Passkeys: 5 Milliarden Geräte nutzen bereits biometrische Login

Weltweit sind bereits rund 5 Milliarden Passkeys im Einsatz – eine Technologie, die herkömmliche Login-Daten durch biometrische Verfahren und kryptografische Schlüssel ersetzt.

Der Siegeszug der Passkeys

Die Zahlen sprechen eine deutliche Sprache: 90 Prozent der Internetnutzer kennen inzwischen die Passkey-Technologie. Seit Mai 2025 gibt es sogar einen eigenen World Passkey Day, der jeweils am ersten Donnerstag im Mai stattfindet. Anders als traditionelle Passwörter arbeiten Passkeys mit Public-Key-Kryptografie und sind fest an ein Gerät gebunden. Die Freigabe erfolgt per Face ID, Touch ID oder anderen biometrischen Verfahren.

Anzeige: Wer die Umstellung auf Passkeys strategisch angehen will, findet in diesem kostenlosen Leitfaden die wichtigsten Schritte – von der Bestandsaufnahme bis zur DBSC-Integration. Jetzt Sicherheits-Leitfaden anfordern

Am 24. April 2026 empfahl das britische National Cyber Security Centre (NCSC) offiziell die Umstellung auf Passkeys. Die Behörde bezeichnete sie als „deutlich widerstandsfähiger und nutzerfreundlicher" als die jahrzehntealten Passwort-Praktiken. Branchenexperten wie Niall McConachie von Yubico und Eric Sachs von Microsoft bestätigen: Passkeys eliminieren das Risiko von Remote-Phishing-Angriffen auf Login-Daten zwar nicht vollständig, senken es aber drastisch.

Hardware-Schutz gegen Session-Hijacking

Doch die Sicherheitsexperten ruhen sich nicht auf den Passkeys aus. Ein neues Problem rückt in den Fokus: der Diebstahl von Sitzungstoken. Google reagierte am 25. Mai 2026 mit der Einführung von Device Bound Session Credentials (DBSC) im Chrome-Browser. Diese Technologie bindet Session-Cookies kryptografisch an die Hardware eines Geräts – etwa an einen Trusted Platform Module (TPM) oder eine Secure Enclave.

Der Rollout soll bis zu 60 Tage dauern. Für Google-Workspace-Nutzer ist die Funktion bereits standardmäßig aktiviert, private Konten unter Windows und macOS folgen schrittweise. Der entscheidende Vorteil: Selbst wenn Angreifer einen Cookie stehlen, nützt er ihnen nichts – die Session lässt sich nicht auf einen anderen Rechner übertragen. DBSC ergänzt damit bestehende Multi-Faktor-Authentifizierung (MFA), indem es die Sitzung auch nach dem Login schützt.

Angreifer setzen auf KI und Industrialisierung

Der Druck zur Modernisierung wächst. Der Verizon Data Breach Investigations Report 2026 zeigt: Software-Sicherheitslücken haben gestohlene Zugangsdaten als häufigste Einfallstore abgelöst und sind für 31 Prozent aller Angriffe verantwortlich. Gleichzeitig setzen bereits 15 Prozent der Angreifer auf Künstliche Intelligenz – von KI-gestütztem Phishing bis hin zu kompromittierten Entwickler-Tools.

Eine Analyse von iSECTECH offenbarte, dass moderne Credential-Stuffing-Angriffe industrielle Ausmaße angenommen haben. Die Täter nutzen Plattformen mit Millionen gestohlener Login-Kombinationen und Residential-Proxys, um menschliches Verhalten zu imitieren. In einem dokumentierten Fall blieb ein Angriff auf eine Einzelhandelsplattform 19 Tage lang unentdeckt – mit verheerenden Folgen: 13.000 kompromittierte Konten und ein Schaden von über 540.000 Euro. Selbst MFA-Systeme ohne Phishing-Resistenz konnten die automatisierten Angriffe nur um etwa 25 Prozent verlangsamen.

Grundlegende Sicherheitsmängel bleiben bestehen

Anzeige: Session-Hijacking durch gestohlene Cookies ist auf dem Vormarsch – Device Bound Session Credentials (DBSC) schaffen Abhilfe. Erfahren Sie in diesem Report, wie Sie Ihre Sitzungstoken kryptografisch an die Hardware binden. DBSC-Leitfaden jetzt sichern

Trotz aller technologischen Fortschritte offenbaren Audits immer wieder eklatante Sicherheitslücken. Eine aktuelle Prüfung des US-Innenministeriums ergab: Über 20 Prozent der Netzwerk-Passwörter ließen sich problemlos knacken. Noch alarmierender: 89 Prozent der risikoreichen Systeme der Behörde verfügten über keinerlei Multi-Faktor-Authentifizierung.

Für Unternehmen, die weiterhin auf traditionelle Systeme setzen, gelten strenge Richtlinien. Amazon Web Services empfahl für seinen inzwischen eingestellten Inspector-Classic-Dienst Mindest-Passwortlängen von 14 Zeichen. Sicherheitstester von PCMag raten sogar zu 20 Zeichen oder mehr.

Besonders der Mittelstand steht vor Herausforderungen. Industriedienstleister verwalten häufig 30 bis 80 verschiedene Lieferanten-Logins. Experten empfehlen Büromanagern, regelmäßige 30-minütige Audits durchzuführen, um den Reifegrad ihres Passwort-Managements zu ermitteln. Der Druck kommt nicht zuletzt von Versicherungen: Cyber-Policen prüfen zunehmend, ob gemeinsame Zugänge und MFA-Lösungen implementiert sind.

de | wissenschaft | 69451837 |