Beiträge von chri-s

Zitat von Kenan

Magst du auch noch einmal das Passwort zurücksetzen und schauen, ob die Fehlermeldung weiterhin angezeigt wird? Teile hier bitte die genaue Uhrzeit mit, an der du es getestet hast.

Hallo Kenan.

Falls hier der Reset über die E-Mail-Variante mit Kundennummer und Nachname gemeint ist:

• Versuch über https://www.congstar.de/login/passwort-vergessen-email/
• 10.03.2026 um 16:16:31
• Nicht erfolgreich

Ein paar Versuche davor, bei denen ich nicht die genaue Zeit notiert habe, waren ebenfalls ohne Erfolg. Der Versuch um 16:16:31 war der letzte.

***

Ich habe dann anschließend um 16:28:35 (10.03.2026) mein Passwort über die Variante mit SMS + Rufnummer + Kundennummer zurückgesetzt über:

https://www.congstar.de/login/passwort-vergessen-sms/

Das war erfolgreich.

Kurz darauf habe ich erneut den Login mit Passkeys getestet.

Ich habe bisher 2 Passkeys gespeichert, einen in iCloud Keychain, einen in 1Password.

Beide Passkeys funktionieren weiterhin erfolgreich für den Login.

Die öffentlichen Schlüssel, die in congstar's Datenbank hinterlegt sind, bleiben bestehen, auch nach dem erfolgreichen Zurücksetzen des Passworts.

Zitat von Kenan

Nach unserem aktuellen Stand wird beim Passwort zurücksetzen der Eintrag bei uns im System gelöscht.

… Wird der Login dennoch in deinem Fall durchgeführt?

Ja, die Passkeys funktionieren weiterhin zum Einloggen.

Mehr als 4 Versuche in privaten Fenstern waren alle erfolgreich.

***

Ich habe mich anschließend um 16:50:18 noch mal (ohne Passkey) mit Benutzername, (neuem) Passwort und SMS-Code eingeloggt.

Daraufhin kam dann, ähnlich wie zuvor schon vermerkt, die Option, einen neuen Passkey zu speichern.

Das System erkennt also, dass ein Passwort-Reset durchgeführt wurde, auch wenn die bereits vorhandenen Passkeys nicht ungültig werden.

Ich habe jetzt also 3 funktionierende Passkeys.

Das ist in Ordnung, mehr ist hier definitiv besser, aber es sollte ja theoretisch trotzdem möglich sein, die Gültigkeit der öffentlichen Schlüssel bei congstar im System zu widerrufen, vor allem bei Geräteverlust.

Danke.

Zitat von harob

Auf der Website wird das Raute-Zeichen (oder Neudeutsch: Hash) (#) als valides Zeichen zugelassen. In der App wird es bei Eingabe sofort als ungültig getaggt. Gleiches gilt für eckige Klammern []

Genau, Raute war bei mir auch das Problem.

Zitat von zedtea

für mich persönlich ist es schwer nachvollziehbar, dass sich so ein gravierender Fehler einschleichen und halten konnte

Ich wollte es im anderen Thema eigentlich erwähnen, aber da dort die Hauptprobleme nicht richtig verstanden wurden, habe ich gelassen und dann vergessen ein neues Thema zu öffnen.

Die Probleme mit den Passkeys und mit dem Passwort-Reset über Kundennummer, Nachname und E-Mail sind seit 5 Wochen nicht gelöst, was auch für mich unverständlich ist. Das sind ziemlich grobe Fehler, die eigentlich innerhalb von ein paar Tagen hätten behoben werden sollen.

Zitat von Sharra

Es wird behauptet, das Passwort wäre geändert worden. Es kommt eine Bestätigungsmail auf die hinterlegte E-Mail Adresse, dass das Passwort geändert sei, aber es ist kein Login möglich

Hast du die Änderung des Passwortes über die Webseite durchgeführt?

Falls ja, kann ich hierzu noch etwas möglicherweise Relevantes sagen.

Bei der Änderung über die Webseite werden Passwörter akzeptiert, die „illegal“ sind, also von der App eigentlich abgelehnt würden, wenn man es über die App machen würde. Das habe ich ebenfalls im Prozess vor 2 Monaten bemerkt, als ich über die Bugs bzgl. Passkeys und dem Zurücksetzen des Passwortes über die Variante mit Kundennummer, Nachname und E-Mail geschrieben habe.

Die Passwortanfoderungen gelten also, wurden aber nur selektiv forciert, was zu „falschen“ Passwörtern führt:

Muss 12 bis 32 Zeichen lang sein.
Muss Zeichen aus mindestens 3 der 4 folgenden Zeichengruppen enthalten:
Großbuchstaben (A-Z)
Kleinbuchstaben (a-z)
Sonderzeichen: ! @ . : - _ " § $ % & / ( ) = ? ` ´
Ziffern (0-9)

Danke Tatiana.

Ja, das im Profil hinterlegte Kundenkonto ist korrekt.

Aber bitte nichts an meinem Kundenkonto ändern oder zurücksetzen.

Ich möchte weder mein Passwort zurücksetzen, noch Passkeys löschen.

Die genannten Punkte sind nur als Vorschlag (Problem #1) und Fehlerberichte (Problem #2 und #3) zu verstehen.

Ich wollte also nur darauf aufmerksam machen, dass die von congstar beschriebenen Prozesse nicht funktional sind:

• Passkeys bleiben trotz Passwort-Zurücksetzung in congstars Datenbank (Problem #2), zumindest als ich das vor 2-3 Wochen getestet habe.
• Zurücksetzung des Passworts über die Variante per E-Mail funktioniert nicht (Problem #3), da die Zuordnung von Nachname und Kundennummer nicht klappt (Fehlermeldung: „Die eingegebene Kundennummer und der Nachname passen nicht zusammen.“)

Zitat von Torc

chri-s

Du hast dich bisher nicht mit dem Passkey eingeloggt.

Dude, lass es doch einfach sein. Du hast absolut keine Ahnung wovon du redest. Ich bitte dich jetzt zum zweiten Mal, deine Zeit in andere Bereiche zu investieren, denn keiner deiner bisherigen Beiträge ist auch nur ansatzweise relevant. Du hast das Thema zu Beginn schon auf die falsche Spur gebracht und machst es weiterhin. Ist es so schwer für dich zu verstehen, dass du es nicht verstehst?

Musst du meine Zeit weiterhin verschwenden, indem ich noch ein Video aufnehme, in welchem ich DIR persönlich meinen Login über Passkey beweise, auch wenn es in diesem Thema NIEMALS um Schwierigkeiten beim Einloggen mit Passkeys ging?

Hast du nichts Besseres zu tun, als dich in Dinge einzumischen, die dich nicht betreffen?

Ich habe mich mehr als 15 Mal mit beiden meiner Passkeys eingeloggt.

Zitat von Torc

Und das ist eindeutig.

Nee, aber das angehängte Video ist es.

Und nicht, dass das falsch verstanden wird: Nein, ich will mein Passwort nicht nochmal zurücksetzen. Das habe ich beim Testen bereits mehrmals gemacht (per SMS-Variante). Problem #3 weist nur auf ein im Prozess gefundenes weiteres Problem hin (Fehler in der E-Mail-Variante), welches zum ersten Mal in Beitrag #11 erwähnt wurde und bisher unbeantwortet ist.

Danke, aber es scheint so, als ob immer noch nicht verstanden wird, worum es hier überhaupt geht. Wie kann das sein? Bisher hat nur Steffi eine für das Thema relevante Antwort gegeben. Ich versuche es unten noch mal, aber langsam habe ich das Gefühl, als wäre dieses Thema unwiderrufflich verflucht.

***

Zitat von Christian

So gab es etwa am 27.01. drei Anmeldeversuche mit deiner Kundennummer, aber keinen mit Passkey.

Das ist nicht böse gemeint, aber das hat in keinster Art und Weise etwas mit dem Thema zu tun. Im Laufe des Januars habe ich habe mich dutzende Male eingeloggt, sowohl mit Kundenummer, Benutzername, Rufnummer, SMS-Code als auch mit mehreren Passkeys. Es geht aber nicht um meine Anmeldungen, die alle erfolgreich waren (inklusive Anmeldungen über Passkey), sondern um die zuvor genannten Probleme. Ich habe mich soeben nochmal mit beiden Passkeys (in privaten Fenstern) angemeldet, nur damit dieser Punkt abgehakt ist.

1Password: Feb 9, 2026 at 15:53:46

iCloud Keychain: Feb 9, 2026 at 15:54:40

***

Worum es hier geht:

Zitat von Steffi

Die Passkey Daten werden nur beim Prozess "Passwort vergessen" gelöscht, aber nicht beim "Passwort ändern" Prozess. Und diese auch nur in unserer Datenbank, die auf dem gerät gespeicherten müssen selbst gelöscht bzw. geändert werden.

Der Vorschlag der Passkey Verwaltung und alles Weitere ist in Klärung.

***

Ganz von vorne…

Zitat vom BSI:

Zitat

… Bevor sich ein Nutzer oder eine Nutzerin mittels Passkey auf einer Webseite sicher anmelden kann, muss man diesen zunächst registrieren. Hierzu erzeugt der Authentikator u. a. ein neues Schlüsselpaar, also einen geheimen privaten Schlüssel und einen zugehörigen öffentlichen Schlüssel. Der private Schlüssel wird sicher verwahrt, wohingegen der öffentliche Schlüssel der Webseite zur Verfügung gestellt wird.

… Möchte man sich nach erfolgter Registrierung mittels Passkey anmelden, sendet die Webseite eine Nachricht an den Client…

… Die Webseite prüft schließlich anhand des bei der Registrierung hinterlegten öffentlichen Schlüssels, ob die Signatur korrekt ist. Ist das der Fall, ist die Authentifizierung erfolgreich abgeschlossen.

Es geht hier ausschließlich um den öffentlichen Schlüssel, der in congstars Datenbank hinterlegt ist.

Nach dem Anlegen von Passkeys hat man bei praktisch allen anderen Webseiten die Möglichkeit, diese zu verwalten, d.h., man kann weitere hinzufügen oder bestehende löschen. Wie das normalerweise aussieht, kann man in Antwort #25 sehen. Hier noch mal das Beispiel von PayPal.

Problem #1

Bei congstar gibt es, im Gegensatz zu anderen Webseiten, keine Möglichkeit, Passkeys transparent zu verwalten (neue hinzufügen, bereits registrierte löschen). congstars „Lösung“ war es, den Prozess der Löschung des bei congstar hinterlegten öffentlichen Schlüssels des Passkeys unsinnigerweise an eine Zurücksetzung des Passworts zu koppeln.

Problem #2

Die Zurücksetzung des Passworts löscht allerdings nicht, wie von congstar behauptet, den öffentlichen Schlüssel des Passkeys, der in congstars Datenbank gespeichert ist. Bereits angelegte Passkeys bleiben gültig. Privater und öffentlicher Schlüssel passen weiterhin zueinander.

Dass das ein Sicherheitsrisiko ist, sollte klar sein.

Problem #3

Hierfür sollte ich vielleicht ein neues Thema eröffnen, aber im Prozess der Zurücksetzung des Passworts habe ich bemerkt, dass es bei diesem Prozess ein weiteres Problem gibt. Über die Variante mit SMS-Code kann man das Passwort erfolgreich zurücksetzen. (Link: https://www.congstar.de/login/passwort-vergessen-sms/)

EIne Zurücksetzung des Passworts über die Variante per E-Mail funktioniert allerdings nicht.

Link: https://www.congstar.de/login/passwort-vergessen-email/

Kundennummer und Nachname stimmen, trotzdem gibt es diese Fehlermeldung.

Zitat von Patrick

Ich hoffe das hilft weiter.

Nein. Das Zitat geht leider auch am Thema vorbei. Es geht nach wie vor nicht um den privaten Schlüssel, sondern um den öffentlichen, der auf congstar's Servern liegt.

Wir waren doch schon weiter in diesem Thread, dank Steffi:

Zitat von Steffi

Es kann nur ein Passkey angelegt werden, die Info auf der Seite muss noch geändert werden.

Die Passkey Daten werden nur beim Prozess "Passwort vergessen" gelöscht, aber nicht beim "Passwort ändern" Prozess. Und diese auch nur in unserer Datenbank, die auf dem gerät gespeicherten müssen selbst gelöscht bzw. geändert werden.

Der Vorschlag der Passkey Verwaltung und alles Weitere ist in Klärung.

Der Prozess über „Passwort vergessen“ funktioniert nicht.

Der öffentliche Schlüssel bei congstar bleibt bestehen.

Ohne Verwaltungsoption bleiben also alle bereits erstellten Passkeys für immer gültig. Das ist, als würden alle je benutzten Passwörter für immer gelten.

Da iOS-Apps seit der Einführung von Apples eigenen Chips der M-Serie im Jahr 2020 standardmäßig ohne Modifizierung oder Portierung auch am Mac (macOS) genutzt werden können, wäre es schön, wenn congstar das nicht weiterhin unterbinden würde.

Alles, was dafür nötig ist, ist das Häkchen in App Store Connect bei “Make this app available on Mac” wieder zu setzen, also den Opt-out rückgängig zu machen.

iPhones werden häufig gestohlen. Der Mac zu Hause könnte demnach als gutes Backup zur Verwaltung und Einsicht in den Account fungieren, vor allem, weil jetzt das Kundencenter komplett abgeschaltet wurde (bis auf Rechnungen) und somit bei Neuversand einer SIM-Karte auch keine Einsicht mehr zum neuen PIN und PUK dieser SIM möglich ist. Dadurch wäre im Verlustfall ein Kontakt über die Hotline (natürlich schwierig ohne aktive SIM) oder Chat nötig, um die neue SIM-Karte überhaupt nutzen zu können, indem man den unbekannten neuen PIN mit dem neuen PUK zurücksetzt, den man zwingend über den Chat erhalten müsste.

Der Zwang zur App hat diese Probleme ja erst verursacht. Wenn man also nur noch die App nutzen soll, warum sollte man das nicht konsequent auch dort machen dürfen, wo es ebenso möglich ist?

Danke

Zitat von Flosse08

Der Server kann dabei nicht fest stellen ob der Passkey auf dem Gerät gelöscht wurde da bei dieser Funktion gar nicht die Challange an das Gerät geschickt wird wenn man sich mit Passwort anmeldet.

…

Und nebenbei wenn der Anmeldeversuch mit Passkey fehl schlägt muss der Server davon ausgehen dass sich jemand falsches versucht anzumelden und muss den Anmeldevorgang abbrechen und nicht ein neues Passkey erstellen anbieten

Danke dafür; in meinen bisherigen Kommentaren zur Sinnlosigkeit lokaler Änderungen (privater Schlüssel) habe ich nicht einmal weit genug gedacht.

Zitat von zedtea

Wird nun beim Dienst angefragt, nachdem man den eigenen Passkey gelöscht hat, kann diese Kommunikation nicht stattfinden. Der dienst wüsste also auch gar nicht mit wem er es zu tun hat und könnte den öffentlichen Schlüssel für den Abgleich nicht herausrücken. Folglich kann der Dienst nur anbieten einen neuen Passkey einzurichten

Wenn es nur um das Anbieten/Erstellen eines neuen Schlüssels geht, könnte man das theoretisch so machen, ist aber bei congstar nicht der Fall. Ich habe alle Passkeys (lokal) aus meinen Ablageorten gelöscht und für 1Password auch die native Autofill-Integration (iOS) sowie die Browser-Extension (macOS) unterbrochen. Man bekommt die Meldung, einen Passkey einzurichten, nur, nachdem man den Weg über „Passwort vergessen“ geht.

Das gilt sowohl für die Situation, in der die lokalen Passkeys vorher gelöscht wurden, als auch für die, in der die lokalen Passkeys vorhanden sind und mit dem „Schloss“ auf Serverseite bei congstar kommunizieren können. Ich hätte also auch mehr als 2 Passkeys anlegen können.

Generell halte ich hier nur eine Verwaltungsoption, wie auf anderen Seiten, für wirklich sinnvoll und transparent. Eine lokale Nichtverfügbarkeit des Passkeys sollte zumindest nicht darüber entscheiden, was man letztlich machen kann oder angeboten bekommt. Wenn man einen Browser oder ein Gerät verwendet, das nicht in das lokale Passkey-System eingebunden ist, würde man ja immer wieder eine Aufforderung bekommen, neue Passkeys anzulegen oder zu ersetzen, auch wenn man das gar nicht möchte. Den Blick ausgehend von der Serverseite zu behalten, also dass die Aufforderung nur kommt, wenn man aktuell keine „Schlösser“ bei congstar hinterlegt hat, halte ich für besser. Auch das ersetzt natürlich nicht eine einfache Seite zum Löschen und Hinzufügen, wie bei anderen Diensten.

Auf iPads kann man generell keine Anrufe über eine eigene SIM-Karte tätigen.

Zitat von Ulesch

Das iPad kann Anrufe erst durchführen und empfangen, wenn das Anruf-Relay mit einem iPhone eingerichtet ist

Die Fehlermeldung ist korrekt.

Man muss die Umleitung über die SIM vom iPhone einrichten. Die SIM im iPad ist praktisch nur für Daten geeignet.

https://support.apple.com/de-de/guide/ipad/ipadf97892b2/ipados

https://www.o2online.de/ratgeber/hacks-tipps/mit-ipad-telefonieren/

EDIT: Sorry, ich habe die anderen Kommentare vor dem Abschicken nicht gesehen, da ich die Seite nicht neu geladen habe.

Hallo Ben, danke!

Kein Problem und keine Eile. Die Infos im vorigen Kommentar sind ja eher genereller Natur, z.B. was meine Hoffnung angeht, dass die Möglichkeit bestehen bleibt, mehrere gültige Passkeys zu haben, statt dass, wie von Steffi erwähnt, die Dokumentation auf der Infoseite von congstar einfach angepasst wird. (Die Autorin der Seite ist ja korrekt in der Beschreibung der Nützlichkeit mehrerer Passkeys.)

Danke, Steffi!

Zitat von Steffi

Es kann nur ein Passkey angelegt werden, die Info auf der Seite muss noch geändert werden

Schade, denn genau wie auf der Infoseite von congstar beschrieben, gibt es gute Gründe, mehrere anzulegen.

Aktuell habe ich 2 Passkeys, die beide funktionieren, auch nach mehrmaligem „Passwort vergessen“.

Ich wurde danach (beim klassischen Login) dann gefragt, ob ich weitere anlegen möchte, habe aber nach 2 Passkeys selbst abgebrochen.

Der Grund, warum ich 2 Passkeys bevorzuge, ist, dass ich sowohl iCloud Keychain als auch 1Password für Passkeys nutze, um Selbstausperrung maximal zu verhindern.

Zitat von Steffi

Die Passkey Daten werden nur beim Prozess "Passwort vergessen" gelöscht

Das habe ich mehrere Male durchlaufen, und keiner meiner Passkeys wurde ungültig. Ich kann mich nach wie vor mit allen erstellten Passkeys einloggen, genau so, wie ich es auch möchte.

Zitat von Steffi

Der Vorschlag der Passkey Verwaltung und alles Weitere ist in Klärung

Es wäre schön, wenn sich hier nicht die Info auf der Seite ändert, sondern das System darauf angepasst wird.

→ Mehrere Passkeys sind sinnvoll und sollten verbleiben (weniger theoretischer Lock-in), so wie es alle anderen Dienste auch machen.

Screenshots davon, wie das bei Amazon, Discord, Dropbox, eBay, Google, Klarna, Link (Stripe) und PayPal aussieht:

Zitat von Torc

Ebenso sollte dadurch auch dann der öffentliche Teil gelöscht werden

Wird er aber nicht, was der ganze Punkt dieses threads ist, wie schon mehrmals erwähnt.

Zitat von Torc

Nachteil bei iCloud, das der PK auf mehreren Geräten "gespeichert" wird und so auch "wiederkehren" kann, trotz Löschung

Das ist ein großer Vorteil von iCloud Keychain und 1Password, hat aber immer noch nichts mit dem Thema zu tun, da es hier nur um die fehlerhafte, serverseitige Komponente bei congstar geht, die nicht davon abhängig ist, was man in einem Passwortspeicher macht.

Du scheinst eine Synchronisation über die Server von Firmen wie Apple oder 1Password mit den Servern von congstar gleichzusetzen; nur so kann ich mir erklären, wie du zu so einer Aussage kommen kannst, dass es hier ein „Wiederkehren“ des Passkeys gibt „trotz Löschung“, als ob das für die Server von congstar oder diese Diskussion hier von Relevanz wäre.

→ Man synchronisiert den „Schlüssel“ auf mehreren Geräten über Server von Apple/1Password und kann die Passkeys dadurch geräteunabhängig nutzen. Das „Schloss“, in das die Passkeys passen, liegt auf congstars Servern und muss unabhängig davon verwaltet werden.

Zitat von Flosse08

auf dem Server bei congstar wird nach den Versuchen der Passkey noch vorhanden sein (öffentlicher Schlüssel).

Ganz genau. Und nur darum geht es hier ja, den serverseitigen Teil des Passkeys, der, anders als bei anderen Diensten, nicht visuell verwaltet/gelöscht werden kann, und um die Tatsache, dass congstars dokumentierter Umweg über password-reset auch nicht funktioniert.

Zitat von harob

Dann geht auch kein PK Login mehr, weil mein PK ja weg ist. Da muss ich Nix versuchen

Genau. Ich habe es probiert, und es hat natürlich keinen Unterschied gemacht. Das war vorher klar, aber ich wollte noch etwas anderes testen. Lokale Löschung in Apple Passwords und 1Password kann man übrigens rückgängig machen für ca. 30 Tage.

Zitat von Torc

Passkeys werden primär auf dem Smartphone (oder Computer) im dortigen Passwortmanager (Apple-ID, Google-Konto oder Sicherheits-Chip) gespeichert und über die Cloud sicher synchronisiert. Sie liegen nicht beim App-Anbieter, sondern nutzen ein kryptografisches Paar aus privatem Schlüssel (auf dem Gerät) und öffentlichem Schlüssel (beim Dienst).

Das ist mir klar und praktisch, was ich oben geschrieben habe (Schlüssel und Schloss etc.), während du die ganze Zeit auf einem anderen Gleis fährst und denkst, man könnte mit einer Löschung des lokalen Passkeys die entfernte Komponente beeinflussen.

Man kann das iPhone auch in den See werfen, aber das ändert nichts am Schloss (dem öffentlichen Schlüssel auf dem Server bei congstar).

Aus diesem Grund haben alle Dienste normalerweise die Möglichkeit, Passkeys zu verwalten und zu löschen (serverseitig), was nichts mit deinem eigenen Gerät oder Passwortmanager zu tun hat, worauf du aber immer wieder zurückkommst.

Zitat von Torc

Aber egal, du solltest es ja nicht probieren. Ich warte auf den Versuch von harob

Wie ich im letzten Kommentar erwähnt habe, habe ich es noch einmal ausprobiert, und es klappt nicht, was ja auch Sinn macht, wenn man versteht, wie das funktioniert.

Falls meine Versuche dich nicht interessieren, würde ich mich freuen, wenn du ein neues Thema eröffnest, denn alles, was du bisher geschrieben hast, geht am eigentlichen Problem vorbei und zieht dieses Thema unnötig in die Länge.

Das macht keinen Unterschied, Torc.

Die App (auch nur eine Webseite) kann nichts merken, weil der Passkey beim Zurücksetzen oder Ändern des Passwortes erst gar nicht aus dem congstar-Konto gelöscht wurde. Das ist der Fehler, der laut Dokumentation von congstar nicht passieren dürfte.

Und die Prämisse selbst ist fehlerhaft. Selbst wenn im Prozess des Zurücksetzens des Passwortes noch ein Passkey lokal im Passwort-Manager vorhanden ist, hat das keine Relevanz für die Löschung eines Passkeys auf einem Server von congstar. Du scheinst zu denken, dass es eine Art Synchronisation zwischen diesen unabhängigen Komponenten gibt, die einfach nicht existiert.

→ Eine lokale Löschung von Passkeys, Passwörtern oder jeglichen anderen Informationen, egal ob aus einem Passwort-Manager oder einem Notizblock, hat absolut keinen Einfluss auf die bei einer Seite hinterlegten Daten. Die Gültigkeit eines Passwortes oder Passkeys kann nicht über den lokalen Passwort-Manager an den entfernten Server synchronisiert werden. Du kannst Schlüssel (lokal) so viel ändern, wie du willst, das Schloss auf dem (entfernten) Server bei congstar bleibt jedoch gleich.

Ich habe es nochmal probiert, aber es macht wirklich keinen Sinn, weil eben keine Verbindung zwischen einem lokalen Passwortspeicherort und einem entfernten Server besteht.

Die Dokumentation von congstar ist hier auch eindeutig. Sie gibt sogar an, dass man nach der Löschung der Passkeys aus dem congstar-Konto im Anschluss auch noch lokal löschen muss. Eine Änderung des Passwortes hätte die Passkeys also schon vorher ungültig machen müssen.

Hallo Tina,

Ich habe jetzt alles noch einmal getestest, das hat etwas länger gedauert.

Kurz: Auch ein Zurücksetzen des Passwortes über „Passwort vergessen“ führt nicht zur Löschung der im congstar-Konto gespeicherten Passkeys.

Ich habe außerdem noch weitere Probleme gefunden…

Option 1: Passwort zurücksetzen mit Rufnummer, Kundennummer und SMS-Code

Das Zurücksetzen hat geklappt.

Nach Vergabe eines neuen Passwortes konnte ich mich trotzdem noch mit dem Passkey einloggen, den ich am 08. Januar 2026 in iCloud Keychain erstellt habe. Es besteht also kein Unterschied zwischen der manuellen Änderung und dem Zurücksetzen des Passwortes über „Passwort vergessen“.

Einmal im congstar-Konto gespeicherte Passkeys verbleiben dauerhaft im congstar-Konto. Das ist natürlich ein Problem. Die Dokumentation ist inkorrekt.

Nach dem erneuten Einloggen mit (neuem) Passwort und SMS-Code, kam dann noch einmal die Frage, ob ein Passkey gespeichert werden soll. Das ist anders als nach den vorherigen Änderungen des Passwortes, bei denen diese Meldung nicht erschien. Möglicherweise wurde durch das Zurücksetzen ein anderer Login-Flow ausgelöst, der diese Meldung verursacht, obwohl der zuvor gespeicherte Passkey immer noch im congstar-Konto gültig ist. Ein Fehler im Fehler? Das Ganze sah so aus:

Option 2: Passwort zurücksetzen mit Kundennummer, Nachname und E-Mail

Diese Option wollte ich auch noch testen, sie funktioniert jedoch überhaupt nicht, da der Nachname nicht erkannt wird. Da die Kundennummer in Option 1 geklappt hat, gehe ich davon aus, dass der Fehler hier bei der Erkennung des Nachnamens liegt, da ich mehrmals manuell und über Kopieren und Einfügen der Kundennummer getestet habe (aus derselben Quelle (Passwort-Manager) wie in Option 1). Da es sich hundertprozentig um die korrekte Kundennummer und den korrekten Nachnamen handelt, kann ich diese Info nur so weitergeben. Fehlerquellen wie zusätzliche Leerzeichen wurden auch kontrolliert und ausgeschlossen.

Der Link zu dieser Seite ist https://www.congstar.de/login/passwort-vergessen-email/.

Hier noch ein Screenshot der Fehlermeldung.

Tina: Könnte bitte jemand meine im Profil hinterlegten Daten (Kundennummer, Nachname) als korrekt bestätigen? Diese funktionieren jedenfalls nicht mit Option 2.

Immerhin konnte ich nach Option 1 einen weiteren Passkey speichern. Der Login mit beiden Passkeys funktioniert ohne Probleme, sowohl über 1Password als auch iCloud Keychain. Screenshots:

Insgesamt wäre es viel sinnvoller, wenn es, ähnlich wie bei allen anderen Diensten, die die Nutzung von Passkeys anbieten, eine Option gäbe, diese zu verwalten (hinzufügen, löschen, umbenennen). Google, PayPal usw. machen das so. Die Nutzung bei congstar ist intransparent.

Was ich nicht getestet habe, ist, mein congstar-Passwort zurückzusetzen. Ich habe es nur mehrmals geändert, aber nicht den Prozess über „Passwort vergessen“ gemacht. Das könnte ich dann auch noch testen.

Auf der congstar-Seite zu Passkeys steht allerdings, dass beides zur Löschung der Passkeys im congstar-Konto führen sollte.

https://www.congstar.de/hilfe-service/passkey-bei-congstar/