So gelingt der vollständige Umstieg auf passwortlos

Die Einführung von Passkeys ist ein riesiger Fortschritt für die Sicherheit bei der Authentifizierung, aber sie ist nicht das Ende des Weges. Wenn Sie Passkeys bereits eingeführt haben, freuen Sie sich wahrscheinlich über verbesserte Sicherheitskennzahlen, aber wie gelingt der Übergang von der reinen Nutzung von Passkeys zur vollständig passwortlosen Authentifizierung?

Passkeys bieten entscheidende Sicherheitsvorteile durch ihr Phishing-resistentes Design. Sie nutzen Public-Key-Kryptographie, die an bestimmte Domains gebunden ist. Das macht es Angreifern unmöglich, Nutzer dazu zu bringen, sich auf gefälschten Websites zu authentifizieren. Sie verhindern die Wiederverwendung von Anmeldedaten, da jeder Passkey für einen bestimmten Dienst einzigartig ist. Ein kompromittierter Dienst gefährdet also keine anderen. Außerdem sind sie immun gegen Brute-Force-Angriffe, da sie gespeicherte Geheimnisse durch kryptografische Schlüssel ersetzen, die nicht erraten oder geknackt werden können.

Doch diese starken Vorteile verflüchtigen sich, sobald ein Nutzer die Passkey-Authentifizierung umgehen und sich stattdessen mit einem Passwort anmelden kann. Das wirft eine entscheidende Frage auf: Warum reichen Passkeys allein nicht für vollständige Sicherheit aus? Die Antwort liegt darin, zu verstehen, dass Angreifer immer versuchen werden, durch die Tür zu kommen, solange sie offen steht. Noch wichtiger ist die Frage: Was macht die Kontowiederherstellung zur versteckten Schwachstelle, die Ihre gesamte Passkey-Implementierung untergraben kann? Jüngste aufsehenerregende Sicherheitsvorfälle haben gezeigt, dass Angreifer zunehmend Wiederherstellungsprozesse statt der primären Authentifizierung ins Visier nehmen.

Dieser Artikel führt uns durch den gesamten Prozess von der Implementierung von Passkeys bis hin zur Erreichung echter passwortloser Sicherheit. Wir gehen dabei auf jede dieser kritischen Fragen mit praktischen Lösungen und Beispielen aus der Praxis ein.

Echte passwortlose Authentifizierung bedeutet, Passwörter vollständig aus Ihrer Sicherheitsarchitektur zu entfernen. In einem passwortlosen System können Nutzer zu keinem Zeitpunkt ihrer Authentifizierungsreise Passwörter festlegen, zurücksetzen oder verwenden. Stattdessen basiert die Authentifizierung vollständig auf kryptografischen Methoden wie Passkeys.

Viele Organisationen bezeichnen sich als „passwortlos“, obwohl sie im Hintergrund immer noch Passwörter als Fallback-Option beibehalten. Das ist nicht wirklich passwortlos, sondern eher passwort-optional. Der Unterschied ist wichtig, denn solange Passwörter irgendwo im System existieren, auch in Wiederherstellungsprozessen, bleiben sie eine ausnutzbare Schwachstelle, die Angreifer ins Visier nehmen werden.

Wirkliche passwortlose Sicherheit erfordert sowohl die Abschaffung von Passwörtern bei der primären Authentifizierung ALS AUCH die Sicherstellung, dass Wiederherstellungsprozesse gleichermaßen Phishing-resistent sind.

Die Beibehaltung von Passwörtern als Fallback-Option erhält jeden Angriffsvektor aufrecht, den Passkeys eigentlich beseitigen sollen. Angreifer passen einfach ihre Phishing-Kampagnen an, um die Passworteingabe ins Visier zu nehmen, während Credential-Stuffing- und Password-Spraying-Angriffe weiterhin gestohlene Anmeldedaten aus anderen Sicherheitsverletzungen verwenden. Social Engineering bleibt ebenfalls effektiv, da Nutzer immer noch dazu verleitet werden können, Passwörter an gefälschte Support-Mitarbeiter preiszugeben.

Solange Passwörter existieren, bleiben sie das schwächste Glied – ein einziger Einstiegspunkt, der die Phishing-resistente Sicherheit von Passkeys vollständig umgeht.

Es reicht nicht aus, nur das Login-Erlebnis zu betrachten. Ein kritischer, aber oft übersehener Angriffsvektor ist der Prozess zur Kontowiederherstellung. Selbst Organisationen, die Passkeys implementiert haben, können anfällig bleiben, wenn ihr Wiederherstellungsprozess auf Phishing-anfälligen Methoden wie SMS-OTPs oder E-Mail-Magic-Links beruht.

Denken Sie an den aufsehenerregenden Sicherheitsvorfall bei MGM Resorts im Jahr 2023. Dort zielten die Angreifer nicht auf das primäre Authentifizierungssystem, sondern nutzten den Kontowiederherstellungsprozess durch Social Engineering aus und umgingen so alle primären Sicherheitsmaßnahmen. Ähnlich zeigte der Vorfall beim Okta-Supportsystem, wie Wiederherstellungsprozesse zum schwächsten Glied werden können, das es Angreifern ermöglicht, Anmeldedaten zurückzusetzen und unbefugten Zugriff auf Kundenumgebungen zu erlangen.

Diese Vorfälle unterstreichen eine entscheidende Wahrheit: Die Implementierung von Passkeys ohne die Absicherung des Wiederherstellungsprozesses ist, als würde man eine Stahltür einbauen, aber die Fenster offen lassen.

Das Erreichen echter passwortloser Authentifizierung ist kein einzelner Schritt, sondern eine strategische Reise, die sorgfältige Planung, schrittweise Umsetzung und kontinuierliche Optimierung erfordert:

Die erste Phase konzentriert sich darauf, Passkeys als zusätzliche Authentifizierungsmethode einzuführen, während bestehende Optionen als Fallback beibehalten werden. Diese grundlegende Phase gibt den Nutzern Zeit, die neue Technologie zu verstehen und ihr zu vertrauen, während vertraute Methoden verfügbar bleiben, um Reibungsverluste zu minimieren.

Wichtige Schritte bei der Implementierung:

• Integrieren Sie die Passkey-Authentifizierung in Ihren bestehenden Authentifizierungs-Flow
• Ermöglichen Sie die Erstellung von Passkeys für neue und bestehende Nutzer
• Behalten Sie Passwörter und andere Authentifizierungsmethoden als Alternativen bei
• Verfolgen Sie die Raten der Passkey-Erstellung und die Nutzungsmuster

Erfolgsmetriken:

• Anteil der Nutzer, die mindestens einen Passkey erstellt haben, liegt bei über 50 %
• Erfolgsrate bei der Passkey-Erstellung liegt bei über 95 %
• Anfängliche Nutzung von Passkeys für die Authentifizierung erreicht 20–30 %

Sobald Passkeys verfügbar sind, verlagert sich der Fokus darauf, die Akzeptanz zu fördern und Passkeys zur bevorzugten Authentifizierungsmethode zu machen. In dieser Phase werden Passkeys durch strategisches Nutzer-Engagement und Optimierung von einer alternativen Option zur primären Wahl für die Authentifizierung.

Wichtige Schritte bei der Implementierung:

• Machen Sie die Passkey-Authentifizierung zur Standardoption in Login-Flows
• Implementieren Sie intelligente Aufforderungen, die nach erfolgreichen Passwort-Logins zur Erstellung eines Passkeys anregen
• Informieren Sie Nutzer über die Sicherheits- und Komfortvorteile durch In-App-Nachrichten
• Bieten Sie Anreize für die Akzeptanz von Passkeys (schnellerer Checkout, exklusive Funktionen)
• Führen Sie A/B-Tests mit verschiedenen Botschaften und UI-Ansätzen durch, um die Konversionsrate zu maximieren
• Implementieren Sie bedingte Zugriffsrichtlinien, die Passkeys für sensible Operationen erfordern

Erfolgsmetriken:

• 60 %+ der aktiven Nutzer haben mindestens einen Passkey
• 80 %+ der Logins bei Konten mit Passkey-Unterstützung erfolgen über Passkeys
• Weniger als 2 % Fehlerrate bei der Passkey-Erstellung

Hier findet die eigentliche Sicherheitstransformation statt: Passwörter für Nutzer, die konsequent Passkeys verwenden, vollständig zu entfernen. Diese Phase beseitigt den primären Angriffsvektor, indem Passwörter für Nutzer deaktiviert werden, die eine erfolgreiche Akzeptanz von Passkeys gezeigt haben.

Wichtige Schritte bei der Implementierung:

• Analysieren Sie die Authentifizierungsmuster der Nutzer mit intelligenten Überwachungssystemen
• Identifizieren Sie Nutzer, die ausschließlich Passkeys mit mehreren Passkey-fähigen Geräten verwenden
• Bieten Sie die Deaktivierung von Passwörtern an und kommunizieren Sie klar die Sicherheitsvorteile
• Überprüfen Sie die Verfügbarkeit von Backup-Passkeys (in der Cloud synchronisiert oder auf mehreren Geräten)

Erfolgsmetriken:

• 30 %+ der berechtigten Nutzer entfernen freiwillig ihre Passwörter
• Kein Anstieg der Raten von Kontosperrungen
• Beibehaltene oder verbesserte Nutzerzufriedenheitswerte

Die letzte Phase befasst sich mit der letzten Schwachstelle: die Umwandlung der Kontowiederherstellung in einen Phishing-resistenten Prozess. Diese Phase stellt sicher, dass Wiederherstellungsprozesse das gleiche Sicherheitsniveau wie die primäre Authentifizierung aufweisen und so Angriffe über die Hintertür verhindern.

Wichtige Schritte bei der Implementierung:

• Implementieren Sie eine Multi-Faktor-Authentifizierung mit mindestens einem Phishing-resistenten Faktor
• Verfügbare Phishing-resistente Faktoren:
  • Backup-Passkeys: Wiederherstellungs-Passkeys, die auf sekundären Geräten oder in Cloud-Diensten gespeichert sind und einen kryptografischen Identitätsnachweis liefern (die am weitesten verbreitete Option).
  • Digital Credentials API: Ein W3C-Standard für kryptografisch verifizierte Identitäts-Assertions von vertrauenswürdigen Anbietern (eine aufkommende Technologie, noch nicht weit verbreitet).
  • Hardware-Sicherheitsschlüssel: Physische FIDO2-Tokens, die als Wiederherstellungsfaktoren registriert sind und nicht durch Phishing erbeutet oder dupliziert werden können (erfordert, dass Nutzer physische Geräte kaufen und verwalten).
  • Verifizierung von Ausweisdokumenten mit Lebenderkennung: Das Scannen von Regierungsausweisen in Kombination mit biometrischen Aktionen in Echtzeit, um die physische Anwesenheit zu beweisen.

Hinweis zu den Wiederherstellungsoptionen: Obwohl die Digital Credentials API und Hardware-Sicherheitsschlüssel eine hohe Sicherheit bieten, sind sie noch nicht weit verbreitet. Erstere ist eine aufkommende Technologie, und letztere erfordert, dass Nutzer physische Geräte erwerben.

Wenn keine Backup-Passkeys verfügbar sind, wird die Verifizierung von Ausweisdokumenten mit Lebenderkennung zu einer praktikablen Alternative. Obwohl es potenzielle Umgehungsmöglichkeiten gibt, um Lebendigkeitsprüfungen ohne den physischen Besitz eines Ausweises zu umgehen, bieten diese Methoden dennoch eine deutlich höhere Sicherheit als herkömmliche OTPs, die leicht durch Phishing, SIM-Swapping oder Man-in-the-Middle-Angriffe abgefangen werden können.

Erfolgsmetriken:

• 100 % der Wiederherstellungsprozesse beinhalten Phishing-resistente Faktoren
• Keine erfolgreichen Kontoübernahmen durch Wiederherstellungsprozesse
• Abschlussraten bei der Wiederherstellung bleiben über 90 %

Die Bewegung hin zur Passwortlosigkeit gewinnt in der gesamten Technologiebranche an Fahrt, und führende Unternehmen verabschieden sich von Passwörtern.

Mehrere Unternehmen haben bereits die vollständige Abschaffung von Passwörtern für ihre internen Abläufe erreicht. Okta, Yubico und Cloudflare haben intern praktisch keine Passwörter mehr im Einsatz, und ihre Login-Flows akzeptieren überhaupt keine Passwörter mehr.

Die Tech-Giganten Google, Apple, Microsoft und X schaffen Passwörter aktiv ab, haben sie aber noch nicht vollständig eliminiert. Ihr Ansatz gleicht Sicherheitsverbesserungen mit der Wahlfreiheit für die Nutzer während der Übergangszeit aus.

Google hat eine aggressive Haltung eingenommen, indem es die Option „Wenn möglich, Passwort überspringen“ standardmäßig für alle Konten aktiviert hat. Dadurch werden Passkeys zur bevorzugten Authentifizierungsmethode, während Nutzer bei Bedarf immer noch die Möglichkeit haben, sich dagegen zu entscheiden. Dieser Opt-out-Ansatz schafft eine starke Dynamik in Richtung Passwortlosigkeit und bewahrt gleichzeitig die Flexibilität für Nutzer, die noch nicht bereit für den Wechsel sind.

Microsoft geht einen Schritt weiter und ermöglicht es Nutzern, ihre Passwörter bereits heute vollständig aus ihren Konten zu entfernen, mit dem Plan, „die Passwortunterstützung irgendwann ganz einzustellen“. Diese klare Roadmap signalisiert den Nutzern, dass die Zeit der Passwörter abgelaufen ist, und fördert die frühzeitige Annahme passwortloser Methoden.

Apple hat Passkeys in sein gesamtes Ökosystem integriert und fördert aktiv deren Nutzung, obwohl Apple-ID-Passwörter als Fallback-Option verfügbar bleiben. Ihr Ansatz nutzt die nahtlose Synchronisierung über Apple-Geräte hinweg, um die Akzeptanz von Passkeys so reibungslos wie möglich zu gestalten.

Diese Unternehmen erzwingen keine sofortige Änderung, senden aber eine klare Botschaft: Passwörter werden verschwinden, sobald die Akzeptanz eine kritische Masse erreicht hat. Ihre Strategien beinhalten, Passkeys zum Standard zu machen, die Nutzer über die Vorteile aufzuklären und die Funktionalität von Passwörtern schrittweise zu reduzieren.

Die Entscheidung, Passwörter zu entfernen, sollte nicht überstürzt oder pauschal getroffen werden. Stattdessen empfiehlt sich ein datengesteuerter, schrittweiser Ansatz, der das Nutzerverhalten, die Gerätefähigkeiten und die Risikoprofile berücksichtigt.

Hochrisikosektoren, die heute unter schweren Phishing-Angriffen leiden, sollten sofort mit ihrer passwortlosen Umstellung beginnen, aber dennoch einen schrittweisen, strategischen Rollout verfolgen:

• Banken & Finanzinstitute: Hauptziele für den Diebstahl von Anmeldedaten. Für europäische Banken erfüllen Passkeys auch die Anforderungen der PSD2 Strong Customer Authentication (SCA) und bieten eine Phishing-resistente MFA, die die gesetzlichen Vorschriften erfüllt und gleichzeitig das Nutzererlebnis verbessert.
• Zahlungsanbieter & Fintech: Der direkte Zugriff auf Kundengelder macht sie für die organisierte Cyberkriminalität attraktiv.
• Kryptowährungsbörsen: Unumkehrbare Transaktionen bedeuten, dass gestohlene Anmeldedaten zu dauerhaften Verlusten führen.
• Gesundheitswesen & Versicherungen: Stehen sowohl vor Compliance-Anforderungen als auch vor Risiken für die Patientensicherheit durch medizinischen Identitätsdiebstahl.
• Regierung & kritische Infrastruktur: Werden von staatlichen Akteuren mit ausgeklügelten Spear-Phishing-Kampagnen ins Visier genommen.

Für diese Organisationen ist sofortiges Handeln entscheidend, aber der Erfolg erfordert dennoch einen methodischen, schrittweisen Rollout-Ansatz. Beginnen Sie heute, aber führen Sie die Umstellung strategisch durch, um eine hohe Akzeptanz zu gewährleisten und Kontosperrungen zu vermeiden.

Beginnen Sie mit einer kleineren Untergruppe: Starten Sie Ihre passwortlose Umstellung mit Nutzern, die eine konsistente Passkey-Nutzung zeigen. Diese Early Adopters helfen Ihnen, potenzielle Probleme vor einer breiteren Einführung zu identifizieren.

Analysieren Sie die Verhaltensmuster der Nutzer:

• Häufigkeit und verwendete Methoden beim Login
• Gerätetypen und Passkey-Kompatibilität
• Fehlgeschlagene Authentifizierungsversuche
• Nutzung von Wiederherstellungsprozessen
• Geräteübergreifende Authentifizierungsmuster

Nutzer, die auf der Grundlage dieser Muster für die Deaktivierung von Passwörtern in Frage kommen:

• Authentifizieren sich konsequent über Passkeys – was zeigt, dass sie mit der Technologie vertraut sind.
• Verwenden Passkeys auf mehreren Geräten – was darauf hindeutet, dass sie über alternative Zugriffsmethoden verfügen.
• Haben in den letzten 30–60 Tagen keine Passwörter oder Wiederherstellungsprozesse verwendet – was zeigt, dass sie sich nicht auf passwortbasierte Authentifizierung verlassen.

Corbado bietet eine umfassende Plattform, um Organisationen durch alle vier Phasen der oben beschriebenen passwortlosen Reise zu führen. Von der ersten Implementierung von Passkeys bis zur vollständigen Abschaffung von Passwörtern bewältigt die Lösung von Corbado die technische Komplexität und stellt gleichzeitig die Werkzeuge für eine erfolgreiche Nutzerakzeptanz bereit.

Unterstützung in Phase 1 & 2: Corbado bietet eine nahtlose Integration von Passkeys in bestehende Authentifizierungsstacks, intelligente Aufforderungen, die die Akzeptanzraten maximieren, und detaillierte Analysen zur Verfolgung der Passkey-Erstellung und Nutzungsmuster. Die Funktion Passkey Intelligence der Plattform optimiert automatisch das Nutzererlebnis basierend auf den Gerätefähigkeiten und dem Nutzerverhalten und sorgt so für ein reibungsloses Onboarding.

Implementierung in Phase 3 & 4: Für Organisationen, die bereit sind, Passwörter vollständig zu entfernen, ermöglicht Corbado eine schrittweise Deaktivierung von Passwörtern basierend auf der Bereitschaft der Nutzer, während sichere, Phishing-resistente Wiederherstellungsprozesse beibehalten werden.

Indem Corbado die plattformübergreifende Kompatibilität, Fallback-Mechanismen und die Optimierung des Nutzererlebnisses übernimmt, beschleunigt es die passwortlose Transformation von Jahren auf Monate. So können sich Organisationen auf ihr Kerngeschäft konzentrieren und gleichzeitig eine Phishing-resistente Authentifizierung erreichen.

Der Weg zur echten passwortlosen Authentifizierung beantwortet die beiden entscheidenden Fragen, die wir am Anfang gestellt haben:

Warum reichen Passkeys allein nicht für vollständige Sicherheit aus? Weil die Sicherheit nur so stark ist wie ihr schwächstes Glied. Solange Passwörter verfügbar bleiben, selbst als Fallback, werden Angreifer einfach darauf abzielen, sie durch Phishing, Credential Stuffing oder Downgrade-Angriffe anzugreifen. Jedes Passwort in Ihrem System untergräbt die Phishing-resistenten Vorteile von Passkeys.

Was macht die Kontowiederherstellung zur versteckten Schwachstelle? Wiederherstellungsprozesse sind oft die vergessene Hintertür. Wie die Vorfälle bei MGM Resorts und Okta zeigten, umgehen Angreifer zunehmend robuste Passkey-Implementierungen, indem sie schwächere Wiederherstellungsmethoden wie SMS-OTPs oder E-Mail-Magic-Links ausnutzen. Es ist, als würde man eine Stahltür einbauen, aber die Fenster offen lassen.

Echte passwortlose Sicherheit erfordert die Vollendung der gesamten Reise: Passkeys implementieren, die Akzeptanz fördern, Passwörter vollständig entfernen und Wiederherstellungsprozesse mit Phishing-resistenten Methoden absichern. Nur indem alle Türen für Passwörter geschlossen werden, einschließlich derer, die sich in Wiederherstellungsprozessen verbergen, können Organisationen eine wirklich sichere Authentifizierung erreichen.