Passkeys vs. 2FA: Was schützt Ihre Kryptowährung besser?
Ihr Passwort wird bei einem Datenleck geleakt, von dem Sie nichts erfahren. Wenige Wochen später versucht es jemand bei Ihrer Kryptobörse, und der einzige Schutz zwischen ihm und Ihrem Guthaben ist ein sechsstelliger Code, der Ihnen per SMS zugesendet wird. Dieser Code sollte die letzte Hürde sein. Jahrelang war er ausreichend. Die Debatte um Passwörter vs. Zwei-Faktor-Authentifizierung (2FA) dreht sich darum, ob dieser Schutz heute noch vertrauenswürdig ist. Die ehrliche Antwort ist besonders wichtig für alle, die Geld besitzen, das sich nur in eine Richtung bewegt. Dieser Leitfaden erklärt beide Methoden verständlich, vergleicht sie direkt und zeigt, warum der Angriff, der Konten leert, durch die herkömmliche Zwei-Faktor-Authentifizierung kaum verlangsamt wird.
Was ist Zwei-Faktor-Authentifizierung (2FA)?
Die Zwei-Faktor-Authentifizierung (2FA) ist eine zusätzliche Sicherheitsprüfung neben Ihrem Passwort. Das Prinzip ist so einfach, dass die meisten Menschen sie bereits intuitiv nutzen. Selbst wenn jemand den ersten Faktor kompromittiert, benötigt er den zweiten, um Zugriff zu erhalten. Sicherheitsexperten unterteilen diese Faktoren grob in drei Kategorien: Wissen (z. B. Passwort oder PIN), Besitz (z. B. Smartphone oder Hardware-Token) und Identität (z. B. Fingerabdruck oder Gesichtserkennung). Eine 2FA-Einrichtung kombiniert jeweils zwei dieser Faktoren.
Der Haken ist, dass nicht alle Zwei-Faktor-Authentifizierungsmethoden gleichwertig sind, und die Option „2FA aktivieren“ verschleiert dies. Ein SMS-Code ist die schwächste gängige Option, ein Code einer Authentifizierungs-App wie Google Authenticator – üblicherweise ein TOTP, das alle 30 Sekunden neu generiert wird – ist deutlich sicherer, und ein physischer Sicherheitsschlüssel bietet noch mehr Sicherheit. Microsoft gibt an, dass die Aktivierung der Multi-Faktor-Authentifizierung (MFA) etwa 99,9 % der automatisierten Kontoangriffe blockiert. Dies zeigt, dass die Basisversion gut gegen Massenangriffe mit geringem Aufwand funktioniert. Die zentrale Frage dieses Artikels ist jedoch, was passiert, wenn der Angreifer nicht mit geringem Aufwand vorgeht.
Hier ist die Rangfolge der gemeinsamen zweiten Faktoren.
| 2FA-Methode | So funktioniert es | Phishing-resistent? | Hauptschwäche |
|---|---|---|---|
| SMS-Code | Einmalcode per SMS an Ihre Nummer | NEIN | SIM-Tausch, SS7-Abfangen |
| Authentifizierungs-App (TOTP) | Rotieren von Code in einer App | NEIN | Echtzeit-Relay-Phishing |
| Zustimmung fordern | Tippe auf deinem Handy auf „Genehmigen“. | NEIN | MFA-Müdigkeit, prompte Bombardierung |
| Hardware-Sicherheitsschlüssel | Physischer Schlüssel zum Einstecken oder Antippen | Ja | Kosten können verloren gehen |
Der entscheidende Schritt liegt in der untersten Zeile. SMS-Codes, App-Codes und Push-Benachrichtigungen haben alle eine Schwäche gemeinsam: Sie lassen sich leicht dazu verleiten, sie auf der falschen Website einzugeben. Ein Hardware-Sicherheitsschlüssel hingegen ist absolut unempfindlich gegenüber Manipulationen. Genau auf dieser Eigenschaft basiert auch ein Passkey. Der eigentliche Unterschied liegt also nicht zwischen einem Passwort und einem zweiten Faktor, sondern zwischen anfälligen und fälschungsresistenten Faktoren.
Was ist ein Passkey und wie funktionieren Passkeys?
Ein Passkey ist kein besserer Code; er besteht aus einem Paar kryptografischer Schlüssel, und das Verständnis dieses Paares ist der entscheidende Punkt. Wenn Sie einen Passkey für eine Website oder App erstellen, generiert Ihr Gerät im Hintergrund zwei verknüpfte Werte: einen öffentlichen und einen privaten Schlüssel. Dabei werden die Standards FIDO2 und WebAuthn verwendet, die Apple, Google und Microsoft als Grundlage für die passwortlose Authentifizierung in ihre Systeme integriert haben.
Passkeys haben sich rasant verbreitet. Die FIDO Alliance berichtete, dass im Mai 2026 rund 5 Milliarden Passkeys aktiv genutzt wurden, wobei 75 % der Verbraucher mindestens einen Passkey für mindestens ein Konto aktiviert hatten. Es handelt sich also nicht mehr um eine Nischenfunktion.
Der Handshake zwischen öffentlichem und privatem Schlüssel
Die Trennung der beiden Schlüssel gewährleistet die Sicherheit Ihres Passworts. Stellen Sie sich den öffentlichen Schlüssel wie ein Vorhängeschloss vor, von dem die Website eine Kopie speichert, und den privaten Schlüssel als einzigen, der dieses Schloss öffnen kann – versiegelt in Ihrem Smartphone. Beim Einloggen sendet die Website Ihrem Gerät ein einmaliges Rätsel zum Signieren. Ihr Gerät signiert dieses Rätsel mit dem privaten Schlüssel, sendet die Lösung zurück, der Server gleicht sie mit dem bereits gespeicherten öffentlichen Schlüssel ab, und Sie haben Zugriff. Es werden niemals vertrauliche Daten über das Netzwerk übertragen, sodass jemand, der die Verbindung abhört, nichts stehlen und später wiedergeben kann.
Eine biometrische Authentifizierung oder Ihre Geräte-PIN entsperrt den privaten Schlüssel lokal, sodass er signieren kann. Auch der Fingerabdruck erreicht niemals den Server. Im Gegensatz dazu geben Sie bei jedem Login Ihr vollständiges Passwort ein und vertrauen darauf, dass es vom Server sicher aufbewahrt wird.
Wo Ihre Passkeys gespeichert werden: synchronisiert vs. gerätegebunden
Es gibt zwei Arten von Passwörtern. Synchronisierte Passwörter werden in einem Passwortmanager oder der plattformspezifischen Schlüsselbundverwaltung (z. B. von Apple, Google oder Tools wie 1Password oder Bitwarden) gespeichert und sind geräteübergreifend nutzbar. Gerätegebundene Passwörter, wie z. B. auf Hardware-Sicherheitsschlüsseln, bleiben immer auf dem jeweiligen Gerät gespeichert. Synchronisierte Passwörter sind praktischer und funktionieren auch bei Verlust eines Smartphones. Gerätegebundene Schlüssel bieten die höchste physische Sicherheit, da die kryptografischen Schlüssel an ein einzelnes, abschließbares Objekt gebunden sind.
Passkeys vs. 2FA: Die wichtigsten Unterschiede
Am einfachsten lässt sich der Unterschied so veranschaulichen: 2FA fügt dem Passwort einen zusätzlichen Schritt hinzu, während ein Passkey das Passwort komplett ersetzt. Sobald man das verstanden hat, ist der Rest klar. 2FA basiert weiterhin auf einem bekannten Geheimnis, das kompromittiert werden kann. Ein Passkey hingegen hat von vornherein kein gemeinsames Geheimnis, das kompromittiert werden könnte.
Diese eine Änderung wirkt sich auf alles andere aus, von der Phishing-Resistenz bis zur Anmeldegeschwindigkeit. Anbieter, die Passkeys einführen, berichten von deutlich schnelleren und erfolgreicheren Anmeldungen als mit einem Passwort und einem SMS-Code, da nichts eingegeben und nichts gewartet werden muss. Die folgende Tabelle veranschaulicht die wichtigsten Unterschiede.
| Worauf es ankommt | 2FA (Passwort + SMS/TOTP) | Passkey |
|---|---|---|
| Ersetzt das Passwort | Nein, es trägt dazu bei. | Ja |
| Phishing-resistent | Nein (Codes können weitergeleitet werden) | Ja (gebunden an die reale Domäne) |
| Ausgesetzt dem SIM-Karten-Tausch | Ja, per SMS | NEIN |
| Gemeinsames Geheimnis zum Stehlen | Ja | NEIN |
| Anmeldegeschwindigkeit | Langsamer (Code eingeben) | Schneller (tippen oder scannen) |
| Wiederherstellung bei Geräteverlust | Backup-Codes / SMS | Synchronisierungs- oder Sicherungsschlüssel |
Ist ein Passkey selbst eine Form der Zwei-Faktor-Authentifizierung (2FA) oder der Multi-Faktor-Authentifizierung (MFA)?
Hier liegt der Kniff, der viele verwirrt. Beim Entsperren eines Passkeys finden zwei Prüfungen gleichzeitig statt. Sie beweisen, dass Sie das Gerät mit dem privaten Schlüssel in Händen halten, und der Fingerabdruck- oder Gesichtsscan bestätigt, dass Sie das Gerät tatsächlich besitzen. Das sind zwei Faktoren mit nur einem Klick, wodurch ein Passkey von sich aus bereits eine Multifaktor-Authentifizierung ermöglicht. Fügt man die herkömmliche Zwei-Faktor-Authentifizierung (2FA) hinzu, entsteht lediglich eine zweite Abfrage, keine zusätzliche Hürde.
Aus diesem Grund nennt die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) nur FIDO2/WebAuthn- und PKI-Smartcards als wirklich phishingresistente Multi-Faktor-Authentifizierung. Ein Passkey ist nicht einfach nur ein schwächerer Ersatz für einen zweiten Faktor; er ist von Grund auf Multi-Faktor-Authentifizierung und vereint diese in einem einzigen Schritt.
Warum Phishing die Zwei-Faktor-Authentifizierung, aber nicht die Passwörter knackt
Phishing ist die Angriffsmethode, die diese ganze Debatte entscheidet. Laut dem Verizon-Bericht „Data Breach Investigations Report 2025“ waren gestohlene Zugangsdaten für 22 % der Datenschutzverletzungen verantwortlich, Phishing für weitere 16 %. Es handelt sich also nicht um seltene Exploits, sondern um die häufigste Einfallstor für Angreifer.
Stellen Sie sich die übliche Falle vor: Sie erhalten eine E-Mail, die Sie vor einer Kontosperrung warnt. Sie klicken auf eine Seite, die Ihrer Exchange-Seite täuschend ähnlich sieht, und geben pflichtbewusst Ihr Passwort und den sechsstelligen Code Ihrer Authentifizierungs-App ein. Auf der echten Seite wäre dieser Code ausreichend. Auf der Kopie des Angreifers wird er jedoch abgefangen und innerhalb von Sekunden gegen das echte Login verwendet. Der zweite Faktor, dem Sie vertraut haben, hat ihnen somit ungehinderten Zugriff ermöglicht. Genau diesen Punkt unterschätzen viele. Auch die Zwei-Faktor-Authentifizierung (2FA) verlangt von einem Menschen etwas preis, und Menschen lassen sich zu fast allem überreden. Ein Passkey hingegen gibt nichts preis. Der private Schlüssel kann weder eingetippt, vorgelesen noch in ein gefälschtes Formular eingefügt werden und funktioniert ausschließlich auf der Domain, auf der er erstellt wurde. Die gefälschte Seite hat also nichts zu sammeln und nichts zu reproduzieren.
SIM-Tausch und das SMS-Code-Problem
SMS ist die Schwachstelle der Zwei-Faktor-Authentifizierung. Bei einem SIM-Swap bringt ein Angreifer Ihren Mobilfunkanbieter dazu, Ihre Nummer auf sein Telefon zu übertragen. Jeder für Sie bestimmte Code landet dann auf seinem Bildschirm. Das Internet Crime Complaint Center des FBI verzeichnete in seinem Bericht von 2024 982 Anzeigen wegen SIM-Swaps mit einem Schaden von fast 26 Millionen US-Dollar – und das sind nur die Fälle, die tatsächlich gemeldet wurden. SMS-Nachrichten können aufgrund von Sicherheitslücken im veralteten SS7-Telekommunikationsprotokoll auch direkt abgefangen werden. Das führt zu der unangenehmen Erkenntnis, dass jeder Code, der über das Telefonnetz übertragen wird, von Dritten unbemerkt umgeleitet werden kann.
OTP-Phishing und MFA-Müdigkeit
Selbst Authentifizierungs-Apps sind nicht immun, da Angreifer Echtzeit-Relay-Server zwischen Ihnen und dem eigentlichen Login schalten, Ihr TOTP abfangen und es innerhalb des 30-Sekunden-Fensters erneut senden. Push-basierte Zwei-Faktor-Authentifizierung (2FA) hat eine eigene Schwachstelle, die als MFA-Müdigkeit bekannt ist: Ein Angreifer sendet so lange Bestätigungsaufforderungen, bis der Nutzer schließlich auf „Bestätigen“ tippt, nur um die ständigen Benachrichtigungen zu stoppen. Keiner dieser Tricks funktioniert bei einem Passwort, da es keinen Code gibt, der abgefangen werden könnte, und keine Aufforderung, die versehentlich bestätigt werden könnte.
Verwenden Sie Passkeys auf Kryptobörsen und Wallets.
Hier verliert der Vergleich zwischen Passkeys und 2FA seine theoretische Relevanz, und die meisten allgemeinen Ratgeber enden an dieser Stelle. Eine Bank kann eine betrügerische Abbuchung rückgängig machen. Eine Blockchain kann das nicht. Wenn ein Angreifer sich durch SIM-Swapping Zugang zu Ihrem Börsenkonto verschafft und Ihr Guthaben abhebt, ist diese Transaktion endgültig. Der FBI-Bericht zu Internetkriminalität aus dem Jahr 2025 bezifferte die Gesamtverluste auf 20,9 Milliarden US-Dollar, wovon rund 11,4 Milliarden US-Dollar auf Kryptobetrug zurückzuführen sind. Kontoübernahmen sind dabei ein fester Bestandteil.
Große Kryptobörsen wie Coinbase, Binance und Kraken bieten jetzt die Möglichkeit, den Login mit einem Passwort zu schützen. Durch Aktivieren dieser Funktion wird der SMS-Code, nach dem SIM-Swap-Betrüger suchen, entfernt und durch einen Schlüssel ersetzt, den Angreifer nicht aus dem Ausland abfangen können.
Eine Unterscheidung ist wichtig, da sie leicht missverstanden werden kann. Ein Passkey sichert den Zugang zu Ihrem Depotkonto bei einer Kryptobörse. Er ist nicht dasselbe wie der private Schlüssel oder die Seed-Phrase Ihrer eigenen Wallet und ersetzt diese auch nicht. Wenn Sie Ihre Coins selbst verwalten, ist die Seed-Phrase weiterhin der Hauptschlüssel zu Ihrem Guthaben; ein Passkey schützt den Zugang zur Kryptobörse, nicht Ihre eigene Wallet. Dieses Verständnis ist entscheidend für die Sicherheit Ihres Kontos und gegen ein trügerisches Sicherheitsgefühl.
Ein Passkey ergänzt die bereits vorhandenen Sicherheitsfunktionen Ihrer Börse optimal. Aktivieren Sie ihn für die Anmeldung und fügen Sie eine Liste zulässiger Auszahlungsadressen hinzu. So kann selbst eine gehackte Sitzung nicht ohne Wartezeit Gelder an eine unbekannte Wallet senden. Der Passkey verhindert den Einbruch; die Liste zulässiger Adressen begrenzt den Schaden, falls etwas anderes schiefgeht. In Kombination erhöhen Passkeys und 2FA-Kontrollen die Sicherheit deutlich stärker als jede der beiden allein. Ihr Konto ist dann nicht mehr von einem Code abhängig, der drahtlos an das Telefon eines Fremden weitergeleitet werden kann.
Wenn Sie weiterhin die traditionelle Zwei-Faktor-Authentifizierung benötigen
Passkeys sind noch nicht überall verfügbar, und die Entscheidung zwischen Passkeys und 2FA hängt oft davon ab, was der jeweilige Dienst unterstützt. Verzichten Sie also nicht gleich am ersten Tag auf Ihren zweiten Faktor. Die FIDO Alliance zählt über 15 Milliarden Konten, die bis 2025 passkeyfähig sein werden. Die Abdeckung bei kleineren Anbietern ist jedoch noch lückenhaft, und viele Ihrer bevorzugten Dienste bieten weiterhin nur ein Passwort und einen Code an. Behalten Sie in diesen Fällen Ihre 2FA bei und wählen Sie einfach die sicherere Variante, beispielsweise eine Authentifizierungs-App anstelle von SMS. Auch bei der Wiederherstellung zahlt sich die Passkey aus. Gehen Sie das Gerät mit dem gerätegebundenen Passkey verloren, benötigen Sie einen Backup-Faktor oder gespeicherte Wiederherstellungscodes, um wieder Zugriff zu erhalten. Die optimale Lösung kombiniert beides: Passkeys, wo immer möglich, App-basierte 2FA, wo dies nicht der Fall ist, und einen Wiederherstellungsplan, der im Hintergrund läuft.
Es fallen auch Übergangskosten an, die nicht unerwähnt bleiben sollten. Solange eine Website keine Passwörter unterstützt, ist man auf die stärkste verfügbare Option angewiesen, und bei vielen Diensten bedeutet das immer noch eine einfache Authentifizierungs-App. Betrachten Sie dies als Übergangslösung und nicht als endgültiges Ziel und überprüfen Sie Ihre wichtigen Konten alle paar Monate erneut, da die Unterstützung für Passwörter ständig erweitert wird und das Konto, das Sie im letzten Frühjahr noch nicht schützen konnten, diese Funktion möglicherweise jetzt bietet.
So wechseln Sie von 2FA zu Passkeys
Der Wechsel ist wie eine Leiter, kein einfacher Sprung – und die wichtigste Regel lautet: Löschen Sie niemals Ihren Wiederherstellungspfad mitten im Wechsel. Hier ist eine sinnvolle Reihenfolge:
1. Ersetzen Sie SMS durch eine Authentifizierungs-App auf allen Konten, die noch Codes verwenden. Allein dadurch wird das Risiko eines SIM-Swaps minimiert.
2. Fügen Sie einen Passkey hinzu, wo immer dies angeboten wird, normalerweise unter den Kontosicherheits- oder Anmeldeeinstellungen.
3. Speichern Sie den Passkey in einem synchronisierten Passwortmanager oder auf einem Hardware-Sicherheitsschlüssel, je nachdem, wie viel physische Sicherheit Sie wünschen.
4. Halten Sie eine alternative Authentifizierungsmethode bereit und speichern Sie Ihre Wiederherstellungscodes offline.
5. Entfernen Sie SMS erst dann als Faktor, wenn Sie sich mit dem Passkey problemlos anmelden können.
Beginnen Sie mit den Konten, die Geld oder Ihre persönlichen Daten enthalten: Ihr E-Mail-Konto (der Schlüssel zum Zurücksetzen von Passwörtern), Ihr Exchange-Konto und Ihr Passwort-Manager. Arbeiten Sie sich von dort aus weiter nach unten. Die gesamte Migration kann einen Nachmittag dauern, wobei die meiste Zeit mit Warten auf das Laden von Seiten verbracht wird.
Das Urteil: Passwörter, Zwei-Faktor-Authentifizierung oder beides?
Im Vergleich zwischen Passkeys und 2FA haben Passkeys bei Angriffen, die Konten tatsächlich leeren, die Oberhand. Phishing und SIM-Swapping umgehen SMS-Codes und oft auch App-Codes problemlos, stoßen aber bei Passkeys auf eine Mauer. Nutzen Sie Passkeys, wo immer sie angeboten werden, und verwenden Sie sie standardmäßig bei jeder Kryptobörse. Behalten Sie die App-basierte 2FA als Ausweichlösung für alle Konten, die noch nicht 2FA-fähig sind. Die eigentliche Frage ist nicht, welchem System man vertraut, sondern wie schnell man die wichtigsten Konten transferieren kann. Welches System wechseln Sie zuerst?
