EUGSTER.NET • Passwörter sind tot

Seit Jahrzehnten schützen Passwörter unsere digitalen Identitäten. Doch sie gelten längst als eines der schwächsten Glieder der IT‑Sicherheit. Neue Authentifizierungsmethoden versprechen eine Zukunft ohne Passwort – und verändern gerade grundlegend, wie wir uns im Netz ausweisen.

Montagmorgen, 08:17 Uhr. Ein Mitarbeiter öffnet seinen Laptop, klickt auf den Login-Bildschirm und tippt ein Passwort ein, das aus einer Mischung aus Namen, Zahlen und einem Ausrufezeichen besteht. Es ist eines von Dutzenden, die er sich merken muss. Sekunden später erscheint eine Fehlermeldung. Das Passwort stimmt nicht mehr. Vor drei Wochen musste es geändert werden.

Diese Szene spielt sich täglich millionenfach ab. Und sie zeigt ein grundlegendes Problem moderner IT‑Sicherheit: Das Passwort, einst als Schutzmechanismus gedacht, ist heute oft selbst das Sicherheitsrisiko.

Ein Sicherheitskonzept aus einer anderen Zeit

Passwörter entstanden in einer Ära, in der Computer selten waren und Netzwerke klein. Ein einzelner Zugangscode reichte aus, um ein System zu schützen. Doch die digitale Realität hat sich radikal verändert. Menschen besitzen heute dutzende Onlinekonten, von E‑Mail über Cloud‑Dienste bis hin zu Bankzugängen.

Das Ergebnis ist bekannt: Viele Nutzer verwenden identische oder leicht abgewandelte Passwörter. Andere speichern sie unverschlüsselt in Notizen oder Browsern. Gleichzeitig werden jedes Jahr Milliarden Zugangsdaten durch Datenlecks veröffentlicht.

Cyberkriminelle nutzen automatisierte Angriffe, sogenannte Credential‑Stuffing‑Attacken, bei denen gestohlene Passwortlisten systematisch gegen andere Dienste getestet werden. Ein einziges kompromittiertes Passwort kann so eine ganze digitale Identität öffnen.

Warum selbst starke Passwörter nicht mehr reichen

IT‑Abteilungen reagieren darauf seit Jahren mit strengeren Regeln: längere Passwörter, Sonderzeichen, regelmässige Änderungen. Paradoxerweise verschärft genau das oft das Problem. Komplexe Passwortregeln führen dazu, dass Menschen schwer merkbare Kombinationen verwenden oder sie aufschreiben.

Auch technische Schutzmechanismen wie Zwei‑Faktor‑Authentifizierung verbessern die Sicherheit zwar deutlich, lösen aber das Grundproblem nicht. Das Passwort bleibt weiterhin der erste Angriffspunkt.

Der Aufstieg der passwortlosen Anmeldung

Deshalb arbeitet die Branche seit einigen Jahren an einer grundlegenden Alternative: der passwortlosen Authentifizierung. Statt eines geheimen Codes identifiziert sich der Nutzer über ein kryptografisches Schlüsselpaar. Dieses Konzept steht hinter Standards wie FIDO2 und WebAuthn.

Der entscheidende Unterschied: Der geheime Schlüssel verlässt niemals das Gerät des Nutzers. Der Server erhält lediglich eine kryptografische Bestätigung. Selbst wenn eine Plattform kompromittiert wird, können Angreifer daraus keine Passwörter ableiten.

In der Praxis zeigt sich diese Technik in Form sogenannter Passkeys. Nutzer melden sich nicht mehr mit einem Passwort an, sondern bestätigen ihre Identität über biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung.

Warum grosse Plattformen das System wechseln

Unternehmen wie Apple, Google und Microsoft treiben diese Entwicklung massiv voran. Ihre Betriebssysteme unterstützen Passkeys bereits nativ. Der Login erfolgt dabei über Geräte, die Nutzer ohnehin besitzen: Smartphones, Laptops oder Hardware‑Security‑Keys.

Der Komfortgewinn ist erheblich. Statt eines Passwortfelds genügt ein kurzer biometrischer Scan. Gleichzeitig sinkt das Risiko von Phishing‑Angriffen drastisch, weil es kein Passwort mehr gibt, das abgefangen werden könnte.

Die Rolle biometrischer Verfahren

Biometrie wirkt dabei oft spektakulärer, als sie technisch ist. Fingerabdruck oder Gesichtserkennung dienen lediglich als lokaler Schlüssel zum Gerät. Die eigentliche Authentifizierung geschieht kryptografisch im Hintergrund.

Das bedeutet auch: Biometrische Daten werden in modernen Systemen in der Regel nicht an Server übertragen. Sie bleiben lokal im sogenannten Secure Enclave oder Trusted Platform Module des Geräts gespeichert.

Eine neue Architektur digitaler Identität

Die Abschaffung des Passworts verändert mehr als nur den Login‑Bildschirm. Sie verschiebt das gesamte Sicherheitsmodell. Statt Wissen – also eines Passworts – zählt künftig Besitz: das Gerät oder der Sicherheitsschlüssel.

Für Unternehmen bedeutet das eine grundlegende Umstellung ihrer Identitätsinfrastruktur. Identitätsplattformen müssen Passkey‑Standards unterstützen, Geräte registrieren und verlorene Zugänge sicher wiederherstellen können.

Langfristig könnte daraus ein stabileres Identitätssystem entstehen, in dem einzelne Datenlecks nicht mehr automatisch zum grossen Sicherheitsproblem werden.

Der langsame Abschied vom Passwort

Ganz verschwinden werden Passwörter allerdings nicht sofort. Viele ältere Systeme sind technisch darauf angewiesen. Übergangsmodelle, bei denen Passwörter parallel zu Passkeys existieren, werden deshalb noch Jahre verbreitet bleiben.

Trotzdem ist die Richtung klar. Die Sicherheitsbranche betrachtet Passwörter zunehmend als historisches Relikt. Ein Werkzeug, das in der Frühphase des Internets sinnvoll war, aber in einer Welt aus Cloud‑Plattformen, mobilen Geräten und globalen Datenlecks nicht mehr zuverlässig funktioniert.

Vielleicht wird der Login der Zukunft so unspektakulär sein, dass wir ihn kaum noch bemerken. Ein kurzer Blick auf das Smartphone, ein Finger auf dem Sensor – und der Zugang ist gewährt. Kein Passwort, das vergessen werden kann. Kein Zettel unter der Tastatur.

Nur eine stille Bestätigung im Hintergrund, dass die richtige Person vor dem richtigen Gerät sitzt.