Passwörter sterben aus: Passkeys übernehmen die Kontrolle
Apple, Google, Microsoft setzen auf FIDO2 — was das für Nutzer bedeutet
Die digitale Authentifizierung steht vor einem grundlegenden Wandel – aber von einem vollständigen Tod der Passwörter zu sprechen, wäre verfrüht. Passkeys, auch als „Passschlüssel" bezeichnet, gewinnen als Alternative an Bedeutung und werden von den großen Plattformen aktiv gefördert. Doch die Migration ist langsam, der Widerstand groß, und die technische Realität komplexer als Marketingversprechen suggerieren.
Kerndaten: Der globale Markt für passwortlose Authentifizierung soll laut Marktforschungsberichten bis 2030 auf über 40 Milliarden US-Dollar anwachsen, mit jährlichen Wachstumsraten im mittleren zweistelligen Prozentbereich. Laut einer Bitkom-Studie aus 2023 haben rund 42 Prozent der deutschen Internetnutzer noch nie von Passkeys gehört. Gleichzeitig geben laut einer FIDO Alliance-Umfrage über 60 Prozent der Unternehmen an, Schwierigkeiten bei der Einführung passwortloser Systeme zu haben. (Quellen: FIDO Alliance Jahresbericht 2023, Bitkom Digital-Index 2023)
Das Passwort-Problem: Bequemlichkeit schlägt Sicherheit
Das Passwort ist ein elegantes Konzept auf dem Papier – in der Praxis hat es sich als strukturelles Sicherheitsproblem erwiesen. Der durchschnittliche Nutzer verwaltet nach Schätzungen von Sicherheitsforschern zwischen 80 und 100 verschiedene Online-Konten. Die kognitiven Anforderungen, für jedes Konto ein starkes, einzigartiges Passwort zu erstellen und zu behalten, übersteigen die Kapazitäten der meisten Menschen.
Die Konsequenz ist gut dokumentiert: Nutzer verwenden schwache Passwörter, recyceln sie über mehrere Plattformen hinweg oder greifen auf Variationen eines einzigen Grundpassworts zurück. Analysen großer Datenlecks zeigen, dass „123456", „password" und „qwerty" seit Jahren in den Listen der meistgenutzten Passwörter weltweit auftauchen – ein Befund, der sich trotz jahrelanger Aufklärungskampagnen nicht wesentlich verbessert hat. Sicherheitsaspekte werden dabei oft vernachlässigt, wie auch Sicherheitslücken in etablierten Anwendungen zeigen: Microsoft Edge: Passwörter im Klartext auslesbar ist ein warnendes Beispiel für die Risiken, die mit der traditionellen Passwort-Verwaltung einhergehen.
Die wirtschaftlichen Folgen sind erheblich. Credential-Stuffing-Attacken – bei denen bei einem Datenleck erbeutete Zugangsdaten automatisiert auf anderen Plattformen getestet werden – laufen in industriellem Maßstab ab. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass ein signifikanter Anteil erfolgreicher Angriffe auf Unternehmenskonten auf kompromittierte oder schwache Passwörter zurückzuführen ist, wenngleich präzise Gesamtquoten methodisch schwer zu erheben sind. (Quelle: BSI-Lagebericht zur IT-Sicherheit in Deutschland 2023)
Die unsichtbare Infrastruktur hinter jedem Login
Hinter jedem Passwort-Login steht eine Infrastruktur aus Hashing-Algorithmen, Salting-Verfahren und serverseitiger Speicherlogik – und genau hier liegt ein weiteres strukturelles Problem. Nicht alle Unternehmen setzen aktuelle Sicherheitsstandards um. Regelmäßige Sicherheitsprüfungen decken auf, dass Passwörter teils noch mit veralteten Verfahren wie MD5 gespeichert werden, die mit moderner Hardware schnell gebrochen werden können.
Selbst bei technisch korrekter Implementierung – also bei Verwendung moderner Hashfunktionen wie bcrypt oder Argon2 in Kombination mit zufälligen Salts – bleibt ein fundamentales Problem: Das Passwort ist ein statisches Geheimnis, das übertragen, gespeichert und gestohlen werden kann. Diese Eigenschaft ist kein Implementierungsfehler, sondern ein Designmerkmal – und genau das versucht die Passkey-Technologie zu überwinden.
| Kriterium | Klassisches Passwort | Passkey |
|---|---|---|
| Speicherung beim Anbieter | Gehashter Passwortwert (angreifbar) | Nur öffentlicher Schlüssel (wertlos ohne Gerät) |
| Phishing-Anfälligkeit | Hoch – Nutzer gibt Geheimnis preis | Sehr gering – kein übertragbares Geheimnis |
| Credential Stuffing | Direkt möglich | Strukturell ausgeschlossen |
| Nutzererfahrung | Erinnerungsaufwand hoch | Biometrie oder PIN am Gerät |
| Geräteverlust-Szenario | Kein direktes Risiko | Backup über Cloud-Sync oder Recovery-Code nötig |
| Standardisierung | Kein einheitlicher Standard | FIDO2 / WebAuthn (W3C-Standard) |
Passkeys verstehen: Asymmetrische Kryptografie im Alltag
Passkeys basieren auf dem Prinzip der asymmetrischen Kryptografie. Bei der Registrierung generiert das Gerät des Nutzers – Smartphone, Laptop oder Hardware-Token – ein Schlüsselpaar: einen privaten Schlüssel, der niemals das Gerät verlässt, und einen öffentlichen Schlüssel, der beim Dienst hinterlegt wird. Beim Login wird eine kryptografische Challenge vom Server gesendet, die der private Schlüssel signiert. Der Server prüft die Signatur mit dem öffentlichen Schlüssel – und nur wenn diese stimmt, wird der Login gewährt. Das Entscheidende: Der private Schlüssel wird nie übertragen, nie gestohlen, nie weitergegeben. Diese asymmetrische Architektur macht Vier-Tage-Woche: Was Pilotprojekte wirklich ergeben haben nicht leichter, könnte aber Sicherheitsverantwortliche entlasten.
