Passkeys verwalten

Hallo,

Ich habe keine Möglichkeit gefunden, Passkeys in der congstar-App oder über die Webseite zu verwalten.

Da ich mehrere Password-Manager nutze, möchte ich auch 2 Passkeys erstellen (iCloud Keychain und 1Password).

Auf der Hilfeseite von congstar (https://www.congstar.de/hilfe-service/passkey-bei-congstar/) wird das ausdrücklich als Möglichkeit erwähnt:

Zitat

…du kannst auf jedem Gerät einen separaten Passkey einrichten, falls du deinen Passkey nicht Geräte-übergreifend teilen möchtest oder aufgrund unterschiedlicher Passwort-Manager nicht teilen kannst

Nach dem ersten Passkey wird jedoch keine Möglichkeit mehr angezeigt, einen weiteren zu speichern, trotz Tests mit verschiedenen Geräten (Mac, iPhone, iPad), Browsern (Safari, Chrome), oder über das erneute Einloggen mit Passwort und SMS-Code über die congstar-App.

Auch ein Löschen des bereits hinterlegten Passkeys scheint nicht möglich zu sein. Ich habe mein Passwort mehrere Male geändert, jeweils mit einem Tag Abstand, sowohl über die Webseite als auch über die App. Der eine erstellte Passkey funktioniert weiterhin und wurde nicht gelöscht, entgegen der Info auf der zuvor verlinkten Seite von congstar.

Zitat

Falls du einen Passkey löschen möchtest, musst du dein Passwort zurücksetzen (über „Passwort vergessen“) oder ein neues Passwort in der congstar App vergeben. Sobald du ein neues Passwort einrichtest, werden alle Passkeys in deinem congstar Konto gelöscht.

Ich möchte den Passkey zwar nicht löschen, aber wenn das alles schon beim Testen nicht klappt, wie es in der Dokumentation beschrieben wird, ist das ein frustrierendes Erlebnis, ähnlich wie der undurchdachte 2FA-Zwang, bei dem man mindestens Recovery-Codes hätte anbieten müssen, wenn man schon SMS statt TOTP wählt.

Kurz:

- Wie hinterlege ich einen zweiten Passkey?

- Wie löscht man wirklich Passkeys, falls man das machen möchte? (Die Methode mit der Änderung des Passwortes funktioniert nicht.)

Danke

Hallo Torc,

es geht hier nur um das Löschen/Verwalten von Passkeys bei congstar selbst.

Das Löschen im Passwort-Manager hat keinen Einfluss auf den Passkey, der bei congstar hinterlegt ist.

Hier ist noch ein Screenshot von der Hilfeseite. Beide Dinge funktionieren nicht (mehrere Passkeys anlegen und Löschen durch Passwortänderung).

Nein, Auch laut Apple nicht. Du verstehst das falsch. Wenn man einen Dateneintrag aus einem Passwort-Manager löscht, ob Passkey, Passwort oder TOTP, hat das absolut keinen Einfluss auf die Daten, die bei einem entfernten Server hinterlegt sind. Lokale Löschung heißt nur, dass du selbst Zugriff auf diese Daten verlierst. Beim Server bleiben die Passkeys und Passwörter natürlich erhalten, egal, was du mit deinen lokalen Daten machst.

Hallo Tina, danke.

Nur zur Klarstellung meinerseits: Mein feedback richtet sich auf die Diskrepanz zwischen der Hilfeseite von congstar und dem fehlenden Resultat der Löschung von Passkeys nach der Änderung des Passwortes bei congstar selbst. Laut congstar soll die Änderung des Passwortes zum Verfall von Passkeys führen, was aber nicht passiert.

Und der zweite Punkt: Die Option, nach einer „normalen“ Anmeldung (mit Passwort und SMS-Code) einen Passkey zu erstellen, taucht einfach nicht mehr auf, nachdem man schon einen Passkey erfolgreich bei congstar gespeichert hat. Da es keine Verwaltungsmöglichkeit gibt, kann man dann auch nichts weiter machen, weder löschen noch einen weiteren hinzufügen.

Bei Google sieht die Option zur Verwaltung so aus:

Setup/Geräte:

macOS Sequoia 15.7.3

macOS Tahoe 26.2

iPhone Air, iOS 26.2 und 26.2.1

iPhone 16, iOS 18.7.2

congstar App Version: 6.3.0 und 6.4.0

Was ich nicht getestet habe, ist, mein congstar-Passwort zurückzusetzen. Ich habe es nur mehrmals geändert, aber nicht den Prozess über „Passwort vergessen“ gemacht. Das könnte ich dann auch noch testen.

Auf der congstar-Seite zu Passkeys steht allerdings, dass beides zur Löschung der Passkeys im congstar-Konto führen sollte.

https://www.congstar.de/hilfe-service/passkey-bei-congstar/

Hallo Tina,

Ich habe jetzt alles noch einmal getestest, das hat etwas länger gedauert.

Kurz: Auch ein Zurücksetzen des Passwortes über „Passwort vergessen“ führt nicht zur Löschung der im congstar-Konto gespeicherten Passkeys.

Ich habe außerdem noch weitere Probleme gefunden…

Option 1: Passwort zurücksetzen mit Rufnummer, Kundennummer und SMS-Code

Das Zurücksetzen hat geklappt.

Nach Vergabe eines neuen Passwortes konnte ich mich trotzdem noch mit dem Passkey einloggen, den ich am 08. Januar 2026 in iCloud Keychain erstellt habe. Es besteht also kein Unterschied zwischen der manuellen Änderung und dem Zurücksetzen des Passwortes über „Passwort vergessen“.

Einmal im congstar-Konto gespeicherte Passkeys verbleiben dauerhaft im congstar-Konto. Das ist natürlich ein Problem. Die Dokumentation ist inkorrekt.

Nach dem erneuten Einloggen mit (neuem) Passwort und SMS-Code, kam dann noch einmal die Frage, ob ein Passkey gespeichert werden soll. Das ist anders als nach den vorherigen Änderungen des Passwortes, bei denen diese Meldung nicht erschien. Möglicherweise wurde durch das Zurücksetzen ein anderer Login-Flow ausgelöst, der diese Meldung verursacht, obwohl der zuvor gespeicherte Passkey immer noch im congstar-Konto gültig ist. Ein Fehler im Fehler? Das Ganze sah so aus:

Option 2: Passwort zurücksetzen mit Kundennummer, Nachname und E-Mail

Diese Option wollte ich auch noch testen, sie funktioniert jedoch überhaupt nicht, da der Nachname nicht erkannt wird. Da die Kundennummer in Option 1 geklappt hat, gehe ich davon aus, dass der Fehler hier bei der Erkennung des Nachnamens liegt, da ich mehrmals manuell und über Kopieren und Einfügen der Kundennummer getestet habe (aus derselben Quelle (Passwort-Manager) wie in Option 1). Da es sich hundertprozentig um die korrekte Kundennummer und den korrekten Nachnamen handelt, kann ich diese Info nur so weitergeben. Fehlerquellen wie zusätzliche Leerzeichen wurden auch kontrolliert und ausgeschlossen.

Der Link zu dieser Seite ist https://www.congstar.de/login/passwort-vergessen-email/.

Hier noch ein Screenshot der Fehlermeldung.

Tina: Könnte bitte jemand meine im Profil hinterlegten Daten (Kundennummer, Nachname) als korrekt bestätigen? Diese funktionieren jedenfalls nicht mit Option 2.

Immerhin konnte ich nach Option 1 einen weiteren Passkey speichern. Der Login mit beiden Passkeys funktioniert ohne Probleme, sowohl über 1Password als auch iCloud Keychain. Screenshots:

Insgesamt wäre es viel sinnvoller, wenn es, ähnlich wie bei allen anderen Diensten, die die Nutzung von Passkeys anbieten, eine Option gäbe, diese zu verwalten (hinzufügen, löschen, umbenennen). Google, PayPal usw. machen das so. Die Nutzung bei congstar ist intransparent.

Das macht keinen Unterschied, Torc.

Die App (auch nur eine Webseite) kann nichts merken, weil der Passkey beim Zurücksetzen oder Ändern des Passwortes erst gar nicht aus dem congstar-Konto gelöscht wurde. Das ist der Fehler, der laut Dokumentation von congstar nicht passieren dürfte.

Und die Prämisse selbst ist fehlerhaft. Selbst wenn im Prozess des Zurücksetzens des Passwortes noch ein Passkey lokal im Passwort-Manager vorhanden ist, hat das keine Relevanz für die Löschung eines Passkeys auf einem Server von congstar. Du scheinst zu denken, dass es eine Art Synchronisation zwischen diesen unabhängigen Komponenten gibt, die einfach nicht existiert.

→ Eine lokale Löschung von Passkeys, Passwörtern oder jeglichen anderen Informationen, egal ob aus einem Passwort-Manager oder einem Notizblock, hat absolut keinen Einfluss auf die bei einer Seite hinterlegten Daten. Die Gültigkeit eines Passwortes oder Passkeys kann nicht über den lokalen Passwort-Manager an den entfernten Server synchronisiert werden. Du kannst Schlüssel (lokal) so viel ändern, wie du willst, das Schloss auf dem (entfernten) Server bei congstar bleibt jedoch gleich.

Ich habe es nochmal probiert, aber es macht wirklich keinen Sinn, weil eben keine Verbindung zwischen einem lokalen Passwortspeicherort und einem entfernten Server besteht.

Die Dokumentation von congstar ist hier auch eindeutig. Sie gibt sogar an, dass man nach der Löschung der Passkeys aus dem congstar-Konto im Anschluss auch noch lokal löschen muss. Eine Änderung des Passwortes hätte die Passkeys also schon vorher ungültig machen müssen.

Zitat von Torc

Passkeys werden primär auf dem Smartphone (oder Computer) im dortigen Passwortmanager (Apple-ID, Google-Konto oder Sicherheits-Chip) gespeichert und über die Cloud sicher synchronisiert. Sie liegen nicht beim App-Anbieter, sondern nutzen ein kryptografisches Paar aus privatem Schlüssel (auf dem Gerät) und öffentlichem Schlüssel (beim Dienst).

Das ist mir klar und praktisch, was ich oben geschrieben habe (Schlüssel und Schloss etc.), während du die ganze Zeit auf einem anderen Gleis fährst und denkst, man könnte mit einer Löschung des lokalen Passkeys die entfernte Komponente beeinflussen.

Man kann das iPhone auch in den See werfen, aber das ändert nichts am Schloss (dem öffentlichen Schlüssel auf dem Server bei congstar).

Aus diesem Grund haben alle Dienste normalerweise die Möglichkeit, Passkeys zu verwalten und zu löschen (serverseitig), was nichts mit deinem eigenen Gerät oder Passwortmanager zu tun hat, worauf du aber immer wieder zurückkommst.

Zitat von Torc

Aber egal, du solltest es ja nicht probieren. Ich warte auf den Versuch von harob

Wie ich im letzten Kommentar erwähnt habe, habe ich es noch einmal ausprobiert, und es klappt nicht, was ja auch Sinn macht, wenn man versteht, wie das funktioniert.

Falls meine Versuche dich nicht interessieren, würde ich mich freuen, wenn du ein neues Thema eröffnest, denn alles, was du bisher geschrieben hast, geht am eigentlichen Problem vorbei und zieht dieses Thema unnötig in die Länge.