Wie Sie vollständig passwortlos werden

1. Einleitung: Warum die Einführung von Passkeys nicht das Ziel ist#

Die Implementierung von Passkeys stellt einen monumentalen Fortschritt in der Authentifizierungssicherheit dar, aber sie ist nicht das Ende der Reise. Wenn Sie bereits Passkeys eingeführt haben, freuen Sie sich wahrscheinlich über verbesserte Sicherheitsmetriken. Doch wie vollziehen Sie den eigentlichen Übergang von der bloßen Verfügbarkeit von Passkeys zur echten, vollständig passwortlosen Authentifizierung?

Passkeys bieten entscheidende Sicherheitsvorteile durch ihr Phishing-resistentes Design, das Public-Key-Kryptographie verwendet, die an bestimmte Domains gebunden ist. Dadurch wird es für Angreifer unmöglich, Nutzer dazu zu verleiten, sich auf betrügerischen Websites zu authentifizieren. Sie eliminieren die Wiederverwendung von Zugangsdaten (Credential Reuse), da jeder Passkey einzigartig für einen bestimmten Dienst ist. Das bedeutet, dass die Kompromittierung eines Dienstes keine Auswirkungen auf andere hat. Darüber hinaus bieten sie Immunität gegen Brute-Force-Angriffe, indem sie auswendig gelernte Geheimnisse durch kryptographische Schlüssel ersetzen, die weder erraten noch geknackt werden können.

Dennoch verpuffen diese starken Vorteile in dem Moment, in dem ein Nutzer die Passkey-Authentifizierung umgehen und sich stattdessen mit einem Passwort einloggen kann. Das wirft eine entscheidende Frage auf: Warum reichen Passkeys allein nicht für vollständige Sicherheit aus? Die Antwort liegt in der Erkenntnis, dass Angreifer versuchen werden, durch die Passwort-Tür zu gehen, solange diese offen bleibt. Noch wichtiger ist die Frage: Warum ist die Account-Wiederherstellung (Account Recovery) die versteckte Schwachstelle, die Ihre gesamte Passkey-Implementierung untergraben kann? Aktuelle, aufsehenerregende Sicherheitsvorfälle haben gezeigt, dass Angreifer zunehmend auf Recovery-Flows anstatt auf die primäre Authentifizierung abzielen.

Dieser Artikel führt Sie durch die gesamte Reise – von der Implementierung von Passkeys bis hin zur Erreichung echter passwortloser Sicherheit – und beantwortet jede dieser kritischen Fragen mit praxisnahen Lösungen und Beispielen aus der realen Welt.

Was bedeutet "passwortlos" eigentlich wirklich?#

Echte passwortlose Authentifizierung bedeutet, Passwörter vollständig aus Ihrer Sicherheitsarchitektur zu entfernen. In einem passwortlosen System können Nutzer an keinem Punkt ihrer Authentifizierungsreise Passwörter festlegen, zurücksetzen oder verwenden. Stattdessen verlässt sich die Authentifizierung ausschließlich auf kryptographische Methoden wie Passkeys.

Viele Organisationen behaupten, "passwortlos" zu sein, behalten aber im Hintergrund weiterhin Passwörter als Fallback-Option bei. Das ist nicht wirklich passwortlos, sondern lediglich passwortoptional. Diese Unterscheidung ist wichtig, denn solange Passwörter irgendwo in Ihrem System existieren – einschließlich der Recovery-Flows –, bleiben sie eine ausnutzbare Schwachstelle, auf die Angreifer abzielen werden.

2. Die zwei Hintertüren, die die Passkey-Sicherheit untergraben#

Echte passwortlose Sicherheit erfordert sowohl die Eliminierung von Passwörtern aus der primären Authentifizierung ALS AUCH die Sicherstellung, dass Recovery-Prozesse gleichermaßen Phishing-resistent sind.

2.1 Warum Passwörter als Fallback-Option ein erhebliches Sicherheitsrisiko darstellen#

Werden Passwörter als Fallback-Option beibehalten, bleiben sämtliche Angriffsvektoren bestehen, die Passkeys eigentlich eliminieren sollen. Angreifer passen ihre Phishing-Kampagnen einfach an, um auf die Passwort-Eingabe abzuzielen, während Credential-Stuffing- und Password-Spraying-Angriffe weiterhin gestohlene Zugangsdaten aus anderen Datenlecks nutzen. Social Engineering bleibt wirksam, da Nutzer immer noch dazu verleitet werden können, Passwörter an falsche Support-Mitarbeiter preiszugeben.

Solange Passwörter existieren, bleiben sie das schwächste Glied – ein einziger Einstiegspunkt, der die Phishing-resistente Sicherheit von Passkeys vollständig umgeht.

2.2 Die Account-Recovery-Hintertür#

Es reicht auch nicht aus, sich nur das Login-Erlebnis anzusehen. Ein kritischer, aber oft übersehener Angriffsvektor ist der Account-Recovery-Flow. Selbst Organisationen, die Passkeys implementiert haben, können angreifbar bleiben, wenn ihr Wiederherstellungsprozess auf Phishing-anfälligen Methoden wie SMS-OTPs oder E-Mail-Magic-Links basiert.

Denken Sie an das viel beachtete Datenleck bei MGM Resorts im Jahr 2023: Hier zielten die Angreifer nicht auf das primäre Authentifizierungssystem ab, sondern nutzten den Kontowiederherstellungsprozess durch Social Engineering aus und umgingen so alle primären Sicherheitsmaßnahmen. In ähnlicher Weise zeigte der Vorfall beim Okta-Supportsystem, wie Recovery-Flows zum schwächsten Glied werden können, das es Angreifern ermöglicht, Zugangsdaten zurückzusetzen und unbefugten Zugriff auf Kundenumgebungen zu erlangen.

Diese Vorfälle unterstreichen eine entscheidende Wahrheit: Passkeys zu implementieren, ohne den Recovery-Flow abzusichern, ist so, als würde man eine Stahltür einbauen und gleichzeitig die Fenster offen lassen.

3. Der Weg zur Passwortlosigkeit#

Die Erreichung einer echten passwortlosen Authentifizierung ist kein einzelner Schritt – es ist eine strategische Reise, die sorgfältige Planung, durchdachtes Produktdesign und -strategie, eine schrittweise Implementierung und kontinuierliche Optimierung erfordert:

3.1 Phase 1: Passkeys hinzufügen#

Die erste Phase konzentriert sich auf die Einführung von Passkeys als zusätzliche Authentifizierungsmethode, während bestehende Optionen als Fallbacks beibehalten werden. Diese grundlegende Phase gibt den Nutzern Zeit, die neue Technologie zu verstehen und Vertrauen in sie zu fassen, während vertraute Methoden verfügbar bleiben, um Reibungsverluste zu minimieren.

Wichtige Implementierungsschritte:

• Integrieren Sie die Passkey-Authentifizierung in Ihren bestehenden Authentifizierungs-Flow
• Ermöglichen Sie die Erstellung von Passkeys für neue und bestehende Nutzer
• Behalten Sie Passwörter und andere Authentifizierungsmethoden als Alternativen bei
• Verfolgen Sie die Raten zur Erstellung von Passkeys und deren Nutzungsmuster

Erfolgsmetriken:

• Der Prozentsatz der Nutzer, die mindestens einen Passkey erstellt haben, liegt bei über 50 %
• Die Erfolgsquote bei der Erstellung von Passkeys liegt bei über 95 %
• Die anfängliche Passkey-Nutzung für die Authentifizierung erreicht 20 bis 30 %

3.2 Phase 2: Die Akzeptanz von Passkeys steigern#

Sobald Passkeys verfügbar sind, verlagert sich der Fokus auf die Steigerung der Akzeptanz und darauf, Passkeys zur bevorzugten Authentifizierungsmethode zu machen. Diese Phase verwandelt Passkeys von einer alternativen Option in die primäre Authentifizierungswahl durch strategisches Nutzer-Engagement und Optimierung.

Wichtige Implementierungsschritte:

• Machen Sie die Passkey-Authentifizierung zur Standardoption in den Login-Flows
• Implementieren Sie intelligente Prompts, die zur Erstellung eines Passkeys nach erfolgreichen Passwort-Logins ermutigen
• Klären Sie Nutzer durch In-App-Nachrichten über die Sicherheits- und Komfortvorteile auf
• Bieten Sie Anreize für die Passkey-Nutzung (schnellerer Checkout, exklusive Funktionen)
• Führen Sie A/B-Tests mit verschiedenen Nachrichten und UI-Ansätzen durch, um die Conversion zu maximieren
• Implementieren Sie Conditional-Access-Richtlinien (bedingter Zugriff), die Passkeys für sensible Aktionen erfordern

Erfolgsmetriken:

• Über 60 % der aktiven Nutzer haben mindestens einen Passkey
• Über 80 % der Logins verwenden Passkeys bei passkey-fähigen Accounts
• Die Fehlerquote bei der Passkey-Erstellung liegt unter 2 %

3.3 Phase 3: Passwortlos werden#

Hier findet die eigentliche Sicherheitstransformation statt: die vollständige Entfernung von Passwörtern für Nutzer, die konsistent Passkeys verwenden. Diese Phase eliminiert den primären Angriffsvektor durch die Deaktivierung von Passwörtern für Nutzer, die eine erfolgreiche Passkey-Nutzung nachgewiesen haben.

Wichtige Implementierungsschritte:

• Analysieren Sie die Authentifizierungsmuster der Nutzer mithilfe intelligenter Monitoring-Systeme
• Identifizieren Sie Nutzer, die ausschließlich Passkeys mit mehreren passkey-fähigen Geräten verwenden
• Bieten Sie die Passwort-Deaktivierung mit klaren Hinweisen auf die Sicherheitsvorteile an
• Überprüfen Sie die Verfügbarkeit von Backup-Passkeys (Cloud-synchronisiert oder auf mehreren Geräten)

Erfolgsmetriken:

• Über 30 % der infrage kommenden Nutzer entfernen freiwillig ihr Passwort
• Kein Anstieg der Account-Sperrungsraten (Lockouts)
• Beibehaltene oder verbesserte Nutzerzufriedenheitswerte

3.4 Phase 4: Phishing-resistentes Recovery#

Die letzte Phase befasst sich mit der verbleibenden Schwachstelle: die Umwandlung der Account-Wiederherstellung in einen Phishing-resistenten Prozess. Diese Phase stellt sicher, dass die Recovery-Flows dem Sicherheitsniveau der primären Authentifizierung entsprechen und so Hintertür-Angriffe verhindern.

Wichtige Implementierungsschritte:

• Implementieren Sie eine Multi-Faktor-Authentifizierung mit mindestens einem Phishing-resistenten Faktor
• Verfügbare Phishing-resistente Faktoren:
  • Backup-Passkeys: Recovery-Passkeys, die auf sekundären Geräten oder bei Cloud-Diensten gespeichert sind und einen kryptographischen Identitätsnachweis liefern (die am weitesten verbreitete Option)
  • Digital Credentials API: W3C-Standard für kryptographisch verifizierte Identitätsnachweise von vertrauenswürdigen Anbietern (aufkommende Technologie, noch nicht weit verbreitet)
  • Hardware-Sicherheitsschlüssel: Physische FIDO2-Token, die als Wiederherstellungsfaktoren registriert sind und nicht phished oder dupliziert werden können (erfordert, dass Nutzer physische Geräte erwerben und pflegen)
  • Überprüfung von Ausweisdokumenten mit Liveness Detection (Lebenderkennung): Scannen von Behördenausweisen in Kombination mit biometrischen Aktionen in Echtzeit zum Nachweis der physischen Anwesenheit

Hinweis zu Recovery-Optionen: Obwohl die Digital Credentials API und Hardware-Sicherheitsschlüssel eine starke Sicherheit bieten, sind sie noch nicht weit verbreitet. Ersteres ist noch eine neue Technologie, und Letzteres erfordert, dass Nutzer physische Geräte kaufen.

Wenn Backup-Passkeys nicht verfügbar sind, wird die Überprüfung von Ausweisdokumenten mit Liveness Detection zu einer praktikablen Alternative. Trotz möglicher Umwege, Liveness-Checks ohne physischen Besitz eines Ausweises zu umgehen, bieten diese Methoden eine deutlich stärkere Sicherheit als traditionelle OTPs, die leicht durch Phishing, SIM-Swapping oder Man-in-the-Middle-Angriffe abgefangen werden können.

Erfolgsmetriken:

• 100 % der Recovery-Flows umfassen Phishing-resistente Faktoren
• Null erfolgreiche Account-Übernahmen (Account Takeovers) über Wiederherstellungsprozesse
• Die Abschlussraten der Wiederherstellung bleiben bei über 90 %

4. Beispiele für Unternehmen, die begonnen haben, Passwörter zu entfernen#

Die passwortlose Bewegung gewinnt in der gesamten Technologiebranche an Dynamik, wobei führende Unternehmen von Passwörtern abrücken.

4.1 Vollständig passwortlose Organisationen#

Einige Unternehmen haben für ihre internen Abläufe bereits eine vollständige Abschaffung von Passwörtern erreicht. Okta, Yubico und Cloudflare haben intern effektiv eine Passwortnutzung von null erreicht, und ihre Login-Flows akzeptieren Passwörter überhaupt nicht mehr.

4.2 Unternehmen in der aktiven Übergangsphase#

Die Tech-Giganten Google, Apple, Microsoft und X stellen Passwörter aktiv ein, haben sie aber noch nicht vollständig abgeschafft. Ihr Ansatz wägt zwischen Sicherheitsverbesserungen und der Wahlfreiheit der Nutzer während der Übergangsphase ab.

Google hat eine offensive Haltung eingenommen, indem "Passwort überspringen, wenn möglich" standardmäßig für alle Konten auf "EIN" gesetzt wurde. Dadurch werden Passkeys zur bevorzugten Authentifizierungsmethode, während Nutzer bei Bedarf weiterhin widersprechen (opt-out) können. Dieser Opt-out-Ansatz schafft ein starkes Momentum in Richtung Passwortlosigkeit und erhält gleichzeitig Flexibilität für Nutzer, die noch nicht für den Wechsel bereit sind.

Microsoft geht noch einen Schritt weiter, indem es Nutzern schon heute ermöglicht, ihre Passwörter vollständig aus ihren Konten zu entfernen, mit dem Plan, "die Passwortunterstützung in Zukunft irgendwann komplett einzustellen". Diese klare Roadmap signalisiert den Nutzern, dass Passwörter auf Zeit spielen, und fördert eine frühzeitige Akzeptanz passwortloser Methoden.

Apple hat Passkeys in seinem gesamten Ökosystem integriert und fördert aktiv deren Nutzung, obwohl Apple-ID-Passwörter als Fallback-Option verfügbar bleiben. Ihr Ansatz nutzt die nahtlose Synchronisierung über Apple-Geräte hinweg, um die Einführung von Passkeys so reibungslos wie möglich zu gestalten.

Diese Unternehmen erzwingen keinen sofortigen Wechsel, senden aber eine klare Botschaft: Passwörter werden verschwinden, sobald die Akzeptanz eine kritische Masse erreicht. Ihre Strategien beinhalten, Passkeys als Standard festzulegen, Nutzer über die Vorteile aufzuklären und die Passwortfunktionalität schrittweise zu reduzieren.

5. Wann sollten Sie beginnen, Passwörter zu entfernen?#

Die Entscheidung, Passwörter zu entfernen, sollte nicht überstürzt oder pauschal getroffen werden. Verfolgen Sie stattdessen einen datengetriebenen, schrittweisen Ansatz, der Nutzerverhalten, Gerätefähigkeiten und Risikoprofile berücksichtigt.

5.1 Wer sofort mit seiner passwortlosen Reise beginnen sollte#

Hochrisikosektoren, die heute unter schweren Phishing-Angriffen leiden, sollten sofort mit der Umstellung auf passwortlos beginnen, dabei jedoch einem schrittweisen, strategischen Rollout folgen:

• Banken & Finanzinstitute: Hauptziele für den Diebstahl von Zugangsdaten. Für europäische Banken stimmen Passkeys auch mit den Anforderungen der PSD2 für die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) überein. Sie bieten Phishing-resistente MFA, die den regulatorischen Vorschriften entspricht und gleichzeitig die User Experience verbessert.
• Zahlungsdienstleister & Fintechs: Direkter Zugang zu Kundengeldern macht sie attraktiv für die organisierte Cyberkriminalität.
• Kryptowährungsbörsen: Unwiderrufliche Transaktionen bedeuten, dass gestohlene Zugangsdaten zu dauerhaften Verlusten führen.
• Gesundheitswesen & Versicherungen: Sind sowohl mit Compliance-Anforderungen als auch mit Risiken für die Patientensicherheit durch medizinischen Identitätsdiebstahl konfrontiert.
• Behörden & kritische Infrastrukturen: Werden von staatlichen Akteuren mit ausgeklügelten Spear-Phishing-Kampagnen ins Visier genommen.

Für diese Organisationen ist schnelles Handeln entscheidend, aber der Erfolg erfordert dennoch einen methodischen, schrittweisen Rollout-Ansatz. Beginnen Sie heute, aber rollen Sie es strategisch aus, um eine hohe Akzeptanz sicherzustellen und zu vermeiden, dass Nutzer ausgesperrt werden.

5.2 Strategie für einen schrittweisen Rollout#

Beginnen Sie mit einer kleineren Untergruppe: Starten Sie Ihre passwortlose Umstellung mit Nutzern, die eine konsistente Passkey-Nutzung vorweisen. Diese Early Adopter werden Ihnen helfen, potenzielle Probleme vor einer breiteren Einführung zu identifizieren.

Analysieren Sie Muster im Nutzerverhalten:

• Häufigkeit von Logins und verwendete Methoden
• Gerätetypen und Passkey-Kompatibilität
• Fehlgeschlagene Authentifizierungsversuche
• Nutzung des Recovery-Flows
• Geräteübergreifende Authentifizierungsmuster

Nutzer, die auf Basis dieser Muster für eine Passwort-Deaktivierung infrage kommen:

• Authentifizieren sich konsistent via Passkeys – was zeigt, dass sie sich mit der Technologie auskennen
• Nutzen Passkeys auf mehreren Geräten – was darauf hindeutet, dass sie über Backup-Zugriffsmethoden verfügen
• Haben in den letzten 30 bis 60 Tagen keine Passwörter oder Recovery-Flows verwendet – was beweist, dass sie nicht auf passwortbasierte Authentifizierung angewiesen sind

6. Wie Corbado helfen kann#

Corbado bietet eine umfassende Plattform, um Organisationen durch alle vier Phasen der oben beschriebenen passwortlosen Reise zu führen. Von der initialen Passkey-Implementierung bis hin zur vollständigen Eliminierung von Passwörtern übernimmt die Lösung von Corbado die technische Komplexität und stellt gleichzeitig die notwendigen Werkzeuge für eine erfolgreiche Nutzerakzeptanz bereit.

Unterstützung in Phase 1 & 2: Corbado bietet eine nahtlose Integration von Passkeys in bestehende Authentifizierungs-Stacks, intelligente Prompts, welche die Akzeptanzraten maximieren, sowie detaillierte Analysen, um die Erstellung und Nutzung von Passkeys nachzuverfolgen. Die Passkey Intelligence-Funktion der Plattform optimiert die User Experience automatisch basierend auf Gerätefähigkeiten und Nutzerverhalten, um ein reibungsloses Onboarding zu gewährleisten.

Implementierung in Phase 3 & 4: Für Organisationen, die bereit sind, Passwörter vollständig zu entfernen, ermöglicht Corbado die schrittweise Deaktivierung von Passwörtern basierend auf der Bereitschaft der Nutzer, während gleichzeitig sichere, Phishing-resistente Recovery-Flows beibehalten werden.

Durch die Handhabung plattformübergreifender Kompatibilität, Fallback-Mechanismen und der Optimierung der User Experience beschleunigt Corbado die passwortlose Transformation von Jahren auf Monate, sodass sich Organisationen auf ihr Kerngeschäft konzentrieren können, während sie eine Phishing-resistente Authentifizierung erreichen.

Fazit#

Die Reise zur echten passwortlosen Authentifizierung beantwortet die beiden kritischen Fragen, die wir zu Beginn aufgeworfen haben:

Warum reichen Passkeys allein nicht für vollständige Sicherheit aus? Weil Sicherheit nur so stark ist wie ihr schwächstes Glied. Solange Passwörter – selbst als Fallback – verfügbar bleiben, werden Angreifer einfach umschwenken, um diese durch Phishing, Credential Stuffing oder Downgrade-Angriffe ins Visier zu nehmen. Jedes Passwort in Ihrem System untergräbt die Phishing-resistenten Vorteile von Passkeys.

Warum ist die Account-Wiederherstellung die versteckte Schwachstelle? Recovery-Flows sind oft die vergessene Hintertür. Wie die Datenlecks bei MGM Resorts und Okta zeigten, umgehen Angreifer zunehmend robuste Passkey-Implementierungen, indem sie schwächere Wiederherstellungsmethoden wie SMS-OTPs oder E-Mail-Magic-Links ausnutzen. Es ist, als würde man eine Stahltür einbauen, aber die Fenster offen lassen.

Echte passwortlose Sicherheit erfordert den Abschluss der gesamten Reise: Implementierung von Passkeys, Steigerung der Akzeptanz, vollständige Entfernung von Passwörtern und Absicherung der Recovery-Flows mit Phishing-resistenten Methoden. Nur durch das Schließen aller Passwort-Türen, einschließlich derer, die in Wiederherstellungsprozessen verborgen sind, können Organisationen eine wirklich sichere Authentifizierung erreichen.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

Häufig gestellte Fragen#

Welche Signale deuten darauf hin, dass ein Nutzer für die Passwort-Deaktivierung in einem passwortlosen Rollout bereit ist?#

Nutzer kommen für eine Passwort-Deaktivierung infrage, wenn sie sich konsistent über mehrere Geräte hinweg per Passkeys authentifizieren und in den letzten 30 bis 60 Tagen weder Passwörter noch Recovery-Flows verwendet haben. Mit dieser Gruppe bei der Deaktivierung zu beginnen, verringert das Risiko und hilft, Probleme vor einer breiteren Einführung aufzudecken. Phase 3 zielt darauf ab, dass 30 % oder mehr der infrage kommenden Nutzer ihre Passwörter freiwillig entfernen.

Welche Phishing-resistenten Optionen gibt es für die Kontowiederherstellung (Account Recovery), wenn keine Backup-Passkeys verfügbar sind?#

Es gibt vier Phishing-resistente Wiederherstellungsfaktoren: Backup-Passkeys auf sekundären Geräten, Hardware-Sicherheitsschlüssel (physische FIDO2-Token), die Digital Credentials API (ein sich noch in der Entwicklung befindlicher W3C-Standard) sowie die Überprüfung von Ausweisdokumenten mit Liveness Detection. Herkömmliche SMS-OTPs und E-Mail-Magic-Links bleiben anfällig für Phishing, SIM-Swapping und Man-in-the-Middle-Angriffe, was sie für sichere Recovery-Flows ungeeignet macht.

Warum war das Datenleck bei MGM Resorts erfolgreich, obwohl eine robuste primäre Authentifizierung vorhanden war?#

Das Datenleck bei MGM Resorts im Jahr 2023 war erfolgreich, weil der Kontowiederherstellungsprozess durch Social Engineering ins Visier genommen wurde – und nicht das primäre Login-System. Dadurch wurden alle primären Sicherheitsmaßnahmen vollständig umgangen. Dies verdeutlicht, dass die Implementierung von Passkeys ohne die Absicherung der Recovery-Flows eine kritische Hintertür offen lässt; vergleichbar mit dem Einbau einer Stahltür bei gleichzeitig offen gelassenen Fenstern.

Welche Akzeptanz-Metriken sollten Teams erreichen, bevor sie vom optionalen Passkey zur vollständigen Entfernung von Passwörtern übergehen?#

Vor Eintritt in Phase 3 sollten Teams 60 % oder mehr der aktiven Nutzer mit mindestens einem Passkey erreichen, wobei 80 % oder mehr der Logins bei passkey-fähigen Konten über Passkeys erfolgen müssen und die Fehlerquote bei der Passkey-Erstellung unter 2 % liegt. Der Erfolg von Phase 3 wird daran gemessen, dass 30 % oder mehr der infrage kommenden Nutzer freiwillig auf Passwörter verzichten, ohne dass die Rate an Account-Sperrungen (Lockouts) ansteigt.