Passwörter verlieren. Passkeys werden zum neuen Standard

Viele Menschen halten ihr Passwort noch immer für eine ausreichende Schutzmauer. Nach den aktuellen Daten ist es eher eine Sollbruchstelle. Sicherheitsforscher, die 2025 insgesamt 19 Milliarden geleakte Zugangsdaten ausgewertet haben, kamen zu einem ernüchternden Ergebnis: Nur 6 Prozent der Credentials waren einzigartig. Die übrigen 94 Prozent bestanden aus wiederverwendeten, recycelten oder nur leicht veränderten Passwörtern, wie eine Analyse von DeepStrike auf Basis von SpyCloud-Daten zeigt.

Die Zahl, die die Passwortdebatte beendet

Diese 94 Prozent sind mehr als eine unschöne Gewohnheit. Sie erklären, warum Passwörter für Angreifer zu einem industriell nutzbaren Rohstoff geworden sind. Der DBIR 2025 von Verizon weist aus, dass gestohlene Zugangsdaten bei 22 Prozent der untersuchten Sicherheitsverletzungen den ersten Zugang ermöglichten. Hinzu kommt, dass Credential-Stuffing-Angriffe, bei denen gestohlene Kombinationen aus Benutzername und Passwort massenhaft gegen unterschiedliche Dienste getestet werden, im Durchschnitt 19 Prozent aller Authentifizierungsversuche bei Single-Sign-on-Anbietern ausmachen. An besonders problematischen Tagen steigt dieser Anteil auf 44 Prozent.

Gerade aus deutscher Perspektive ist diese Entwicklung bemerkenswert. Seit Jahren prägen Datenschutz, Zweckbindung und technische Schutzmaßnahmen die Debatte, nicht zuletzt durch die DSGVO. Passwörter wirken daneben zunehmend wie ein Relikt aus einer Zeit, in der man Sicherheit vor allem als Verhaltensfrage verstand. Die Daten legen jedoch nahe, dass das Problem systemischer ist: Ein Verfahren, das auf wiederholbares Wissen setzt, scheitert regelmäßig an seiner eigenen Architektur.

Warum Passkeys strukturell überlegen sind

Passkeys setzen genau dort an. Der Passkey Index 2025 der FIDO Alliance, für den unter anderem Daten von Amazon, Google, Microsoft, PayPal, Target und TikTok herangezogen wurden, nennt eine Erfolgsquote von 98 Prozent bei der Anmeldung mit Passkeys. Klassische Passwörter kommen auf 32 Prozent. Das ist kein kleiner Usability-Gewinn, sondern ein deutlicher Hinweis auf einen technologischen Wechsel.

Technisch betrachtet erzeugt eine Passkey-Anmeldung für jedes Konto ein eigenes kryptografisches Schlüsselpaar. Ein Schlüssel verbleibt auf Ihrem Gerät, der andere beim jeweiligen Dienst. Beim Login weist das Gerät nach, dass es den privaten Schlüssel besitzt, meist per Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Ein abfangbares oder wiederverwendbares Geheimnis wird dabei gerade nicht übertragen. Das reduziert Phishing-Risiken und erschwert Replay-Angriffe erheblich.

Auch im Alltag ist der Unterschied spürbar. Laut einer Microsoft-Analyse zur Passkey-Einführung ist die Anmeldung mit Passkey dreimal schneller als die Eingabe eines Passworts und achtmal schneller als Passwort plus klassische Mehrfaktor-Authentifizierung. TikTok verdoppelte damit seine Login-Erfolgsquote; Zoho berichtete von einer sechsfach schnelleren Anmeldung.

Die großen Plattformen stellen bereits um

Google, Apple und Microsoft behandeln Passkeys längst nicht mehr als nette Zusatzfunktion. Google verzeichnet inzwischen mehr als 800 Millionen Konten mit Passkeys und meldet für diese Nutzer eine um 99,9 Prozent niedrigere Kompromittierungsrate, wie die zusammengefassten Zahlen von DeepStrike nahelegen. Amazon gewann innerhalb des ersten Jahres 175 Millionen Nutzer für das Verfahren. Microsoft registriert nahezu eine Million neue Passkeys pro Tag und stellte ab Mai 2025 die Standardauthentifizierung für alle neuen Konten um. Allein dieser Schritt führte zu einem Anstieg der Passkey-Anmeldungen um 120 Prozent.

Apple beseitigte im September 2025 eine weitere Hürde: Mit iOS 26 kam die Übertragbarkeit von Zugangsdaten über den Credential-Exchange-Standard. Damit fiel ein zentraler Einwand gegen das Modell, nämlich die Sorge vor Anbieterbindung. Ende 2025 verfügten bereits 69 Prozent der Nutzer über mindestens einen Passkey, nachdem die Bekanntheit zwei Jahre zuvor noch bei 39 Prozent gelegen hatte, so die FIDO-Erhebung. Gartner geht davon aus, dass Passkeys bis 2027 zur primären Authentifizierungsmethode werden.

Warum ein Passwortmanager nicht mehr genügt

Passwortmanager bleiben sinnvoll. Sie mildern das Gedächtnisproblem und fördern einzigartige Passwörter. Allerdings beheben sie nicht die Grundschwäche des Modells: Das Passwort bleibt ein gemeinsam genutztes Geheimnis, das gespeichert, übertragen und im Fall eines Diebstahls unmittelbar missbraucht werden kann.

Der Verizon-Bericht zeigt, dass Infostealer-Malware allein 2024 insgesamt 548 Millionen Passwörter und 17 Milliarden Session-Cookies abgegriffen hat. Auf kompromittierten Geräten waren zudem nur 49 Prozent der Passwörter eines Nutzers dienstübergreifend wirklich unterschiedlich, selbst wenn ein Passwortmanager verwendet wurde. Hinzu kommt das Session-Hijacking: Angreifer müssen weder Passwort noch zweiten Faktor stehlen, wenn sie stattdessen den bereits gültigen Cookie übernehmen, wie ein Bericht zu kompromittierten Zugangsdaten erläutert.

Was jetzt vernünftig wäre

Wer die eigene Sicherheit systematisch verbessern möchte, sollte Passkeys zuerst für E-Mail, Bankzugänge, Bezahldienste und andere Schlüsselknoten aktivieren. Der Passwortmanager bleibt dabei nützlich, allerdings in einer neuen Rolle: für Dienste ohne Passkey-Unterstützung und als Speicherort für Passkeys, sofern der Dienst dies zulässt. Ebenso sinnvoll ist es, biometrische Entsperrung auf Smartphone und Laptop konsequent zu aktivieren. Schließlich lohnt eine nüchterne Bestandsaufnahme der am häufigsten wiederverwendeten Passwörter.

Die Wiederverwendungsquote von 94 Prozent ist kein individuelles Versagen. Sie ist das vorhersehbare Ergebnis eines Systems, das Menschen dazu zwingt, Dutzende oder Hunderte unterschiedlicher Zeichenfolgen auswendig zu können. Passkeys folgen einer anderen Logik: Sie nehmen den angreifbarsten Teil aus dem Prozess heraus. Gerade in einer Sicherheitskultur, die auf belastbare Verfahren statt bloße Disziplin setzt, ist das mehr als Komfort. Es ist die folgerichtige nächste Stufe.