Das klassische Passwort hat ausgedient - heutzutage bringt Technologie digitale Sicherheit
© stock | Zoom

pt / ho

Infothema: Passwörter sterben aus - was danach kommt

(Infothema Digitale Sicherheit im Netz)  Seit Jahren steht ein Passwort weltweit an erster Stelle, und es hält sich hartnäckig in der Ranking-Liste ganz oben: "123456". Doch wer jetzt denkt dass es an der Faulheit der Nutzer liegt sich ein kompliziertes Passwort zu merken, der liegt falsch. Das Problem des seit Jahren meistgenutzten Passwortes der Welt ist nicht der Nutzer, es ist das System selbst. Warum Passwörter strukturell gescheitert sind und welche Technologien sie heutzutage sicher ersetzen erläutern wir hier.

Warum Passwörter aussterben - und was danach kommt


Das Passwort wurde 1961 erfunden. Fernando Corbató vom MIT entwickelte es als einfache Lösung für ein simples Problem: Mehrere Nutzer teilten sich einen Rechner und brauchten getrennte Zugänge. Die Lösung war nie für das Internet gedacht, nie für Millionen von Accounts pro Person und schon gar nicht für professionelle Hacker mit industrieller Ausrüstung. Trotzdem ist diese Lösung auch sechzig Jahre später noch immer der globale Standard. Das erklärt im Prinzip schon das meiste. 

Digitale Technologien ersetzen Passwörter in den nächsten Jahren
© stock - Digitale Technologien ersetzen Passwörter 

Warum Passwörter strukturell gescheitert sind


Die Zahlen sind ernüchternd. Laut dem Verizon Data Breach Investigations Report 2023 sind gestohlene oder schwache Passwörter für 74 Prozent aller Datenschutzverletzungen verantwortlich. Es geht hier nicht um eventuelle Softwarelücken oder um ausgeklügelte Hackerangriffe - es geht einfach nur um Passwörter, die zu einfach sind oder in falschen Händen landen.

Das Grundproblem ist kognitiv. Der durchschnittliche Internetnutzer verwaltet heute zwischen 70 und 100 Online-Accounts. Bei Social Media Accounts wie Instagram, Youtube, TikTok oder beim  highfly login, beim Bankzugang, beim E-Mail-Postfach - überall ein anderes Passwort, das komplex, einzigartig und trotzdem irgendwie merkbar sein soll. Kein Mensch schafft das dauerhaft. Also passiert das, was Verhaltensforscher als Passwort-Fatigue bezeichnen: Man wählt einfache Passwörter, benutzt dasselbe für mehrere Dienste oder schreibt sie auf - alles Verhaltensweisen, die die Sicherheit auf Null reduzieren.

Hinzu kommt das strukturelle Problem der Datenlecks. Selbst ein perfekt gewähltes Passwort ist wertlos, wenn die Datenbank des Anbieters gehackt wird. Have I Been Pwned - eine Datenbank gestohlener Zugangsdaten - listet Stand 2024 über 12 Milliarden kompromittierte Accounts. Wer heute ein neues Passwort setzt, kann nicht wissen, ob der Dienst es morgen noch sicher aufbewahrt.

Was Passwörter ersetzt - und wirklich funktioniert


Die Ablösung des althergebrachten Passworts läuft bereits - nur unkoordiniert und in verschiedenen Geschwindigkeiten, je nach Branche. Drei Technologien dominieren die aktuelle Entwicklung:


  • Biometrie ist die sichtbarste Veränderung. Face ID, Fingerabdruckscanner, Iris-Erkennung - Smartphones haben Biometrie zum Massenprodukt gemacht. Laut einer Studie von Mastercard aus 2023 bevorzugen 93 Prozent der Nutzer biometrische Authentifizierung gegenüber Passwörtern, wenn sie die Wahl haben. Das ist selten so eindeutig. Der Haken: Biometrie ist nicht reversibel. Ein gestohlenes Passwort kann man ändern - einen gestohlenen Fingerabdruck nicht.
  • Passkeys sind die technisch ausgefeilteste Lösung und werden von Apple, Google und Microsoft gemeinsam vorangetrieben. Das Prinzip basiert auf asymmetrischer Kryptographie: Ein privater Schlüssel liegt auf dem Gerät, ein öffentlicher beim Dienst. Beim Login beweist das Gerät, dass es den privaten Schlüssel besitzt - ohne ihn jemals zu übertragen. Selbst wenn die Server des Anbieters gehackt werden, ist kein verwertbares Geheimnis gestohlen worden. Apple hat Passkeys 2022 in iOS 16 eingeführt, Google folgte 2023 für alle Google-Accounts. Die Adoptionsrate wächst schnell: Ende 2023 unterstützten über 7 Milliarden Online-Accounts weltweit Passkeys.
  • Magic Links und einmalige Codes sind der pragmatischste Ansatz - kein gespeichertes Passwort, stattdessen ein Einmal-Link per E-Mail oder SMS für jeden Login. Einfach, sicher gegen Datenlecks, aber abhängig davon, dass der E-Mail-Account selbst sicher ist.

Die aktuelle Landschaft sieht so aus:



Methode
Sicherheit
Nutzerfreundlichkeit
Verbreitung 2024

Passwort allein
Niedrig
Mittel
~60% der Dienste

Passwort + 2FA
Mittel
Niedrig
~25% der Dienste

Biometrie
Hoch
Sehr hoch
~45% der Geräte

Passkeys
Sehr hoch
Hoch
~15% der Dienste

Magic Links
Mittel-hoch
Hoch
~10% der Dienste


Warum der Übergang so langsam geht


Wenn Passkeys technisch so überlegen sind und die Nutzer Biometrie bevorzugen - warum gibt es überhaupt noch Passwörter? Die Antwort liegt in der Infrastruktur, nicht in der Technologie.

Millionen von Websites und Anwendungen wurden auf Passwort-basierte Authentifizierung gebaut. Eine Migration zu Passkeys erfordert Entwicklungsressourcen, Tests und in vielen Fällen eine grundlegende Überarbeitung der Authentifizierungsarchitektur. Für große Unternehmen mit eigenen Entwicklungsteams ist das machbar - für kleine Websites, die 2009 mit einem Standard-WordPress-Login gebaut wurden und seitdem kaum angefasst wurden, ist es eine erhebliche Hürde.

Hinzu kommt das Nutzerverhalten. Neue Authentifizierungsmethoden erfordern eine Lernkurve. Passkeys funktionieren gerätgebunden - wer sein Smartphone verliert, ohne eine Backup-Methode eingerichtet zu haben, steht vor einem Zugriffsproblem. Diese Szenarien schrecken Nutzer ab, die lieber bei dem bleiben, was sie kennen - auch wenn es definitiv schlechter ist.

Was in den nächsten fünf Jahren passiert


Die FIDO Alliance - das Industriekonsortium hinter dem Passkey-Standard, dem Apple, Google, Microsoft, Amazon und hunderte weitere Unternehmen angehören - hat 2023 einen klaren Zeitplan veröffentlicht: Bis 2027 sollen Passkeys für die Mehrheit der Online-Dienste der primäre Authentifizierungsweg sein.

Ob dieser Zeitplan realistisch ist, hängt weniger von der Technologie ab als von der Regulierung. Die EU-Richtlinie eIDAS 2.0, die ab 2026 schrittweise in Kraft tritt, schreibt eine europäische digitale Identitätslösung vor - ein staatlich ausgestellter digitaler Ausweis, der für Online-Dienste genutzt werden kann. Das wäre der bisher weitreichendste Eingriff in die Authentifizierungslandschaft.

Was sicher ist: Das Passwort, das 1961 für einen geteilten Universitätsrechner erfunden wurde, wird das Internet der 2030er Jahre nicht mehr dominieren. Die Frage ist nicht ob - sondern wie holprig der Übergang wird.

Auch interessant:
TV-Tip: ORF zeigt den F4 Race Academy Movie - A true Motorsport Story
Die grosse Wichtigkeit von Glühkerzen bei Dieselmotoren - hier erklärt
Buchtip: Neues Buch von Audi Tradition - Audi 100 Coupe S

pt / ho

Lieblingsauto oder Motorrad als Geschenk - so gehts!

Infothema: Ist die KI und der Algorithmus Fluch oder Segen?

Brandaktuell: Ölkrise 2026 - Krise Hormus Blockade treibt Spritpreise hoch

Special: Die Autos der Premier League Fussballer

Ratgeber: So bekommt man beim Autoverkauf mehr Geld

Tip: Motor kaputt - was kann man noch tun?