Immer mehr Unternehmen und Sicherheitsbehörden setzen auf Passkeys – kryptografische Schlüssel, die auf biometrischen Daten oder physischen Geräten basieren. Allein Amazon vermeldete am vergangenen Wochenende einen Meilenstein: 456 Millionen Nutzer verwenden mittlerweile passwortlose Anmeldungen auf den Plattformen Marketplace, Audible und AWS. Das ist ein Anstieg um 75 Prozent im Vergleich zum Vorjahr.
Angesichts von 4,7 Millionen gehackten Konten pro Quartal in Deutschland wird der Umstieg auf sicherere Log-in-Verfahren immer dringlicher. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Passkeys bei Diensten wie Amazon oder WhatsApp sofort einrichten und Passwort-Stress dauerhaft vermeiden. Passkeys-Ratgeber kostenlos herunterladen
Britische Behörde empfiehlt radikalen Wechsel
Das britische National Cyber Security Centre (NCSC) hat heute offiziell empfohlen, von traditionellen Passwörtern auf Passkeys umzusteigen. Die Behörde betont, dass diese Methode grundlegend resistenter gegen Phishing sei als herkömmliche textbasierte Zugangsdaten. Auch Microsoft forciert den Wandel: Der Konzern macht Passkeys zum Standard für alle neuen Konto-Registrierungen.
Laut Daten der FIDO Alliance sind weltweit bereits rund fünf Milliarden Passkeys im Einsatz. Die Log-in-Prozesse seien bis zu sechsmal schneller als bei herkömmlichen Methoden, so Amazon.
Alte Passwörter sind ein leichtes Spiel für Hacker
Die Dringlichkeit des Wandels wird durch alarmierende Zahlen untermauert. Zum „World Password Day“ Anfang Mai präsentierte eine Studie erschreckende Ergebnisse: 60 Prozent von 231 Millionen geleakter Passwort-Hashes ließen sich in weniger als einer Stunde mit handelsüblicher Grafikkarten-Hardware knacken. Fast die Hälfte aller Passwörter war sogar in unter 60 Sekunden kompromittiert.
Die traditionellen Hash-Algorithmen wie MD5 bieten längst keinen ausreichenden Schutz mehr. Angesichts rasant steigender GPU-Leistung und KI-gestützter Angriffe sind klassische Passwörter technisch überholt.
Neue Bedrohungen: QR-Code-Phishing auf dem Vormarsch
Die Bedrohungslage verschärft sich weiter. Allein im ersten Quartal 2026 wurden über 8,3 Milliarden Phishing-Versuche registriert. Besonders rasant wächst die Gefahr durch sogenanntes „Quishing“ – Phishing über QR-Codes. Die Zahl solcher Angriffe stieg zwischen Januar und März um 146 Prozent.
Die Kampagne „SwapUpdate“ etwa zielte auf mehr als 35.000 Nutzer in 13.000 Organisationen in 26 Ländern ab, besonders in den Bereichen Gesundheitswesen und Finanzen. Die Täter nutzen hochentwickelte „Adversary-in-the-Middle“-Techniken, die selbst Multi-Faktor-Authentifizierung umgehen können.
Ein schwerwiegender Vorfall bei DigiCert Anfang April zeigte zudem, dass menschliche Faktoren eine zentrale Schwachstelle bleiben. Angreifer erschlichen sich 27 digitale Zertifikate durch einen Chat-Angriff auf einen Support-Mitarbeiter – trotz mehrfacher Sicherheitsblockaden.
Google-Passkeys: Neue Technik, neue Risiken
Doch auch die passwortlose Zukunft bringt Herausforderungen. Aktuelle Forschungsergebnisse zeigen potenzielle Risiken in der Cloud-Synchronisation von Passkeys. Viele Anbieter nutzen Cloud-Manager, um Zugangsdaten zwischen Geräten zu synchronisieren – was neue Angriffspunkte schafft.
Rund 40 Prozent der Organisationen betreiben derzeit hybride Umgebungen mit sowohl alten Passwörtern als auch modernen Passkeys. Die FIDO Alliance arbeitet daher am „Credential Exchange Protocol“ (CXP/CXF), das einen plattformunabhängigen Austausch von Zugangsdaten ermöglichen soll.
Während neue Technologien wie Passkeys den Komfort erhöhen, dürfen grundlegende Sicherheits-Updates für Mobilgeräte nicht vernachlässigt werden. Erfahren Sie in diesem Gratis-Report, wie Sie Ihr Smartphone mit den richtigen Einstellungen und automatischen Updates wirksam vor Hackern absichern. Gratis-Ratgeber für Smartphone-Sicherheit sichern
Künstliche Intelligenz als Game-Changer
Die Integration von KI in Authentifizierungssysteme beschleunigt sich rasant. Google Cloud hat gemeinsam mit 120 Partnern das „Agentic Payments Protocol“ (AP2) vorgestellt. Dieses Protokoll erlaubt KI-Agenten, Transaktionen mit Stablecoins und digitalen Vermögenswerten durchzuführen – ein Bereich, der für klassische Bankkonten unzugänglich bleibt.
Gleichzeitig entstehen neue Bedrohungen: Sicherheitsforscher entdeckten mit PromptSpy den ersten Android-Trojaner, der Googles KI Gemini nutzt, um Daten direkt vom Sperrbildschirm zu stehlen. Der TCLBANKER-Trojaner wiederum verbreitet sich über WhatsApp und Outlook und zielt auf Finanz- und Kryptowährungs-Apps ab.
Quantencomputer: Die nächste Herausforderung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte am 10. Mai vor den langfristigen Risiken durch Quantencomputer. Diese könnten aktuelle Verschlüsselungsstandards wie RSA und ECDSA brechen. Das BSI empfiehlt einen Umstieg auf Post-Quanten-Kryptographie (PQC) oder hybride Verschlüsselungsmethoden bis 2031.
Dienste wie Signal, WhatsApp und 1Password haben bereits mit der Implementierung von PQC-Maßnahmen begonnen, um Daten vor „Harvest now, decrypt later“-Angriffen zu schützen – bei denen Angreifer heute Daten sammeln, um sie später mit Quantencomputern zu entschlüsseln.
Ausblick: Das Ende der Passwort-Ära
Mit der erwarteten Einführung von Android 17 im Juni 2026 sollen weitere Schutzmechanismen gegen Banking-Trojaner und unbefugten Zugriff auf Zugangsdaten kommen. Auch Apple arbeitet an verbesserter Ende-zu-Ende-Verschlüsselung für plattformübergreifende Nachrichten.
Der Erfolg der passwortlosen Zukunft hängt maßgeblich von der Standardisierung des Credential-Austauschs und der Bewältigung der Cloud-Synchronisationsrisiken ab. Während Behörden wie das NCSC und das BSI ihre Empfehlungen verschärfen, wird der Passkey vom optionalen Sicherheitsfeature zur zwingenden Voraussetzung für die digitale Teilhabe. Mit fünf Milliarden Passkeys im Umlauf und globalen Betrugsschäden in Milliardenhöhe ist der Abschied vom klassischen Passwort einer der bedeutendsten Wendepunkte in der Geschichte der digitalen Identität.
