Passwortverfahren gelten schon lange als überholt und veraltet – aus gutem Grund. Das Gros der erfolgreichen Cyberangriffe der vergangenen Jahre, es lässt sich zu einem erheblichen Teil auf den Missbrauch unrechtmäßig erworbener Anmeldedaten – in der Regel von Nutzername und Passwort – zurückführen. Dennoch wird die Authentifizierungslandschaft nach wie vor von Passwortverfahren dominiert – auch in Deutschland.
Sichereren Alternativen zu Username und Passwort blieb der große Durchbruch lange verwehrt. Jetzt scheint der Anfang vom Ende der Passwortverfahren aber unmittelbar bevorzustehen.
(Bild: greenbutterfly - stock.adobe.com)
300 Milliarden Passwörter, so der 2022 Cybersecurity Almanac von Cybersecurity Ventures, sind derzeit täglich im Einsatz, um Menschen und Maschinen einen mehr oder minder abgesicherten Zugang zu einer Anwendung oder einem IT-System zu ermöglichen. Eine gewaltige Menge – und ein ebenso gewaltiges globales Sicherheitsproblem. Denn über 80 Prozent aller Cyberangriffe auf Internetanwendungen des vergangenen Jahres, so Verizons 2022 Data Breach Investigations Report, hingen und hängen mit der unrechtmäßigen Entwendung und dem Missbrauch von Anmeldedaten – im Regelfall von Nutzername und Passwort – zusammen.
Nicht zwangsläufig müssen die Cyberkriminellen hierzu zeitaufwendige Phishing- oder Spear Phishing-Angriffe unternehmen, müssen sie in den Einkauf von Nutzerdatenbanken im Dark Web investieren. Häufig genug können sie sich einfach auf ihr Glück verlassen. Jedes Jahr gibt das in Potsdam ansässige Hasso-Plattner-Institut die ‚Lieblingspasswörter‘ der Deutschen bekannt. 2021 landete auf Platz 1: ‚123456‘. Gefolgt von ‚passwort‘, ‚12345‘, ‚hallo‘ und ‚123456789‘. Vergleicht man diese Zahlen- und Buchstaben-Kombinationen mit den – annähernd identischen – Erhebungen der vergangenen Jahre, so wird rasch deutlich: es ist nicht sonderlich kompliziert, ‚auf gut Glück‘ erfolgreich die Passwortsicherung eines deutschen Computer-, Laptop-, Tablet- oder Smartphone-Nutzers zu knacken.
Passwortverfahren – mehr Schaden als Nutzen…
Dennoch dominiert die Kombination von Nutzername und Passwort inner- wie außerhalb Deutschlands nach wie vor die Authentifizierungslandschaft. Nutzer und Entwickler von IT-Anwendungen sind mit ihnen aufgewachsen, sind es gewohnt, sich Konten mit Passwortschutz anzulegen und sich mit diesen anzumelden. Entsprechend repräsentieren Passwörter in den meisten Anwendungen nach wie vor den Authentifizierungsstandard. Und dies trotz dreier zentraler Nachteile:
geringe Nutzerfreundlichkeit: Passwörter sind für Nutzer nur schwer zu merken. Häufig müssen sie umständlich notiert werden. Und ihre Eingabe wird oft als störend empfunden.
Hohe Wartungsauslastung: Passwörter müssen von der IT-Abteilung gemanagt werden. IT-Fachkräfte verschwenden einen erheblichen Teil ihrer wertvollen Arbeitszeit mit dem Zurücksetzen von Passwörtern.
Geringe Sicherheit: Cyberkriminellen stehen mittlerweile ausreichend Ressourcen, Tools und Verfahren zur Verfügung, um Passwortverfahren effektiv und effizient auszuhebeln. Dabei kommt ihnen zusätzlich zugute, dass private wie institutionelle Nutzer häufig dazu neigen – aufgrund der geringen Nutzer- und Wartungsfreundlichkeit der Verfahren – freiwillig Abstriche beim Faktor Sicherheit zu machen.
… und nur wenig Optimierungspotential
Natürlich können zusätzliche Maßnahmen ergriffen werden, um die Sicherheit von Passwortverfahren zu erhöhen: durch Verlängerung der Zeichenzahl, Verwendung von Groß- und Kleinbuchstaben, Zahlen und Symbolen und nicht im Duden vorkommender Wörter kann die Komplexität eines Passworts – und damit seine Sicherheit – spürbar angehoben werden. Außerdem können Passwörter nach jeder erkannten Datenschutzverletzung geändert, für jede Anwendung neu ausgewählt und von automatisierten Management-Tools erdacht, gespeichert und eingesetzt werden. Proaktiv können Nutzer im Internet recherchieren, ob ihr Passwort kompromittiert wurde. Entsprechende Tools stehen längst zur Verfügung. Und schließlich besteht die Möglichkeit, Passwortverfahren – im Rahmen einer 2- oder auch Multi-Faktor-Authentifizierung – durch Ausstattung mit einem zusätzlichen Faktor sicherer zu machen. Das Problem: all diese Maßnahmen erhöhen zwar die Sicherheit des Verfahrens – machen es Angreifern also schwerer, das Passwort zu knacken – erschweren es am Ende aber eben auch den Nutzern, das Verfahren zu managen, ihre Passwörter im Griff zu behalten. Nicht selten enden die ‚Optimierungsbemühungen‘ dann damit, dass die Nutzer aus Bequemlichkeit – um die Nutzerfreundlichkeit anzuheben – doch wieder zu leichter zu merkenden Passwörtern oder der Nutzung eines Passworts für mehrere Anwendungen zurückkehren. Kein Wunder, dass eine wachsende Zahl von IT-Spezialisten die Meinung vertritt, dass die Zukunft der Authentifizierung nicht in der Optimierung der Passwort-, sondern in der Implementierung alternativer, passwortloser Verfahren liegt.
Passwortlose Nutzerauthentifizierungen als Ausweg
Tatsächlich bestehen schon länger effektive Lösungen, mit denen Nutzer sich passwortlos authentifizieren können: über Tokens, Smartcards und Endgeräte, wie Smartphones, über biometrische Verfahren, wie Scans des Gesichts, der Stimme oder des Fingerabdrucks, oder auch Analysen ihres Verhaltens innerhalb eines IT-Systems oder einer Anwendung. Sie alle weisen gegenüber traditionellen Passwortlösungen erhebliche Vorteile auf. Sie:
sind nutzerfreundlicher, da sich der Anwender nicht mehr umständlich komplexe Informationen merken muss und Zugänge schnell und unkompliziert freischalten kann,
sind weniger arbeitsaufwendig für die IT-Abteilung, da die Zeit, die ihre Mitarbeiter in das Management der Passwörter stecken müssen, entfällt und
machen Angriffe für Cyberkriminelle komplizierter und damit kostspieliger.
Und dennoch: der große Durchbruch blieb ihnen bislang verwehrt. Gegen die Macht der Gewohnheit, gegen den bestehenden Authentifizierungsstandard, konnten sich die Verfahren nicht durchsetzen. Das dürfte sich bald ändern.
Stichjahr 2023 – der Anfang vom Ende der Nutzername-Passwortkombination
Denn zum diesjährigen Welt-Passwort-Tag, dem 5. Mai, hat Google für seine Plattform den baldigen Anfang vom Ende passwortgestützter Authentifizierungsverfahren verkündet. Und nicht nur bei Google tut sich in dieser Hinsicht derzeit einiges. Seit geraumer Zeit arbeiten ‚die großen Drei‘ – Google, Apple und Microsoft – zusammen mit der FIDO Alliance, daran, einen neuen, plattformübergreifenden Anmeldestandard zu implementieren: das ‚Passkey‘-System. Statt auf Passwörter setzen sie dabei konsequent auf passwortlose Alternativverfahren. Nutzer können sich über ein Endgerät mit ihrem Gesicht, ihrem Fingerabdruck oder ihrer Geräte-PIN authentifizieren. Einmal angemeldet, können sie dann Geräte- und Plattform-übergreifend auf ihre Passkeys zugreifen, sich für einen Dienst oder eine App anmelden. Google, Apple und Microsoft haben sich verpflichtet, die Lösung bis Ende 2023 in ihre Plattformauthentifizierung zu integrieren. Die globale Authentifizierungslandschaft wird dieser gemeinsame Schritt – davon ist auszugehen – nachhaltig prägen. Nutzer werden sich rasch an die unkomplizierte, schnelle und vor allem einmalige Authentifizierung gewöhnen. So ist davon auszugehen, dass den ‚großen drei‘ schon bald Internet-Dienste und Anwendungs-Entwickler folgen werden – weg vom Passwort-, hin zum Passkey-System oder einem vergleichbaren passwortlosen Verfahren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Bis zum endgültigen Ende des Passworts wird es dann zwar noch eine geraume Weile dauern, doch wird es sich zweifellos um einen überschaubaren Zeitraum handeln. Die Zukunft der Authentifizierung, soviel kann schon heute gesagt werden, sie wird in passwortlosen Verfahren liegen.
Über den Autor: Thomas Schneider ist Regional Sales Director bei Ping Identity.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/31/d4/31d4b366924d88dc446efaf4471563d7/0125926006v1.jpeg "Im Podcast haken wir nach: Wie schnell werden wir das Passwort wirklich los? (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/70/56/70567b2c00f6b918072aacfd0d40f629/0106450499.jpeg "Die FIDO-Erweiterungen für „multi-device credentials“ und „roaming authenticator“ werden allgemein verfügbar. (Bild: fidoalliance.org (bearb.))")
:quality(80)/p7i.vogel.de/wcms/5f/ff/5fff56db982e32c617379295fa2f98dd/0125925965v1.jpeg "MFA mit Passkeys (FIDO2) ist heute mehr als eine Zusatzmaßnahme, sie ist der Kern einer modernen Sicherheitsstrategie. (Bild: Swissbit)")
:quality(80)/p7i.vogel.de/wcms/72/69/7269d6030ca13ba6c8d50670db2a6728/0126359392v2.jpeg "Passkeys sind eine sichere Alternative, um den Schutz vor Phishing-Angriffen zu erhöhen. (Bild: Dall-E / KI-generiert)")