Das Passwort hatte einen langen Lauf. Jetzt geht er zu Ende. Apple, Google und Microsoft bauen Passkeys seit Jahren in ihre Systeme ein, und 2025 wurde daraus der Standard. Passkeys lösen das Grundproblem des Passworts: dass es überhaupt ein Geheimnis gibt, das man stehlen kann.
Wie ein Passkey funktioniert
Statt eines Wortes, das Sie sich merken, entsteht beim Einrichten ein kryptografisches Schlüsselpaar. Der eine Teil – der private Schlüssel – bleibt sicher auf Ihrem Gerät und verlässt es nie. Der andere Teil liegt beim Dienst. Beim Anmelden entsperren Sie den Schlüssel einfach so, wie Sie Ihr Handy entsperren: per Fingerabdruck, Gesicht oder PIN.
Der entscheidende Unterschied: Der Server bekommt nie ein Geheimnis zu sehen, das jemand abgreifen könnte. Es gibt kein Passwort in einer Datenbank, das bei einem Leck plötzlich auf dem Schwarzmarkt landet.
Warum Phishing damit ins Leere läuft
Ein Passkey ist fest an die echte Adresse des Dienstes gebunden. Ein Schlüssel für ihrebank.de funktioniert auf einer gefälschten Seite wie ihrebanc.deschlicht nicht – selbst wenn ein Mitarbeiter darauf hereinfällt und alles eingibt. Genau hier scheitern die Angriffe, die mit Passwörtern am häufigsten gelingen.
Man kann kein Geheimnis stehlen,
das nie irgendwo abgelegt wird.
Mehr als Sicherheit: es ist auch bequemer
Passkeys sind nicht nur sicherer, sondern auch schneller. Microsoft berichtet aus dem eigenen Rollout, dass die Anmeldung per Passkey rund dreimal schneller ist als mit Passwort und deutlich schneller als Passwort plus klassischer zweiter Faktor. In Unternehmen, die umstellen, brechen die Tickets für vergessene Passwörter um 60 bis 80 Prozent ein. Manche Cyberversicherer honorieren phishing-resistente Anmeldung sogar mit niedrigeren Beiträgen.
Wie der Einstieg gelingt
Niemand muss über Nacht alle Passwörter abschaffen. Der sinnvolle Weg ist schrittweise: zuerst die kritischen Konten absichern, allen voran Microsoft 365, dann nach und nach ausweiten. Wichtig ist, dass es sauber eingerichtet und für die Mitarbeitenden verständlich erklärt wird – sonst entstehen neue Stolperfallen statt weniger.
Genau das begleiten wir: phishing-resistente Anmeldung als fester Teil von Microsoft-365-Sicherheit und Cybersecurity, begleitet von Awareness für das Team.
Quellen: FIDO Alliance; HID/FIDO Alliance „State of Authentication“ 2025; Microsoft Security.