Ein Gastbeitrag von Dr. Dominik Schürmann, Gründer & CEO von heylogin
Ich weiß nicht, wie oft ich in den letzten Jahren auf „Passwort vergessen?” geklickt habe. Vermutlich zu oft. Und ich bin mir sicher: Ich bin nicht allein.
Passwörter sind ein notwendiges Übel. Seit Jahrzehnten begleiten sie uns durchs Internet, obwohl wir alle wissen, dass sie alles andere als sicher sind. Menschen verwenden dieselben Passwörter auf zig Plattformen, notieren sie in Textdateien oder speichern sie unverschlüsselt im Browser. Und selbst wer alles richtig macht, ist nicht vor Datenlecks geschützt.
Ich habe viele Jahre in der IT-Sicherheitsforschung und an Lösungen für eine sichere Authentifizierung gearbeitet. Wenn ich eins gelernt habe, dann das: Das Problem liegt nicht beim Menschen, sondern im System. Und genau dieses System verändert sich dank Passkeys immer mehr.
Passkeys: Was steckt dahinter?
Passkeys sind kein neues Passwortformat, sondern basieren auf einem neuen Konzept. Im Kern ersetzen sie Passwörter durch ein kryptografisches Schlüsselpaar. Dieses Prinzip ist aus der modernen IT-Sicherheit bereits bekannt.
Das funktioniert so:
- Ein privater Schlüssel bleibt sicher auf dem Gerät des Nutzers, z. B. Smartphone oder Laptop.
- Ein öffentlicher Schlüssel wird auf der Website oder in der App gespeichert.
- Wenn sich jemand einloggt, signiert das Gerät eine einmalige Challenge. Es wird kein Passwort übertragen oder gespeichert.
Das bedeutet: Selbst wenn ein Server gehackt wird, gibt es dort kein Passwort, das gestohlen werden könnte. Und Phishing-Angriffe? Sie laufen ins Leere, da Passkeys nur für die echte Website funktionieren, nicht aber für eine täuschend ähnliche Kopie.
Kurz gesagt sind Passkeys sicherer und bequemer.
Warum Passkeys die bessere Lösung sind
Die klassische Passwortauthentifizierung hat zwei große Schwächen:
- Sie hängt vom Menschen ab. Wir sollen uns komplizierte, einzigartige Passwörter merken und sie regelmäßig ändern. Das widerspricht der menschlichen Natur.
- Sie macht uns angreifbar. Datenlecks, Passwort-Wiederverwendung, Social Engineering – Passwörter sind das schwächste Glied in der Sicherheitskette.
Passkeys lösen dieses Problem, da sie so konstruiert sind, dass sie menschliche Fehler kompensieren. Niemand muss sich etwas merken oder eingeben. Der Login erfolgt per Fingerabdruck-, Gesichtserkennung oder Geräte-PIN. Dabei werden keine biometrischen Daten in das Internet übertragen, sondern der Zugriff auf den benötigten Passkey lokal hergestellt.Das ist sicher, schnell und transparent.
Der Weg in die Praxis
Apple, Google und Microsoft wollen Passkeys weltweit etablieren. Das ist gut, gleichzeitig ein zweischneidiges Schwert. Denn wer Passkeys in den großen Ökosystemen anlegt, bindet sich zugleich an deren Infrastruktur. Die Schlüssel werden zwar sicher, aber zentral über iCloud, Google oder Microsoft-Konten synchronisiert.
Für viele Nutzer ist dies eine akzeptable Lösung. Gerade Unternehmen oder sicherheitsbewusste Privatpersonen wünschen sich jedoch mehr Unabhängigkeit. Anbieter wie heylogin entwickeln daher Lösungen, die eine datenschutzfreundliche und plattformunabhängige Nutzung von Passkeys ermöglichen. Denn eine Technologie, die Sicherheit bieten soll, darf keine neue Abhängigkeit schaffen.
Ich bin davon überzeugt, dass die Zukunft der Authentifizierung nicht allein den großen Plattformen gehören darf. Für die Entfaltung des vollen Potenzials von Passkeys sind offene Standards und vertrauenswürdige Alternativen unerlässlich.
Sicherheit braucht Vertrauen und Verständnis
Trotz der vielen Vorteile höre ich oft die Frage: „Das klingt alles schön, aber was ist, wenn ich mein Smartphone verliere?“
Eine berechtigte Frage. Doch auch hierfür sind Passkeys gut durchdacht. Die privaten Schlüssel werden in der Regel über mehrere Geräte hinweg synchronisiert und können über ein Backup-System wiederhergestellt werden. Bei einem sicheren Passwort-Manager, wie heylogin, läuft diese Synchronisation Ende-zu-Ende-verschlüsselt ohne dass der Betreiber des Passwort-Managers auf Passkeys zugreifen kann.
Ein weiterer Vorteil ist, dass Passkeys nicht nur sicherer, sondern auch bequemer sind. Es ist kein Eintippen, kein Copy-Paste und keine Codes per SMS mehr nötig. Ein Klick genügt und du bist eingeloggt.
In der Praxis führt diese Kombination aus Sicherheit und Komfort zu einem kulturellen Wandel: Sicherheit wird nicht mehr als Hürde empfunden, sondern als selbstverständlich integriert.
Der Mensch im Mittelpunkt
In der Sicherheitsforschung wird der Fokus häufig auf technische Aspekte gelegt. Dabei kommt die Bedeutung der Menschen als Teil des Sicherheitskontexts oftmals zu kurz. Doch am Ende geht es genau darum: Technologien zu entwickeln, die Menschen helfen, sicher zu handeln, ohne sie zu überfordern.
Passkeys bieten genau diese Möglichkeit. Sie entlasten den Nutzer von der Verantwortung für Komplexität, ohne ihm Kontrolle zu entziehen. Für mich ist dies der entscheidende Unterschied:
Gute Sicherheit ist unsichtbar und sie funktioniert einfach.
Ein Blick in die Zukunft
Wer heute Websites oder digitale Produkte entwickelt, sollte Passkeys nicht als Zukunftsthema betrachten. Große Plattformen wie PayPal, eBay, Google, GitHub und LinkedIn unterstützen sie bereits. In den kommenden Jahren wird das Passwort nach und nach an Bedeutung verlieren – es wird sich also nicht plötzlich, sondern schrittweise durch neue Verfahren und Technologien in der Kommunikation und im Internet verdrängen lassen.
Natürlich braucht dieser Wandel Zeit. Alte Systeme, konservative Infrastrukturen und das menschliche Bedürfnis nach Vertrautem bremsen den Fortschritt. Aber ich bin überzeugt: Die Richtung stimmt.
In ein paar Jahren werden wir uns vielleicht fragen, warum wir jemals Passwörter benutzt haben. So wie wir uns heute fragen, wie wir früher ohne Smartphones ausgekommen sind.
Fazit
Die Zukunft der digitalen Sicherheit ist passwortlos. Passkeys sind keine kurzlebige Modeerscheinung, sondern eine logische Weiterentwicklung. Sie machen das Internet sicherer und das Leben einfacher.
Ich wünsche mir, dass wir diese Entwicklung bewusst gestalten: offen, datenschutzfreundlich und benutzerzentriert. Denn Technologie allein reicht nicht aus. Sie braucht Vertrauen. Und Vertrauen entsteht, wenn Sicherheit sich wie Komfort anfühlt, nicht wie Kontrolle.
Über den Autor
Dr. Dominik Schürmann ist Gründer & CEO von heylogin und Experte für IT-Sicherheitsarchitekturen und benutzerfreundliche Authentifizierungslösungen. Er beschäftigt sich seit vielen Jahren mit der Schnittstelle zwischen Kryptografie, Datenschutz und User Experience.
