Change your Password Day 2026 – Bringt Passkeys und Multi-Faktor Authentifizierung endlich in die Fläche
01.02.2026
Simon McNally, Solution Consultant Director for Workforce IAM, Europa bei Thales
Wir befinden uns im Jahr 2026 und immer noch diskutieren wir über Passwörter. Diese werden für Nutzer länger und komplexer, darüber hinaus steigt die Häufigkeit, wie diese auszutauschen sind. Compliance ist hier allein nicht hilfreich, denn Zugangssicherheit sollte schon lange nicht mehr über Passwörter gemanagt werden. Die technologische Innovation ist längst einen Schritt weiter und es wird Zeit, dass dies auch in der Fläche umgesetzt wird.
Passkeys stellen eine der wichtigsten technologischen Innovationen der letzten Jahre dar, sie sind Phishing-resistente Anmeldedaten, die auf den FIDO2-Standards basieren. Im Gegensatz zu Passwörtern können sie nicht wiederverwendet, erraten oder durch Phishing abgegriffen werden. Sie werden auf dem Gerät des Benutzers gespeichert und durch biometrische oder PIN-basierte lokale Authentifizierung gesichert.
Aufgrund ihrer unterschiedlichen Eigenschaften eignen sich gerätegebundene und synchronisierte Passkeys am besten für unterschiedliche Szenarien. Für Multi Faktor-Authentifizierung von Mitarbeiterinnen und Mitarbeitern und starke Kundenauthentifizierung sollten Unternehmen gerätegebundene Passkeys bevorzugen.
Zum einen sind sie Phishing-resistenter. Passkeys, die an ein bestimmtes Gerät gebunden sind, bieten erhöhte Sicherheit, da der private Schlüssel sicher gespeichert bleibt und das Gerät nie verlässt. Selbst wenn ein Benutzer durch einen Phishing-Versuch getäuscht wird, kann der Authentifizierungsprozess nicht erfolgreich durchgeführt werden.
Zum anderen reduzieren sie die Angriffsfläche. Anmeldedaten können nicht geräteübergreifend synchronisiert werden, deshalb können Angreifer diese nicht aus der Ferne abrufen, selbst wenn sie Zugriff auf das Konto des Benutzers erhalten.
Darüber hinaus gelten in vielen Unternehmensumgebungen, insbesondere solchen, die mit kritischen Systemen oder sensiblen Informationen umgehen, strenge Anforderungen für eine starke Multi-Faktor-Authentifizierung. Gerätespezifische Anmeldedaten sind im Vergleich besser dazu geeignet, um diese höheren Sicherheitsstandards zu erfüllen.
Fazit
Mit dem Zusammenspiel aus Passkeys und Multi-Faktor-Authentifizierung entsteht ein Sicherheitsansatz, der Passwörter sowohl in puncto Sicherheit als auch in puncto Compliance schlägt. Zudem wird es für Nutzer komfortabler, wenn sie sich nicht immer wieder neue lange Passwörter ausdenken müssen, diese aufzuschreiben oder in schlecht geschützten Browsern zu speichern.
Bei der Einführung von Passkeys sollten Unternehmen pragmatisch vorgehen. Sie sollten gerätegebundene Passkeys dort einsetzen, wo Sicherheit am wichtigsten ist, beispielsweise in den eigenen Unternehmensumgebungen oder hochsensiblen B2B- und B2C-Umgebungen. Bei den Anwendungen, die von ihren Kunden genutzt werden und bei denen der Komfort im Vordergrund steht, bietet es sich an, synchronisierte Passkeys einzusetzen z. B. in benutzerorientierten Apps oder in Szenarien mit geringerem Risiko für die Kundenauthentifizierung.
Wenn Unternehmen ihre Passkey-Strategie auf ihr eigenes Risikoprofil und ihre Nutzerbasis abstimmen, können sie Passwörter endlich ablösen. Dies geschieht dann, ohne die Sicherheit zu beeinträchtigen oder Nutzer zu frustrieren.
Change your Password Day 2026 – Bringt Passkeys und Multi-Faktor Authentifizierung endlich in die Fläche
01.02.2026
Simon McNally, Solution Consultant Director for Workforce IAM, Europa bei Thales
Wir befinden uns im Jahr 2026 und immer noch diskutieren wir über Passwörter. Diese werden für Nutzer länger und komplexer, darüber hinaus steigt die Häufigkeit, wie diese auszutauschen sind. Compliance ist hier allein nicht hilfreich, denn Zugangssicherheit sollte schon lange nicht mehr über Passwörter gemanagt werden. Die technologische Innovation ist längst einen Schritt weiter und es wird Zeit, dass dies auch in der Fläche umgesetzt wird.
Passkeys stellen eine der wichtigsten technologischen Innovationen der letzten Jahre dar, sie sind Phishing-resistente Anmeldedaten, die auf den FIDO2-Standards basieren. Im Gegensatz zu Passwörtern können sie nicht wiederverwendet, erraten oder durch Phishing abgegriffen werden. Sie werden auf dem Gerät des Benutzers gespeichert und durch biometrische oder PIN-basierte lokale Authentifizierung gesichert.
Aufgrund ihrer unterschiedlichen Eigenschaften eignen sich gerätegebundene und synchronisierte Passkeys am besten für unterschiedliche Szenarien. Für Multi Faktor-Authentifizierung von Mitarbeiterinnen und Mitarbeitern und starke Kundenauthentifizierung sollten Unternehmen gerätegebundene Passkeys bevorzugen.
Zum einen sind sie Phishing-resistenter. Passkeys, die an ein bestimmtes Gerät gebunden sind, bieten erhöhte Sicherheit, da der private Schlüssel sicher gespeichert bleibt und das Gerät nie verlässt. Selbst wenn ein Benutzer durch einen Phishing-Versuch getäuscht wird, kann der Authentifizierungsprozess nicht erfolgreich durchgeführt werden.
Zum anderen reduzieren sie die Angriffsfläche. Anmeldedaten können nicht geräteübergreifend synchronisiert werden, deshalb können Angreifer diese nicht aus der Ferne abrufen, selbst wenn sie Zugriff auf das Konto des Benutzers erhalten.
Darüber hinaus gelten in vielen Unternehmensumgebungen, insbesondere solchen, die mit kritischen Systemen oder sensiblen Informationen umgehen, strenge Anforderungen für eine starke Multi-Faktor-Authentifizierung. Gerätespezifische Anmeldedaten sind im Vergleich besser dazu geeignet, um diese höheren Sicherheitsstandards zu erfüllen.
Fazit
Mit dem Zusammenspiel aus Passkeys und Multi-Faktor-Authentifizierung entsteht ein Sicherheitsansatz, der Passwörter sowohl in puncto Sicherheit als auch in puncto Compliance schlägt. Zudem wird es für Nutzer komfortabler, wenn sie sich nicht immer wieder neue lange Passwörter ausdenken müssen, diese aufzuschreiben oder in schlecht geschützten Browsern zu speichern.
Bei der Einführung von Passkeys sollten Unternehmen pragmatisch vorgehen. Sie sollten gerätegebundene Passkeys dort einsetzen, wo Sicherheit am wichtigsten ist, beispielsweise in den eigenen Unternehmensumgebungen oder hochsensiblen B2B- und B2C-Umgebungen. Bei den Anwendungen, die von ihren Kunden genutzt werden und bei denen der Komfort im Vordergrund steht, bietet es sich an, synchronisierte Passkeys einzusetzen z. B. in benutzerorientierten Apps oder in Szenarien mit geringerem Risiko für die Kundenauthentifizierung.
Wenn Unternehmen ihre Passkey-Strategie auf ihr eigenes Risikoprofil und ihre Nutzerbasis abstimmen, können sie Passwörter endlich ablösen. Dies geschieht dann, ohne die Sicherheit zu beeinträchtigen oder Nutzer zu frustrieren.