Moderne Authentifizierung 2026: Weg vom Passwort, hin zu Passkeys

Von Simon McNally, Solution Consultant Director Workforce IAM, Europa bei Thales

Wir schreiben das Jahr 2026 – und reden immer noch über Passwörter. Sie werden länger, komplizierter und müssen ständig geändert werden. Für Nutzerinnen und Nutzer ist das frustrierend, für Unternehmen teuer und aufwendig. Und trotzdem erhöhen all diese Regeln die Sicherheit nur begrenzt. Denn eines ist klar: Zugangssicherheit lässt sich längst nicht mehr sinnvoll über Passwörter organisieren. Die Technologie ist weiter – jetzt muss sie auch konsequent eingesetzt werden.

Eine der wichtigsten Innovationen der letzten Jahre sind Passkeys. Dabei handelt es sich um phishing-resistente Anmeldedaten auf Basis der FIDO2-Standards. Im Gegensatz zu klassischen Passwörtern können Passkeys weder erraten noch wiederverwendet oder durch Phishing abgefangen werden. Sie werden sicher auf dem Endgerät des Nutzers gespeichert und über eine lokale Authentifizierung geschützt – etwa per Biometrie oder PIN.

Je nach Einsatzszenario kommen unterschiedliche Passkey-Varianten infrage. Grundsätzlich gilt: Für den Einsatz in Unternehmen, insbesondere für die Multi-Faktor-Authentifizierung von Mitarbeitenden oder für eine starke Kundenauthentifizierung, sind gerätegebundene Passkeys die bessere Wahl.

Der Grund liegt vor allem in der höheren Sicherheit. Da der private Schlüssel fest an ein bestimmtes Gerät gebunden ist und dieses nie verlässt, sind solche Passkeys besonders widerstandsfähig gegen Phishing-Angriffe. Selbst wenn Nutzer auf eine manipulierte Website hereinfallen, kann der Anmeldeprozess nicht erfolgreich abgeschlossen werden. Hinzu kommt: Die Angriffsfläche wird deutlich reduziert. Gerätegebundene Passkeys lassen sich nicht über mehrere Geräte hinweg synchronisieren. Angreifer können sie also nicht aus der Ferne abgreifen – selbst dann nicht, wenn sie Zugriff auf ein Benutzerkonto erlangen.

Gerade in Unternehmensumgebungen mit kritischen Systemen oder sensiblen Daten gelten hohe Anforderungen an eine starke Multi-Faktor-Authentifizierung. Gerätespezifische Anmeldedaten erfüllen diese Anforderungen deutlich besser als klassische Passwort-Konstrukte und sind damit eine belastbare Grundlage für moderne Sicherheitskonzepte.

Fazit

Die Kombination aus Passkeys und Multi-Faktor-Authentifizierung bietet einen Sicherheitsansatz, der Passwörter sowohl technisch als auch regulatorisch klar überholt. Gleichzeitig steigt der Komfort für Nutzer erheblich: keine komplizierten Passwortregeln mehr, kein Aufschreiben von Zugangsdaten und kein Speichern in unsicheren Browsern. Bei der Einführung von Passkeys ist ein pragmatisches Vorgehen entscheidend. Unternehmen sollten dort auf gerätegebundene Passkeys setzen, wo Sicherheit oberste Priorität hat – etwa in internen IT-Umgebungen oder in hochsensiblen B2B- und B2C-Szenarien. In Anwendungen, bei denen Benutzerfreundlichkeit im Vordergrund steht und das Risiko geringer ist, können synchronisierte Passkeys sinnvoll sein, etwa in kundenorientierten Apps.

Richten Unternehmen ihre Passkey-Strategie konsequent am eigenen Risikoprofil und an den Bedürfnissen ihrer Nutzer aus, können sie Passwörter endlich ablösen – ohne Abstriche bei der Sicherheit und ohne die Nutzer zu verärgern.