schlüsselpaar nach den Standards FIDO2 und WebAuthn. Beim Einrichten erzeugt das Gerät zwei Schlüssel: einen privaten und einen öffentlichen. Den privaten Schlüssel gibt das Gerät nie heraus. Er liegt in einer Hardware-Zone – auf Windows-Geräten im TPM-Chip (Trusted Platform Module), auf iPhones in der Secure Enclave, und auf Android-Geräten im Titan- oder StrongBox-Chip. Der Server kennt nur den öffentlichen Schlüssel.

Bei der Anmeldung schickt der Server eine Zufallsfrage (Challenge), und das Gerät signiert sie mit dem privaten Schlüssel. Dann prüft der Server die Signatur mit dem öffentlichen Schlüssel. Du gibst nichts ein. Es gibt also keinen Code, den ein Angreifer abfangen, kein Passwort, das er erraten und keine Push-Bestätigung, die er erschleichen könnte. Außerdem läuft die Anmeldung nur über die echte Domain. Wenn eine Phishing-Seite mit falscher URL fragt, gibt der Browser schlicht keine gültige Signatur heraus.

Synchron oder fest am Gerät – die Frage nach dem Speicher

Vor der Einrichtung steht eine Frage: Wo liegt der Passkey? Es gibt zwei Modelle. Synchrone Passkeys liegen in einer Cloud – also Apple iCloud Keychain, Google Password Manager, Microsoft Konto, 1Password oder Bitwarden. Sie wandern dann auf alle Geräte mit dem gleichen Account. Wenn ein Gerät verloren geht, nutzt du den Passkey einfach auf dem nächsten weiter.

Geräte-Passkeys verlassen das Gerät dagegen nie. Sie sitzen also nur auf dem TPM des Laptops oder auf einem Hardware-Token wie einem YubiKey. Das ist sicherer, aber du brauchst dann auch einen guten Recovery-Plan. Sophos rät zu mindestens zwei Hardware-Token pro wichtigem Konto – einer im Einsatz, einer im Tresor. Wenn der erste Token verloren geht, übernimmt der zweite, bis ein Ersatz da ist.

Für Onlinehändler ist die pragmatische Antwort meist eine Mischung: also synchrone Passkeys für alltägliche Accounts (Marktplätze, Mailprovider, SaaS-Tools) und Geräte-Passkeys oder YubiKeys für die Königsklasse – also Banking, Buchhaltung, Domain-Provider und Server-Zugänge.

Schritt 1: Voraussetzungen prüfen, bevor es losgeht

Passkeys funktionieren nur, wenn Betriebssystem und Browser sie auch beherrschen. Diese Mindestversionen 2026 brauchst du:

• Windows: Windows 10 ab Version 22H2 oder Windows 11. Außerdem muss der Geräte-PIN von Windows Hello aktiv sein.
• macOS: macOS Ventura (13) oder neuer. Auch iCloud Keychain muss laufen, sonst klappt die Synchronisation nicht.
• iPhone/iPad: iOS 16 oder neuer. Außerdem braucht es den iCloud Schlüsselbund.
• Android: Android 9 oder neuer. Zudem Google Password Manager als Standard.
• Browser: Aktuelle Versionen von Chrome, Edge, Safari oder Firefox – aber kein Internet Explorer und kein Legacy-Edge.

Wenn du einen YubiKey nutzen willst, brauchst du außerdem ein Gerät mit USB-A, USB-C oder NFC – je nach Modell. Die YubiKey-Serie 5 deckt FIDO2 also komplett ab.

Schritt 2: Passkey für Google-Konto einrichten

Das Google-Konto ist für die meisten Händler der Dreh- und Angelpunkt: also Google Workspace, YouTube, Search Console, Google Ads und Analytics. Die Einrichtung dauert nur zwei Minuten.

1. Öffne im Browser die Adresse g.co/passkeys und melde dich mit dem Google-Konto an.
2. Klicke dann auf „Passkey erstellen“.
3. Das Betriebssystem fragt nach einer Bestätigung: bei Windows die PIN oder Windows Hello, bei macOS Touch ID, bei iPhone Face ID, und bei Android Fingerabdruck oder Geräte-PIN.
4. Bestätige also die Anmeldung. Google legt den Passkey im Geräte-Schlüsselbund ab und synchronisiert ihn dann über die Cloud.
5. Lege auch einen zweiten Passkey auf einem anderen Gerät oder einem YubiKey an. Das ist deine Reserve, wenn du dein Hauptgerät verlierst.

Ab der nächsten Anmeldung schlägt Google den Passkey dann automatisch vor. Das Passwort bleibt zwar zunächst aktiv, aber du kannst es in den Sicherheitseinstellungen löschen, sobald mindestens zwei Passkeys da sind.

Schritt 3: Passkey für Microsoft-Konto einrichten

Microsoft 365, Outlook, OneDrive und Azure hängen am Microsoft-Konto. Auch der Login zu Drittsystemen über Microsoft Entra ID läuft für viele Händler darüber.

1. Melde dich unter account.microsoft.com an.
2. Öffne dann den Reiter „Sicherheit“ und danach „Erweiterte Sicherheitsoptionen“.
3. Klicke im Bereich „Anmeldemethoden“ auf „Anmeldemethode hinzufügen“ und wähle „Gesicht, Fingerabdruck, PIN oder Sicherheitsschlüssel“.
4. Folge dann den Anweisungen. Microsoft erkennt also automatisch, ob du den eingebauten Authentifikator (Windows Hello, Touch ID) oder einen externen Schlüssel (YubiKey) nutzt.
5. Gib dem Passkey einen Namen, also etwa „MacBook Büro“ oder „YubiKey 5C“.
6. Aktiviere zudem unter „Kennwortlose Konto“-Einstellungen die Option, das Konto ganz ohne Passwort zu nutzen.

Schritt 4: Passkey für Apple ID einrichten

Wenn du mit Mac, iPhone oder iPad arbeitest, nutzt du den Passkey-Mechanismus für die Apple ID schon längst – also über Touch ID und Face ID. Aber für Drittdienste wie Amazon, eBay oder PayPal musst du den Passkey extra anlegen:

1. Öffne auf dem iPhone „Einstellungen“ → „Passwörter“ und prüfe, ob „Passwörter und Schlüsselbund synchronisieren“ aktiv ist.
2. Wähle dann beim Dienst (zum Beispiel amazon.de) im Sicherheitsbereich die Option „Passkey hinzufügen“.
3. Apple öffnet dann automatisch den Schlüsselbund-Dialog. Bestätige also mit Face ID oder Touch ID.
4. Der Passkey ist sofort auf allen Geräten mit derselben Apple ID nutzbar.

Schritt 5: Passkey für Amazon-Seller-Account einrichten

Amazon erlaubt Passkeys auch im Seller Central. Die Einrichtung läuft über das Amazon-Hauptkonto, an dem der Händleraccount hängt.

1. Melde dich im Seller Central an, klicke dann oben rechts auf den Account-Namen und wähle „Mein Konto“ → „Anmelden und Sicherheit“.
2. Klicke bei „Passkey“ auf „Konfigurieren“.
3. Folge dann den Anweisungen des Browsers. Es kommt also die Bestätigungsabfrage des Betriebssystems.
4. Amazon speichert den Passkey unter dem Gerätenamen. Lege auch hier einen zweiten Passkey auf einem zweiten Gerät an – sonst sperrst du dich beim Geräteverlust selbst aus.
5. Wichtig: Die Zwei-Faktor-Anmeldung von Amazon bleibt auch weiter aktiv. Das ist Pflicht für Verkäuferkonten.

Schritt 6: YubiKey als Hardware-Backup hinzufügen

Für sehr wichtige Konten – also Domain-Provider, Hosting, Banking und Buchhaltung – ist ein YubiKey ($$) das beste Backup. Die Einrichtung läuft bei jedem Dienst nach dem gleichen Schema:

1. Stecke den YubiKey in den USB-Port (oder halte ihn per NFC ans Smartphone).
2. Wähle im Sicherheitsbereich des Dienstes „Sicherheitsschlüssel hinzufügen“ oder „Passkey hinzufügen“.
3. Der Browser fragt dann nach dem Token. Tippe also den goldenen Kontakt am YubiKey an, sobald er blinkt.
4. Beim ersten Mal legst du eine PIN fest. Diese PIN ist nicht das Passwort des Dienstes, sondern schützt nur den YubiKey selbst gegen Diebstahl. Acht Ziffern reichen, und sie wandert nirgendwo in eine Cloud.
5. Wiederhole den Vorgang dann mit dem zweiten YubiKey. Lagere den Backup-Token getrennt vom Hauptgerät.

Wenn das Smartphone weg ist – der Recovery-Plan

Der häufigste Einwand gegen Passkeys: Was passiert, wenn das Gerät weg ist? Bei synchronen Passkeys ist die Antwort einfach – der Passkey liegt weiter in der Cloud und wandert dann auf das neue Gerät, sobald du dich mit der Apple ID, dem Google-Konto oder dem Microsoft-Konto anmeldest.

Bei Geräte-Passkeys greift dann der Recovery-Plan. Erstens mindestens zwei aktive Passkeys pro Konto auf verschiedenen Geräten oder Token, zweitens Recovery-Codes im Tresor oder im Passwortmanager, und drittens für Firmen einen festen Helpdesk-Prozess. Dabei gibt das IT-Team zeitlich begrenzte „Access Pässe“ aus, bis der Mitarbeiter neue Schlüssel hinterlegt hat.

Was Onlinehändler 2026 jetzt umsetzen sollten

Ein bisschen Aufwand für Passkeys steht in keinem Verhältnis zu den Kosten eines erfolgreichen Account-Diebstahls bei einem Marktplatz. Auch Ransomware über geklaute Zugangsdaten wird damit deutlich unwahrscheinlicher. Für Onlinehändler ergibt sich also eine klare Reihenfolge.

Sichere zuerst das Hauptkonto deines Geschäfts ab – also Google, Microsoft oder Apple, je nachdem was du nutzt. Dann folgen die Marktplatz-Logins: also Amazon, eBay, Otto, Kaufland und Etsy. Danach kommen Banking, Zahlungsdienstleister und Buchhaltung mit Geräte-Passkeys oder YubiKeys dran. Und zuletzt der Domain-Provider und das Hosting – denn wenn du den Domain-Login verlierst, ist auch die Webseite weg. Wenn du alle vier Ebenen abgesichert hast, ist das Passwort als Angriffsweg fast komplett raus. Übrig bleiben dann nur noch Social Engineering und der Mensch selbst – aber das ist eine andere Baustelle.