IRCNF
Security

Passkeys erreichen den Massenmarkt – so sieht das Ende der Passwörter tatsächlich aus

Teilen:
Passkeys erreichen den Massenmarkt – so sieht das Ende der Passwörter tatsächlich aus

Passkeys sind keine experimentelle Funktion mehr, die tief in den Entwicklereinstellungen versteckt ist. Mit Stand 2025 sind über 15 Milliarden Benutzerkonten auf Apple-, Google- und Microsoft-Plattformen passkey-fähig, und große Verbraucherdienste – von PayPal über GitHub bis Amazon – haben die WebAuthn-basierte Authentifizierung eingeführt. Die Branche hat die Schwelle von der frühen Einführung zur massentauglichen Infrastruktur überschritten.

Warum Passwörter gescheitert sind

Die Argumente gegen Passwörter sind nicht theoretisch. Der Verizon Data Breach Investigations Report 2024 stellte fest, dass gestohlene oder schwache Anmeldedaten bei 77 % der Webanwendungsangriffe eine Rolle spielten. Have I Been Pwned indexiert über 14 Milliarden kompromittierte Konten aus bekannten Sicherheitsvorfällen. Passwortmanager helfen – aber sie schützen vor schwachen Passwörtern, nicht vor Phishing. Eine überzeugend gefälschte Login-Seite fängt immer noch das ein, was der Benutzer eingibt, egal wie stark das Passwort ist.

Credential Stuffing – das Verwenden gestohlener Benutzername/Passwort-Kombinationen und deren Ausprobieren auf anderen Diensten – funktioniert genau deshalb, weil Benutzer Passwörter wiederverwenden. Phishing funktioniert, weil Benutzer echte Login-Seiten nicht zuverlässig von gefälschten unterscheiden können. Dies sind strukturelle Probleme der Authentifizierung durch gemeinsam genutzte Geheimnisse, die auch durch bessere Aufklärung der Benutzer nicht behoben werden können.

Wie Passkeys tatsächlich funktionieren

Ein Passkey ist ein kryptografisches Schlüsselpaar, das auf Ihrem Gerät generiert wird. Der private Schlüssel verlässt das Gerät nie – er wird in einem Secure Enclave, dem TPM des Geräts oder einem Hardwaresicherheitselement gespeichert. Der öffentliche Schlüssel wird beim Dienst registriert und auf dessen Servern gespeichert. Dies ist der grundlegende Unterschied zu Passwörtern: Der Server hält nie ein Geheimnis.

Registrierung

Wenn Sie für eine Website einen Passkey erstellen, generiert Ihr Gerät ein eindeutiges Schlüsselpaar für diese Website. Der öffentliche Schlüssel wird an den Server gesendet und Ihrem Konto zugeordnet. Der private Schlüssel wird durch die Authentifizierungsmethode Ihres Geräts geschützt – Biometrie (Face ID, Touch ID, Windows Hello), PIN oder Muster – und in hardwaregestütztem sicheren Speicher abgelegt.

Authentifizierung

Wenn Sie sich anmelden, sendet der Server eine kryptografische Anfrage – eine zufällige Nonce. Ihr Authentifikator (Secure Enclave oder TPM des Geräts) signiert diese Anfrage mit dem privaten Schlüssel, nachdem er Ihre Anwesenheit per Biometrie oder PIN überprüft hat. Der Server überprüft die Signatur gegen den gespeicherten öffentlichen Schlüssel. Es wird kein Passwort über das Netzwerk übertragen. Ein gemeinsam genutztes Geheimnis kann nicht abgefischt werden. Selbst wenn ein Angreifer die signierte Anfrage abfängt, kann sie nicht wiederverwendet werden – die Nonce ist nur einmalig gültig und auf die jeweilige Ursprungsdomain beschränkt, was Replay-Angriffe und Domain-Spoofing-Phishing unterbindet.

Die Bindung an die exakte Ursprungsdomain macht Passkeys von Natur aus phishing-resistent. Eine gefälschte Seite paypa1.com kann keine gültige Passkey-Authentifizierung für paypal.com empfangen. Der Browser erzwingt dies auf Protokollebene über die WebAuthn-Spezifikation, die von der FIDO Alliance als FIDO2 formalisiert wurde.

Wo Passkeys heute eingesetzt werden

Die Unterstützung auf Plattformebene ist jetzt umfassend:

  • Apple: iCloud Keychain synchronisiert Passkeys zwischen iPhone, iPad und Mac per Ende-zu-Ende-verschlüsselter iCloud-Synchronisation. Unterstützt ab iOS 16+ und macOS Ventura+.
  • Google: Google Password Manager synchronisiert Passkeys zwischen Android-Geräten und Chrome unter Windows/macOS. Google-Konten selbst unterstützen die Passkey-Anmeldung – über 800 Millionen Google-Konten haben Passkeys bis 2024 genutzt.
  • Microsoft: Windows Hello (TPM-gestützte PIN, Fingerabdruck oder Gesichtserkennung) verwaltet Passkeys unter Windows 11. Microsoft-Konten unterstützen die Passkey-Authentifizierung.
  • Drittanbieter-Manager: 1Password, Dashlane und Bitwarden unterstützen alle die Passkey-Speicherung und ermöglichen so plattformübergreifende Portabilität außerhalb der nativen Ökosysteme.

Auf der Dienstanbieterseite umfassen wichtige Implementierungen:

  • Google – Passkey-Anmeldung für alle Google Workspace- und Privatkonten
  • Apple – Apple-ID-Passkey-Unterstützung für alle Apple-Dienste
  • GitHub – Passkeys als primäre Authentifizierungsmethode seit 2023
  • PayPal – Passkey-Ausrollung für US-Benutzer, international ausgeweitet
  • Amazon – Passkey-Unterstützung für Privatkonten
  • Best Buy, Target, CVS, Shopify – Einführung von Passkeys im Einzelhandel beschleunigt sich
  • DocuSign, Kayak, Robinhood, Zoho – SaaS- und Fintech-Adopter mit Live-Implementierungen

Die FIDO Alliance berichtete, dass über 12 Milliarden Online-Konten Ende 2024 passkey-bereit sind, und die Zahl wächst, da immer mehr Dienste ihre Ausrollungen abschließen.

Verbleibende Hürden

Die Einführung ist real, aber der Übergang ist nicht reibungslos.

Plattformübergreifende Synchronisation

Die größte praktische Einschränkung ist die Ökosystem-Bindung. Ein in Apple Keychain erstellter Passkey erscheint nicht automatisch im Google Password Manager. Ein Benutzer, der vom iPhone zu Android wechselt, muss Passkeys für jeden Dienst erneut registrieren. Die Cross-Device Authentication (CDA)-Spezifikation der FIDO Alliance und die laufenden Arbeiten am Passkey-Import/-Export – 2024 grundsätzlich genehmigt – sollen dies beheben, aber die Implementierungen sind Mitte 2025 noch im Ausrollungsprozess.

Enterprise-MDM-Bereitstellung

In Unternehmensumgebungen führen Passkeys, die an persönliche Geräte gebunden sind, zu Richtlinienproblemen. Wenn das persönliche iPhone eines Mitarbeiters den Passkey für einen Unternehmensdienst enthält, was passiert, wenn dieser das Unternehmen verlässt? Die unternehmensweite Passkey-Bereitstellung erfordert MDM-Integration, Hardwaresicherheitsschlüssel (YubiKey, Google Titan) für gemeinsam genutzte Arbeitsstationen und Identity-Provider (IdP)-Unterstützung – Okta, Microsoft Entra ID und Ping Identity bieten jetzt Passkey-Unterstützung, aber die Einführung in Unternehmen ist komplex. Die vollständige Ablösung von LDAP/Active-Directory-Passwortflüssen erfordert mehrjährige Planung.

Kontowiederherstellung

Passkeys verlagern das Wiederherstellungsproblem, beseitigen es aber nicht. Wenn ein Benutzer alle registrierten Geräte verliert und keinen Backup-Passkey registriert hat, fällt die Kontowiederherstellung auf E-Mail-Verifikation, Support-Tickets oder Backup-Codes zurück – alles schwächere Glieder. Dienste implementieren die Registrierung mehrerer Passkeys (sowohl auf dem Telefon als auch auf dem Laptop) und plattformübergreifende Backup-Optionen, aber die Benutzerschulung zur Registrierung mehrerer Authentifikatoren hinkt der Bereitstellung hinterher.

Migration von Legacy-Systemen

Unternehmen, die On-Premises-Systeme betreiben – alte VPNs, ERP-Systeme, Mainframe-Authentifizierung – stehen vor jahrelangen Migrationszeitplänen. Die passwortbasierte Authentifizierung ist tief in SSO-Konfigurationen und interne Tools eingebettet. Realistisch betrachtet werden hybride Umgebungen (Passkeys für neue Dienste, Passwörter + MFA für Altsysteme) bis 2027-2028 die Norm sein.

Was jetzt zu tun ist

Für Privatpersonen

  • Aktivieren Sie Passkeys bei jedem Dienst, der sie unterstützt – beginnen Sie mit Ihrem Google-Konto, Ihrer Apple ID und GitHub. Dies sind die Angriffsziele mit dem höchsten Wert für Angreifer.
  • Registrieren Sie für jeden kritischen Dienst einen Passkey auf mindestens zwei Geräten (Telefon + Laptop), um Sperrszenarien zu vermeiden.
  • Wenn Ihr Passwortmanager Passkeys unterstützt (1Password, Bitwarden), speichern Sie diese dort für plattformübergreifende Portabilität.
  • Für Dienste, die noch keine Passkeys unterstützen, verwenden Sie 2FA mit einer Authenticator-App – nicht per SMS.

Für Unternehmen und IT/Sicherheitsteams

  • Überprüfen Sie jetzt die Passkey-Unterstützung Ihres IdP. Okta, Microsoft Entra, Duo und Ping haben alle Passkey-Funktionen – prüfen Sie, ob Ihre aktuelle Konfiguration diese den Benutzern zur Verfügung stellt.
  • Führen Sie 2025 einen Pilotversuch für Passkeys als phishing-resistente MFA durch. Beginnen Sie mit Hochrisikorollen: IT-Administratoren, Finanz, Führungskräfte. Diese Konten sind bei Phishing-Kampagnen die ersten Ziele.
  • Legen Sie eine Richtlinie für Hardwaresicherheitsschlüssel für gemeinsam genutzte oder nicht verwaltete Geräte fest. Die YubiKey 5-Serie und Google Titan-Schlüssel unterstützen FIDO2 und bieten Passkey-Funktionalität ohne ein persönliches Gerät.
  • Erstellen Sie Ihre Legacy-Migrations-Roadmap für 2026-2027. Inventarisieren Sie, welche internen Systeme SAML/OIDC unterstützen – diese können über den IdP auf Passkeys umgestellt werden – und welche Protokoll-Upgrades oder Ersatz benötigen.
  • Aktualisieren Sie Ihr Incident-Response-Playbook. Passkeys eliminieren Password-Spray- und Phishing-Vektoren, aber die Gerätekompromittierung wird zur neuen Angriffsfläche. Stellen Sie sicher, dass das MDM Passkey-fähige Geräte remote widerrufen kann.

Das Passwort ist noch nicht tot – es wird in hybriden Bereitstellungen noch Jahre lang neben Passkeys existieren. Aber die Authentifizierungsinfrastruktur unter den Verbraucher-Internetdiensten hat sich tatsächlich verschoben. Die Frage für Sicherheitsteams ist nicht mehr, ob sie Passkeys einführen sollen, sondern wie schnell die Migration voranschreiten kann, ohne Legacy-Systeme zu brechen oder Benutzer auszusperren. Die Werkzeuge sind bereit. Die Zeitplan läuft jetzt.

cybersecuritypasskeyspasswordlessauthenticationFIDO2WebAuthn
Teilen:
Passkeys erreichen den Massenmarkt – so sieht das Ende der Passwörter tatsächlich aus | IRCNF - Intelligent Reliable Custom Next-gen Frameworks