Die digitale Welt leidet unter einem chronischen Problem: der Passwortmüdigkeit. Nutzer jonglieren mit Dutzenden von Konten, was oft zu schwachen, wiederverwendeten Passwörtern führt – eine offene Einladung für Cyberkriminelle.¹ Die daraus resultierenden Kosten sind enorm. Sie umfassen nicht nur den direkten Schaden durch Datenlecks, sondern auch erhebliche Aufwände für den IT-Support. Studien zeigen, dass bis zu 30 % aller Anrufe bei Helpdesks das Zurücksetzen von Passwörtern betreffen, was sich schnell zu beträchtlichen Summen addiert.³ Es ist an der Zeit, die traditionelle Authentisierung zu überdenken und die modernen, sichereren und benutzerfreundlicheren Alternativen zu erkunden.

Bevor wir in die Tiefe der Technologien eintauchen, ist eine grundlegende begriffliche Klärung unerlässlich. In der IT-Sicherheit werden die Begriffe Authentisierung und Autorisierung oft fälschlicherweise synonym verwendet, obwohl sie zwei fundamental unterschiedliche Prozesse beschreiben.⁴

• Authentisierung ist der Prozess der Identitätsprüfung. Sie beantwortet die Frage: „Wer sind Sie?“. Hierbei weist ein Nutzer seine Identität gegenüber einem System nach.⁴
• Autorisierung ist der nachfolgende Schritt, der nach einer erfolgreichen Authentisierung stattfindet. Sie beantwortet die Frage: „Was dürfen Sie tun?“. Hier wird geprüft, welche Rechte und Berechtigungen der authentisierte Nutzer besitzt.⁵

Eine einfache Analogie verdeutlicht den Unterschied: Die Authentisierung ist vergleichbar mit dem Vorzeigen des Personalausweises am Eingang eines exklusiven Clubs, um die eigene Identität zu beweisen. Die Autorisierung hingegen ist die Prüfung, ob die Eintrittskarte den Zugang zum allgemeinen Bereich oder zur VIP-Lounge gewährt.⁷ Diese Trennung ist der Grundpfeiler jeder robusten Sicherheitsarchitektur. Viele Sicherheitsvorfälle entstehen nicht durch eine fehlgeschlagene Authentisierung, sondern durch eine zu großzügig gewährte Autorisierung, nachdem sich ein Angreifer erfolgreich Zugang verschafft hat.

Alle Authentisierungsmethoden basieren auf drei fundamentalen Faktoren, die die Säulen der digitalen Identitätsprüfung bilden ⁶:

1. Wissen (Something you know): Informationen, die nur der Nutzer kennen sollte, wie Passwörter, PINs oder die Antworten auf Sicherheitsfragen.
2. Besitz (Something you have): Ein physischer Gegenstand, den der Nutzer besitzt, zum Beispiel ein Smartphone, ein Hardware-Sicherheitsschlüssel (wie ein YubiKey) oder eine Smartcard.
3. Inhärenz (Something you are): Einzigartige biometrische Merkmale des Nutzers, wie ein Fingerabdruck, ein Gesichtsscan oder ein Iris-Scan.

Die Kombination dieser Faktoren bestimmt die Stärke einer Authentisierung. Während eine Ein-Faktor-Authentisierung (typischerweise nur Wissen) als schwach gilt, bietet die Multi-Faktor-Authentisierung durch die Kombination von zwei oder mehr Faktoren aus unterschiedlichen Kategorien ein deutlich höheres Sicherheitsniveau.

Hier geht es zum interaktiven Leitfaden zu Authentisierungsmethoden.

Der Klassiker unter der Lupe: Passwort-Authentisierung richtig gemacht

Die Kombination aus einem Benutzernamen (oft die E-Mail-Adresse) und einem Passwort ist nach wie vor die am weitesten verbreitete Authentisierungsmethode.⁹ Ihre scheinbare Einfachheit ist jedoch auch ihre größte Schwäche.

Analyse der Risiken

Die Gefahren der reinen Passwort-Authentisierung sind vielfältig und wurzeln sowohl im menschlichen Verhalten als auch in systemischen Bedrohungen:

• Der menschliche Faktor: Anwender neigen dazu, aus Bequemlichkeit schwache und leicht zu erratende Passwörter zu wählen. So war das Passwort „123456“ im Jahr 2023 über 4,5 Millionen Mal im Einsatz. Ein weiteres kritisches Problem ist die massive Wiederverwendung desselben Passworts über zahlreiche verschiedene Dienste hinweg.¹
• Systemische Bedrohungen: Dieses Nutzerverhalten macht Konten extrem anfällig für eine Reihe von automatisierten Angriffen. Dazu gehören Phishing, bei dem Nutzer auf gefälschte Webseiten gelockt werden, um ihre Zugangsdaten preiszugeben, Brute-Force-Angriffe, bei denen systematisch Passwörter ausprobiert werden, und Credential Stuffing, bei dem Angreifer bei einem Dienst kompromittierte Zugangsdaten bei unzähligen anderen Diensten automatisiert testen.¹²
• Geschäftliche Kosten: Neben dem Reputationsschaden und den direkten Kosten eines Datenlecks verursacht die Passwortverwaltung erhebliche laufende Kosten. Wie bereits erwähnt, entfällt ein signifikanter Teil der Support-Anfragen auf das Zurücksetzen vergessener Passwörter, was die IT-Abteilungen stark belastet.³

Technischer Deep-Dive: Passwörter sicher speichern mit Hashing und Salting

Die Sicherheit eines passwortbasierten Systems hängt nicht von der Passwort-Hygiene der Nutzer ab, die ein Unternehmen nur bedingt beeinflussen kann. Sie liegt vielmehr in der alleinigen Verantwortung des Dienstanbieters und seiner serverseitigen Implementierung. Zwei Grundregeln sind hierbei nicht verhandelbar: Passwörter dürfen niemals im Klartext gespeichert werden, und die Übertragung muss ausnahmslos über eine stark verschlüsselte Verbindung wie HTTPS/TLS erfolgen.⁹

Der Kern der sicheren Speicherung liegt in zwei kryptografischen Techniken: Hashing und Salting.

• Hashing: Hashing ist ein Einweg-Prozess, der ein Passwort mithilfe eines mathematischen Algorithmus in eine Zeichenkette mit fester Länge, den sogenannten „Hash“, umwandelt. Dieser Prozess ist im Gegensatz zur Verschlüsselung nicht umkehrbar; aus dem Hash kann das ursprüngliche Passwort nicht wiederhergestellt werden.¹⁶ Wenn sich ein Nutzer anmeldet, wird das eingegebene Passwort erneut durch dieselbe Hash-Funktion geschickt. Das System vergleicht dann den neu erzeugten Hash mit dem in der Datenbank gespeicherten Hash. Stimmen sie überein, wird der Zugang gewährt.¹⁸
• Salting: Hashing allein schützt nicht vor sogenannten „Rainbow-Table-Angriffen“. Eine Rainbow Table ist eine riesige Datenbank mit vorberechneten Hashes für Millionen von gängigen Passwörtern. Um diese Gefahr zu neutralisieren, wird Salting eingesetzt. Dabei wird vor dem Hashing eine zufällige, einzigartige Zeichenfolge – der „Salt“ – an das Passwort des Nutzers angehängt. Da jeder Nutzer einen anderen Salt erhält, erzeugt dasselbe Passwort („Passwort123“) für jeden Nutzer einen komplett anderen Hash. Dies macht Rainbow Tables unbrauchbar.⁹

Die Wahl des richtigen Hashing-Algorithmus ist dabei eine zentrale Sicherheitsentscheidung. Veraltete und schnelle Algorithmen wie MD5 oder SHA-1 gelten als unsicher und geknackt. Das Open Web Application Security Project (OWASP) empfiehlt moderne, bewusst rechenintensive und damit langsame Algorithmen. Diese Langsamkeit macht Brute-Force-Angriffe für Angreifer unwirtschaftlich. Zu den empfohlenen Algorithmen gehören Argon2id (der Gewinner des renommierten Password Hashing Competition), bcrypt und PBKDF2.¹⁵ Die Investition in eine korrekte Implementierung dieser Verfahren ist unerlässlich, da man sich niemals auf die Passwortstärke der Nutzer verlassen kann.

Die zweite Verteidigungslinie: Ein Realitätscheck der Multi-Faktor-Authentisierung (MFA)

Die Multi-Faktor-Authentisierung (MFA), oft auch als Zwei-Faktor-Authentisierung (2FA) bezeichnet, erhöht die Sicherheit von Konten drastisch. Sie fügt dem Anmeldeprozess eine zweite Verifizierungsebene aus einer anderen Faktorkategorie (Besitz oder Inhärenz) hinzu.¹⁹ Selbst wenn es einem Angreifer gelingt, das Passwort (Wissen) zu stehlen, fehlt ihm immer noch der zweite Faktor, um sich Zugang zu verschaffen.¹⁹ Laut Schätzungen von Microsoft kann die Aktivierung von MFA bis zu 99,9 % der kompromittierungsbasierten Angriffe auf Konten verhindern.¹

Die Effektivität der MFA hängt jedoch stark von der gewählten Methode ab. Der entscheidende Unterschied liegt nicht in der Art des Codes, sondern im Kanal, über den dieser generiert oder übertragen wird.

SMS-Codes (OTP – One-Time Password)

• Funktionsweise: Nach der Eingabe des Passworts wird ein einmalig gültiger, numerischer Code per SMS an die hinterlegte Mobilfunknummer des Nutzers gesendet. Dieser Code muss zur Bestätigung eingegeben werden.⁹
• Sicherheitsbewertung (Niedrig): Obwohl diese Methode besser ist als gar keine MFA, gilt sie heute als die unsicherste Variante. Ihre größte Schwachstelle ist die Anfälligkeit für SIM-Swapping (auch SIM-Hijacking). Bei diesem Angriff überredet ein Krimineller – oft durch Social Engineering, Bestechung oder die Nutzung von Daten aus früheren Lecks – einen Mitarbeiter des Mobilfunkanbieters, die Telefonnummer des Opfers auf eine SIM-Karte zu übertragen, die der Angreifer kontrolliert. Sobald dies geschehen ist, verliert das Telefon des Opfers den Netzempfang, und der Angreifer erhält alle ankommenden Anrufe und SMS, einschließlich der 2FA-Codes.¹² Dieser Angriffstyp ist mittlerweile eine industrialisierte Form der Kriminalität und stellt eine ernsthafte Bedrohung für jeden Dienst dar, der auf SMS-basierte Verifizierung setzt.²⁴

Authenticator-Apps (TOTP – Time-based One-Time Password)

• Funktionsweise: Anwendungen wie Google Authenticator, Microsoft Authenticator oder Authy generieren alle 30 bis 60 Sekunden einen neuen, zeitbasierten Code. Dieser Prozess findet vollständig lokal auf dem Gerät des Nutzers statt. Er basiert auf einem bei der Einrichtung geteilten Geheimnis („Shared Secret“) und der exakten Uhrzeit, synchronisiert zwischen App und Server.²¹
• Sicherheitsbewertung (Hoch): Diese Methode ist deutlich sicherer als SMS-Codes. Da die Codes lokal auf dem Gerät generiert werden und keine Übertragung über das unsichere Mobilfunknetz stattfindet, sind sie immun gegen SIM-Swapping-Angriffe.²⁷ Ein weiterer Vorteil ist, dass die Generierung auch offline, ohne Internet- oder Mobilfunkverbindung, funktioniert.³⁰

Push-Benachrichtigungen und Biometrie

• Funktionsweise: Anstatt einen Code abzutippen, erhält der Nutzer eine interaktive Push-Benachrichtigung auf seinem registrierten Smartphone (z. B. „Versuchen Sie sich gerade anzumelden?“). Der Login wird dann mit einem einfachen Fingertipp auf „Ja, das bin ich“ bestätigt, oft zusätzlich abgesichert durch eine biometrische Prüfung wie Fingerabdruck oder Gesichtserkennung.²¹
• Sicherheitsbewertung (Hoch) & Benutzerfreundlichkeit (Sehr hoch): Diese Methode kombiniert hohe Sicherheit mit einer exzellenten User Experience, da sie die Reibung im Anmeldeprozess auf ein Minimum reduziert.³³ Die biometrische Verknüpfung bindet den Anmeldevorgang direkt an eine einzigartige Eigenschaft des Nutzers und gilt als sehr schwer zu fälschen.²⁶

Die weitverbreitete Nutzung von SMS als zweitem Faktor schafft eine trügerische Sicherheit. Unternehmen sollten diese Methode daher nur als letzte Fallback-Option für unkritische Anwendungen anbieten und ihre Nutzer aktiv dazu anleiten, sicherere Alternativen wie Authenticator-Apps oder Push-Benachrichtigungen zu verwenden, die eine fundamental robustere Sicherheitsbasis bieten.

Komfort trifft Konnektivität: Social Logins und ihre Tücken

Social Login, also die Möglichkeit, sich mit einem bestehenden Konto von Google, Apple, Facebook oder anderen großen Plattformen anzumelden, ist für viele Nutzer zum Synonym für bequemes Anmelden geworden.² Technisch gesehen handelt es sich hierbei nicht um einen eigenständigen Authentisierungsmechanismus, sondern um einen delegierten Authentisierungs- und Autorisierungsfluss, der auf Industriestandards wie

OAuth 2.0 und OpenID Connect (OIDC) basiert.³⁵

• OAuth 2.0 ist ein Framework für die Autorisierung. Es ermöglicht einer Anwendung (dem „Client“), im Namen eines Nutzers auf dessen bei einem anderen Dienst (dem „Resource Server“) gespeicherte Daten zuzugreifen, ohne jemals das Passwort des Nutzers zu erfahren. Stattdessen werden zeitlich begrenzte „Access Tokens“ mit spezifischen Berechtigungen („Scopes“) ausgetauscht.³⁶
• OpenID Connect (OIDC) ist eine Schicht, die auf OAuth 2.0 aufsetzt und eine standardisierte Authentisierungs-Funktionalität hinzufügt. Während OAuth 2.0 nur die Frage „Was darf diese App tun?“ beantwortet, liefert OIDC zusätzlich die Antwort auf die Frage „Wer ist dieser Nutzer?“. Dies geschieht über ein sogenanntes „ID Token“, ein digital signiertes Objekt, das verifizierbare Informationen über die Identität des Nutzers enthält.³⁶

Vorteile aus Business-Perspektive

• Reduzierte Anmelde-Reibung: Der vereinfachte Prozess führt zu einem schnelleren Onboarding und nachweislich höheren Konversionsraten, was insbesondere auf mobilen Geräten von entscheidender Bedeutung ist.²
• Weniger Passwort-Müdigkeit: Nutzer müssen sich ein Passwort weniger erstellen und merken, was die Benutzerfreundlichkeit erhöht.²
• Reduzierte Infrastrukturkosten: Die komplexe und sicherheitskritische Aufgabe der Passwortverwaltung, des Hashings und der MFA wird an den Identitätsprovider (z.B. Google) ausgelagert.²

Nachteile und Risiken

• Abhängigkeit und Kontrollverlust: Die Sicherheit des eigenen Dienstes wird untrennbar mit der Sicherheit des Kontos beim Drittanbieter verknüpft. Wird das Google-Konto eines Nutzers kompromittiert, sind alle damit verbundenen Dienste ebenfalls unmittelbar gefährdet. Man ist zudem von der Verfügbarkeit und den Richtlinien des Providers abhängig.¹¹
• Datenschutzbedenken: Viele Nutzer sind zu Recht misstrauisch, wenn eine App weitreichenden Zugriff auf ihre Social-Media-Daten anfordert. Um das Vertrauen der Nutzer nicht zu verspielen, ist es für Unternehmen essenziell, nur die absolut notwendigen Berechtigungen (Scopes) anzufordern.³⁸
• Risiken bei falscher Implementierung: Die OAuth- und OIDC-Protokolle sind komplex. Eine unsachgemäße Konfiguration kann zu gravierenden Sicherheitslücken führen, die beispielsweise den Diebstahl von Tokens ermöglichen.³⁵

Die Entscheidung für oder gegen Social Login ist somit eine strategische Abwägung zwischen einem Gewinn an Benutzerfreundlichkeit und dem Verlust an Kontrolle. Für B2C-Plattformen und E-Commerce-Shops, bei denen eine schnelle und reibungslose Konversion im Vordergrund steht, kann der Nutzen die Risiken überwiegen. Für B2B-Anwendungen oder Hochsicherheitssysteme, bei denen die volle Kontrolle über den Authentisierungsprozess und die Nutzeridentitäten entscheidend ist, ist diese Methode oft ungeeignet.

Der passwortlose Zwischenschritt: Magic Links

Magic Links bieten eine elegante Form der passwortlosen Authentisierung, die auf den ersten Blick wie Magie wirkt. Der Prozess ist denkbar einfach: Der Nutzer gibt seine E-Mail-Adresse ein, und das System sendet ihm daraufhin einen einzigartigen, zeitlich begrenzten Link. Ein Klick auf diesen Link in der E-Mail genügt, um den Nutzer direkt und ohne weitere Eingaben in der Anwendung anzumelden.⁴⁰ Technisch basiert dies auf einem einmalig gültigen, kryptografischen Token, das in die URL des Links eingebettet ist.¹³

Vorteile

• Hervorragende User Experience: Da das Merken und Eintippen von Passwörtern komplett entfällt, wird die Anmeldereibung drastisch reduziert. Dies führt zu einer sehr flüssigen und positiven Nutzererfahrung.¹³
• Keine Passwort-bezogenen Risiken: Wo keine Passwörter existieren, können sie auch nicht schwach, wiederverwendet oder durch Phishing und Credential-Stuffing-Angriffe kompromittiert werden.¹³

Nachteile und Sicherheitsimplikationen

Die Einfachheit von Magic Links hat ihren Preis, denn die Sicherheit wird vollständig auf einen anderen Faktor verlagert.

• Sicherheit ist an das E-Mail-Konto gekoppelt: Die gesamte Sicherheit der Authentisierung hängt von der Sicherheit des E-Mail-Postfachs des Nutzers ab. Hat ein Angreifer Zugriff auf die E-Mails eines Nutzers – sei es durch ein schwaches Passwort, Phishing oder ein Datenleck beim E-Mail-Provider –, hat er auch uneingeschränkten Zugriff auf jede Anwendung, die via Magic Link gesichert ist.⁹
• Anfälligkeit für Angriffe: Werden die E-Mails unverschlüsselt übertragen oder in einem ungesicherten Netzwerk abgerufen, können Angreifer den Link durch Man-in-the-Middle-Angriffe abfangen.¹³
• Abhängigkeit von der E-Mail-Zustellbarkeit: Die Nutzererfahrung leidet erheblich, wenn die E-Mail mit dem Magic Link im Spam-Ordner landet oder mit großer Verzögerung zugestellt wird.¹³
• Zeitliche Begrenzung: Aus Sicherheitsgründen müssen die Links nach kurzer Zeit (typischerweise wenige Minuten) ihre Gültigkeit verlieren. Verpasst ein Nutzer dieses Zeitfenster, kann dies zu Frustration führen.³⁴

Im Kern sind Magic Links ein zur primären Anmeldemethode erhobener „Passwort-vergessen“-Fluss. Sie tauschen das Risiko eines kompromittierten Passworts gegen das Risiko eines kompromittierten E-Mail-Kontos. Damit stellen sie zwar eine brillante UX-Optimierung, aber keine fundamentale Sicherheitsinnovation dar. Sie eignen sich hervorragend für Anwendungsfälle mit geringerem Sicherheitsbedarf, wie die Bestätigung einer E-Mail-Adresse, den einmaligen Zugriff auf einen geteilten Warenkorb oder die Anmeldung zu einem Newsletter.⁴³ Für den Schutz sensibler Daten sollten sie nur in Kombination mit einem weiteren Faktor (z. B. Geräteerkennung) eingesetzt werden.

Die Zukunft ist da: Passkeys als neuer Goldstandard

Passkeys stellen einen fundamentalen Paradigmenwechsel in der digitalen Authentisierung dar. Sie sind nicht nur eine weitere Alternative, sondern ein direkter Ersatz für Passwörter, der darauf ausgelegt ist, die größten Schwachstellen der traditionellen Authentisierung systemisch zu eliminieren. Passkeys basieren auf dem WebAuthn-Standard, der gemeinsam von der FIDO Alliance und dem World Wide Web Consortium (W3C) entwickelt wurde, und nutzen die bewährte Public-Key-Kryptografie.⁴⁴

Technische Funktionsweise

Die Sicherheit von Passkeys beruht auf einem Prinzip, das das Konzept des „geteilten Geheimnisses“ (shared secret) vollständig vermeidet. Statt eines Passworts, das sowohl der Nutzer als auch der Server kennen müssen, wird ein asymmetrisches Schlüsselpaar verwendet.

• Registrierung: Wenn ein Nutzer einen Account bei einem Dienst erstellt, der Passkeys unterstützt, generiert sein Gerät (z. B. Smartphone, Laptop oder ein Hardware-Sicherheitsschlüssel) ein einzigartiges kryptografisches Schlüsselpaar.⁴⁵
  • Der private Schlüssel wird sicher auf dem Gerät des Nutzers gespeichert, zum Beispiel in einem speziell geschützten Hardware-Element wie der Secure Enclave in Apple-Geräten oder einem Trusted Platform Module (TPM) in Windows-PCs. Dieser Schlüssel verlässt das Gerät des Nutzers niemals.⁴⁷
  • Der öffentliche Schlüssel wird an den Server der Website oder App übertragen und dort zusammen mit dem Benutzernamen gespeichert. Dieser Schlüssel ist, wie der Name schon sagt, öffentlich und nicht geheim.⁴⁵
• Anmeldung: Der Anmeldevorgang ist ebenso elegant wie sicher.
  1. Die Website sendet eine zufällige, einmalige Anfrage, eine sogenannte „Challenge“, an das Gerät des Nutzers.
  2. Der Nutzer entsperrt den Zugriff auf seinen privaten Schlüssel auf dem Gerät – typischerweise durch eine biometrische Geste (Fingerabdruck, Gesichtsscan) oder die Geräte-PIN.⁴⁷
  3. Das Gerät verwendet den privaten Schlüssel, um die Challenge digital zu „signieren“. Diese Signatur ist der kryptografische Beweis, dass der Besitzer des korrekten privaten Schlüssels die Anmeldung autorisiert hat.
  4. Die signierte Challenge wird an den Server zurückgesendet. Dieser kann mithilfe des zuvor gespeicherten öffentlichen Schlüssels überprüfen, ob die Signatur gültig ist. Stimmt alles überein, ist der Nutzer sicher authentisiert.⁴⁴

Der entscheidende Vorteil: Phishing-Resistenz

Das Geniale an diesem Aufbau ist die eingebaute Resistenz gegen Phishing. Jeder Passkey ist untrennbar mit der Internet-Domain verbunden, für die er erstellt wurde (z. B. accounts.google.com). Wenn ein Nutzer auf eine Phishing-Seite gelockt wird, die sich als Google ausgibt (z. B. google-login.scam.com), wird der Browser des Nutzers feststellen, dass die Domain nicht übereinstimmt. Er wird sich weigern, den für die echte Google-Seite erstellten Passkey zur Authentisierung anzubieten. Da kein Passwort existiert, das der Nutzer eingeben könnte, läuft der Phishing-Angriff ins Leere. Dies macht diese Form der Täuschung praktisch unmöglich.⁴⁴

Praktische Aspekte und das wachsende Ökosystem

Die treibende Kraft hinter Passkeys ist die FIDO Alliance, ein Industriekonsortium, dem Tech-Giganten wie Apple, Google und Microsoft angehören. Ihre Zusammenarbeit stellt sicher, dass Passkeys plattformübergreifend kompatibel sind.⁴⁹

• Synchronisation: Um den Verlust eines Geräts abzufedern, werden Passkeys über die Cloud-Dienste der großen Plattformanbieter (iCloud Keychain, Google Password Manager, Windows Hello) sicher und Ende-zu-Ende-verschlüsselt zwischen allen Geräten eines Nutzers synchronisiert. So kann ein auf dem iPhone erstellter Passkey nahtlos auf einem Mac oder iPad genutzt werden.⁴⁵
• Adoption: Die Akzeptanz von Passkeys wächst exponentiell. Große Plattformen wie Google, Amazon und PayPal melden bereits Hunderte Millionen von Nutzern, die Passkeys aktiviert haben.⁵¹ Auch im Unternehmensumfeld ist der Trend unübersehbar: Eine Umfrage aus dem Jahr 2024 ergab, dass 87 % der befragten Unternehmen Passkeys bereits einsetzen oder eine Implementierung planen.⁵² Die Technologie ist bereits auf über 95 % der modernen iOS- und Android-Geräte verfügbar und einsatzbereit.⁵³
• Herausforderungen: Die größten Hürden sind nicht mehr technischer Natur. Es geht darum, die tief verwurzelten Passwort-Gewohnheiten der Nutzer zu ändern und Aufklärungsarbeit zu leisten.⁵¹ Auch die Gestaltung von nutzerfreundlichen und sicheren Prozessen zur Account-Wiederherstellung bei Verlust aller Geräte bleibt eine zentrale Aufgabe für Dienstanbieter.⁴⁵

Passkeys lösen nicht nur das Usability-Problem von Passwörtern, sondern eliminieren systemisch die gefährlichsten Angriffsvektoren der letzten Jahrzehnte. Die massive Unterstützung durch die Plattformbetreiber ist mehr als nur ein Feature-Update; es ist der koordinierte Versuch, die grundlegende Sicherheitsarchitektur des Internets zu erneuern.

Die richtige Strategie wählen: Ein vergleichender Überblick und Handlungsempfehlungen

Die Wahl der richtigen Authentisierungsmethode ist keine Einheitsentscheidung, sondern hängt stark vom Kontext ab: der Sensitivität der Daten, der Zielgruppe und den geschäftlichen Zielen.⁵⁵ Die folgende Tabelle bietet einen vergleichenden Überblick über die diskutierten Methoden.

Aus diesem Vergleich leiten sich konkrete Handlungsempfehlungen für verschiedene Szenarien ab:

Für E-Commerce & B2C-Plattformen

• Ziele: Minimale Anmeldereibung, hohe Konversionsraten und gleichzeitig robuster Schutz vor Account-Übernahmen.
• Empfehlung: Bieten Sie eine durchdachte Auswahl an Methoden. Positionieren Sie Passkeys als primäre und beworbene Option, da sie die beste Kombination aus höchster Sicherheit und exzellenter User Experience bieten.⁵⁷ Bieten SieSocial Logins als schnelle Alternative für die Erstregistrierung an, um die Hürden niedrig zu halten. Passwort in Kombination mit TOTP-Apps sollte als sichere, traditionelle Option für Nutzer verfügbar bleiben, die dies bevorzugen. Auf SMS-basierte MFA sollte aufgrund der bekannten Risiken möglichst verzichtet werden.²³

Für interne Unternehmensportale & B2B-Anwendungen

• Ziele: Maximale Sicherheit, zentrale Kontrolle über Zugriffe und Einhaltung von Compliance-Vorgaben.
• Empfehlung: Hier sollten starke, durchsetzbare Methoden zum Einsatz kommen. Passkeys sind ideal, insbesondere gerätegebundene Passkeys (die nicht synchronisiert werden) für den Zugriff auf hochsensible Systeme, da sie eine noch stärkere Bindung an ein spezifisches Firmengerät herstellen.⁴⁷ Für den Zugriff auf eine Vielzahl interner Anwendungen ist eineSingle Sign-On (SSO)-Lösung, die ihrerseits mit einer starken MFA (idealerweise Passkeys oder TOTP) abgesichert ist, der Goldstandard.³⁵

Für Hochsicherheitsumgebungen (Finanzwesen, Gesundheitswesen)

• Ziele: Höchstmögliches, kompromissloses Sicherheitsniveau und die Erfüllung strenger regulatorischer Anforderungen (z. B. PSD2 im Zahlungsverkehr).
• Empfehlung: In diesen Bereichen sind Passkeys aufgrund ihrer überlegenen Phishing-Resistenz die Methode der Wahl.⁵³ Diese sollten durch eineadaptive Authentifizierung ergänzt werden. Solche Systeme bewerten das Risiko eines jeden Zugriffsversuchs in Echtzeit anhand kontextueller Daten wie Standort, Gerätetyp, Netzwerk und Nutzerverhalten. Bei einer Abweichung vom normalen Muster kann das System dynamisch eine zusätzliche Verifizierungsstufe anfordern, noch bevor ein Schaden entsteht.¹⁰

Fazit: Der Weg in eine sicherere und benutzerfreundlichere digitale Zukunft

Die Ära, in der das Passwort alleiniger Wächter unserer digitalen Identitäten war, neigt sich unaufhaltsam ihrem Ende zu. Die Analyse moderner Authentisierungsmethoden zeigt klar, dass die Branche einen Wendepunkt erreicht hat. Die Umstellung auf passwortlose und vor allem phishing-resistente Technologien wie Passkeys ist keine Frage mehr des „Ob“, sondern nur noch des „Wann“ und „Wie“.³⁵

Die Zukunft der Authentisierung liegt in einem mehrschichtigen Ansatz, der die stärksten verfügbaren Methoden intelligent kombiniert. Über die einmalige Anmeldung hinaus zeichnet sich bereits der nächste Entwicklungsschritt ab: die kontinuierliche oder adaptive Authentifizierung. Hierbei wird die Vertrauenswürdigkeit einer Nutzersitzung nicht nur beim Login, sondern permanent im Hintergrund bewertet, um auf verdächtige Aktivitäten sofort reagieren zu können.⁵⁵

Für Unternehmen jeder Größe ist jetzt der richtige Zeitpunkt, eine klare Strategie für den Übergang zu entwickeln. Dies beinhaltet die Modernisierung der eigenen Systeme, aber ebenso wichtig die Aufklärung und Begleitung der eigenen Nutzer auf diesem Weg. Der Wandel hin zu einer passwortlosen Zukunft bietet die einmalige Chance, zwei Ziele zu erreichen, die lange als widersprüchlich galten: die Sicherheit fundamental zu erhöhen und gleichzeitig die User Experience drastisch zu verbessern.⁴⁴

Hier geht es zum interaktiven Leitfaden zu Authentisierungsmethoden.

Referenzen

1. Der ultimative Leitfaden für Einmalpasswörter (OTP) – Ping Identity, Zugriff am Juli 18, 2025, https://www.pingidentity.com/de/resources/blog/post/one-time-password-ultimate-guide.html
2. Social Login: Definition, Pros & Cons, Examples – Descope, Zugriff am Juli 18, 2025, https://www.descope.com/learn/post/social-login
3. Die Risiken der passwortgeschützten Authentifizierung – Nevis Security, Zugriff am Juli 18, 2025, https://www.nevis.net/de/blog/risiken-der-passwortbasierten-authentifizierung
4. Authentifizierung als Grundpfeiler der IT-Sicherheit – Udo Gärtner, Zugriff am Juli 18, 2025, https://www.grtnr.it/wiki/authentifizierung/
5. www.cidaas.com, Zugriff am Juli 18, 2025, https://www.cidaas.com/de/blog/authentifizierung-vs-autorisierung/#:~:text=Bei%20der%20Authentifizierung%20handelt%20es,eines%20sicheren%20digitalen%20Umfelds%20unerl%C3%A4sslich.
6. Grundlegendes Wissen: Authentifizierung, Autorisierung – Nevis Security, Zugriff am Juli 18, 2025, https://www.nevis.net/de/grundlagen/authentifizierung-versus-autorisierung
7. Authentifizierung: Ein Leitfaden für starkes und sicheres Zugangsmanagement – Entrust, Zugriff am Juli 18, 2025, https://www.entrust.com/de/resources/learn/authentication
8. Authentifizierung per Passwort: Totgesagte leben länger – EDUCV, Zugriff am Juli 18, 2025, https://www.educv.de/blog/post-2021-06-16-authentifizierung-per-passwort/
9. Übersicht der Authentifizierungsmethoden – Onlinesicherheit, Zugriff am Juli 18, 2025, https://www.onlinesicherheit.gv.at/Services/Technologie-Schwerpunkte/Authentifizierung-im-Web/Uebersicht-der-Authentifizierungsmethoden.html
10. Was ist Authentifizierung? Verschiedene Arten der Authentifizierung – miniOrange, Zugriff am Juli 18, 2025, https://www.miniorange.com/de/blog/different-types-of-authentication-methods-for-security/
11. Business authentication methods: how to choose the best solution – Twilio, Zugriff am Juli 18, 2025, https://www.twilio.com/en-us/blog/insights/best-practices/authentication-methods
12. 7 Passwortlose Risiken und wie man sie mindert – AuthN by IDEE, Zugriff am Juli 18, 2025, https://www.getidee.com/de/blog/7-passwordless-risks-and-how-to-mitigate-them
13. The Pros and Cons of Leveraging Magic Links for Your Application …, Zugriff am Juli 18, 2025, https://www.lithiosapps.com/blog/the-pros-and-cons-of-leveraging-magic-links-for-your-application
14. HTTP-Authentifizierung – Wikipedia, Zugriff am Juli 18, 2025, https://de.wikipedia.org/wiki/HTTP-Authentifizierung
15. 6 Tips to Strengthen Your Security: Authentication Best Practices Guide – Authgear, Zugriff am Juli 18, 2025, https://www.authgear.com/post/web-application-authentication-best-practices
16. Encryption vs. Hashing vs. Salting – What’s the Difference? | Ping Identity, Zugriff am Juli 18, 2025, https://www.pingidentity.com/en/resources/blog/post/encryption-vs-hashing-vs-salting.html
17. Salted passwords and password hashing explained – NordVPN, Zugriff am Juli 18, 2025, https://nordvpn.com/blog/what-are-salted-passwords-and-password-hashing/
18. Password Hashing & Salting – Function and Algorithm Explained …, Zugriff am Juli 18, 2025, https://www.authgear.com/post/password-hashing-salting-function-and-algorithm-explained
19. Einfach erklärt: Wie funktioniert die 2-Faktor-Authentifizierung? | SECUTAIN, Zugriff am Juli 18, 2025, https://secutain.com/wissen/einfach-erklaert-wie-funktioniert-die-2-faktor-authentifizierung
20. 8 Multi-Factor Authentication (MFA) Types: A Complete Overview – Frontegg, Zugriff am Juli 18, 2025, https://frontegg.com/blog/multi-factor-authentication-types
21. Aktivieren Sie die Zwei-Faktoren-Authentifizierung für Ihre E-Mails – PowerDMARC, Zugriff am Juli 18, 2025, https://powerdmarc.com/de/turn-on-two-factor-authentication/
22. SIM Swapping and 2FA Bypass Attacks – SolCyber, Zugriff am Juli 18, 2025, https://solcyber.com/sim-swapping-and-2fa-bypass-attacks/
23. How does SIM swapping compromise SMS authentication? – Corbado, Zugriff am Juli 18, 2025, https://www.corbado.com/blog/sms-cost-reduction-passkeys/sim-swapping-sms-authentication-risk
24. SIM Swap Fraud 2025: Stats, Legal Risks & 360° Defenses – Keepnet Labs, Zugriff am Juli 18, 2025, https://keepnetlabs.com/blog/what-is-sim-swap-fraud
25. How to Protect Yourself from SIM Swapping Scams | INB Personal and Business Banking, Zugriff am Juli 18, 2025, https://www.inb.com/Blog/Posts/2334/Uncategorized/2025/4/How-to-Protect-Yourself-from-SIM-Swapping-Scams/blog-post/
26. Multi-Factor Authentication Protocols You Should Know for Enhanced Security, Zugriff am Juli 18, 2025, https://www.webasha.com/blog/multi-factor-authentication-protocols-you-should-know-for-enhanced-security
27. Authenticator App vs SMS Authentication: Which Is Safer? – Keeper Security, Zugriff am Juli 18, 2025, https://www.keepersecurity.com/blog/2024/02/15/authenticator-app-vs-sms-authentication-which-is-safer/
28. TOTP vs SMS: Which one is better for two-factor authentication (2FA)? – Stytch, Zugriff am Juli 18, 2025, https://stytch.com/blog/totp-vs-sms/
29. SMS-Based Authentication: Why It’s No Longer Enough for Security – Authsignal, Zugriff am Juli 18, 2025, https://www.authsignal.com/blog/articles/why-sms-based-authentication-is-no-longer-enough-for-secure-account-protection
30. What is a Time-based One-time Password (TOTP)? – Twilio, Zugriff am Juli 18, 2025, https://www.twilio.com/docs/glossary/totp
31. What is Multi-Factor Authentication (MFA)? – CrowdStrike.com, Zugriff am Juli 18, 2025, https://www.crowdstrike.com/en-us/cybersecurity-101/identity-protection/multifactor-authentication-mfa/
32. Multi-Factor Authentication (MFA) – Auth0, Zugriff am Juli 18, 2025, https://auth0.com/docs/secure/multi-factor-authentication
33. Mehr Sicherheit und bessere User Experience durch Integration von Verhaltensbiometrie, Zugriff am Juli 18, 2025, https://www.it-daily.net/it-sicherheit/identity-access-management/mehr-sicherheit-und-bessere-user-experience-durch-die-integration-von-verhaltensbiometrie
34. Multi factor authentication design: Security meets usability in UI/UX design – LogRocket Blog, Zugriff am Juli 18, 2025, https://blog.logrocket.com/ux-design/authentication-ui-ux/
35. Moderne Authentifizierung: Methoden, Sicherheit und Risiken – Dr. Datenschutz, Zugriff am Juli 18, 2025, https://www.dr-datenschutz.de/moderne-authentifizierung-methoden-sicherheit-und-risiken/
36. OAuth 2.0 and OpenID Connect overview | Okta Developer, Zugriff am Juli 18, 2025, https://developer.okta.com/docs/concepts/oauth-openid/
37. How OpenID Connect Works – OpenID Foundation, Zugriff am Juli 18, 2025, https://openid.net/developers/how-connect-works/
38. The Advantages And Disadvantages Of Using Social Media Logins For Business Registration | Martech Zone, Zugriff am Juli 18, 2025, https://martech.zone/infographic-cmos-social-login/
39. Soziale Netzwerke – vor der Anmeldung – Social Media – Die Risiken im Überblick – BSI, Zugriff am Juli 18, 2025, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Soziale-Netzwerke/Sicherheitsrisiken/sicherheitsrisiken.html
40. www.descope.com, Zugriff am Juli 18, 2025, https://www.descope.com/learn/post/magic-links#:~:text=smoother%20authentication%20flows.-,What%20is%20a%20magic%20link%3F,other%20messaging%20platforms%20like%20WhatsApp.
41. Passwordless Authentication with Magic Links – Auth0, Zugriff am Juli 18, 2025, https://auth0.com/docs/authenticate/passwordless/authentication-methods/email-magic-link
42. What are the pros and cons of using Magic Links? – Quora, Zugriff am Juli 18, 2025, https://www.quora.com/What-are-the-pros-and-cons-of-using-Magic-Links
43. What is a Magic Link and How Does it Work? – iDenfy, Zugriff am Juli 18, 2025, https://www.idenfy.com/blog/what-is-a-magic-link/
44. Was ist WebAuthn und wie funktioniert es? – Nevis Security, Zugriff am Juli 18, 2025, https://www.nevis.net/de/grundlagen/was-ist-webauthn
45. About the security of passkeys – Apple Support, Zugriff am Juli 18, 2025, https://support.apple.com/en-us/102195
46. WebAuthn and Passkeys for passwordless authentication – cidaas, Zugriff am Juli 18, 2025, https://www.cidaas.com/webauthn-and-passkeys/
47. Was sind Passkeys? Was ist ein Passkey? Wie funktionieren sie …, Zugriff am Juli 18, 2025, https://www.passkeys.com/de/was-sind-passkeys
48. Was ist WebAuthn? | Ping Identity, Zugriff am Juli 18, 2025, https://www.pingidentity.com/de/resources/identity-fundamentals/authentication-authorization-protocols/webauthn.html
49. Techopedia: FIDO2 & Passkeys: The Future of Passwordless Authentication | FIDO Alliance, Zugriff am Juli 18, 2025, https://fidoalliance.org/techopedia-fido2-passkeys-the-future-of-passwordless-authentication/
50. The beginning of the end of the password – Google Blog, Zugriff am Juli 18, 2025, https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/
51. World Passkey Day: The State of Passkeys in 2025 – Authsignal, Zugriff am Juli 18, 2025, https://www.authsignal.com/blog/articles/world-passkey-day-the-state-of-passkeys-in-2025
52. Passkey Adoption in the Workforce: What the Numbers Say – HID Global Blog, Zugriff am Juli 18, 2025, https://blog.hidglobal.com/passkey-adoption-workforce-what-numbers-say
53. State of passkeys 2025: passkeys move to mainstream – Biometric Update, Zugriff am Juli 18, 2025, https://www.biometricupdate.com/202501/state-of-passkeys-2025-passkeys-move-to-mainstream
54. Passkeys just shifts risk burden? – Reddit, Zugriff am Juli 18, 2025, https://www.reddit.com/r/Passkeys/comments/1lcvx8v/passkeys_just_shifts_risk_burden/
55. A Guide to Picking the Best Authentication Method in 2024 | by Hishaam Abdulaziz | Versent Tech Blog | Medium, Zugriff am Juli 18, 2025, https://medium.com/versent-tech-blog/a-guide-to-picking-the-best-authentication-method-in-2024-7ca205c37332
56. 6 Authentication Methods for Secure Web Applications | by Solomon Eseme | Strapi, Zugriff am Juli 18, 2025, https://medium.com/strapi/6-authentication-methods-for-secure-web-applications-ae0dcb5b421d
57. Authentication in E-Commerce – Transmit Security, Zugriff am Juli 18, 2025, https://transmitsecurity.com/blog/authentication-in-ecommerce
58. Die Unterschiede zwischen Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) erkunden – GlobalSign, Zugriff am Juli 18, 2025, https://www.globalsign.com/de-de/blog/unterschiede-zwischen-single-sign-on-und-multi-faktor-authentifizierung