Die Begriffe Passwörter und Passkeys klingen ähnlich, aber vielen außerhalb des Bereichs der Identitätsverwaltung sind ihre grundlegenden Unterschiede nicht bekannt oder bewusst.
Die meisten Geschäftsanwendungen, Dienste und Tools erfordern, dass sich Benutzer anmelden, bevor sie Zugriff erhalten. Dazu gibt es verschiedene Methoden, wobei die am häufigsten genutzte Authentifizierungsmethode das herkömmliche Passwort ist.
Passwörter waren in der Vergangenheit stets die wichtigste Methode zur Überprüfung der Identität eines Benutzers. Da das digitale Identitätsmanagement jedoch immer komplexer geworden ist und Cyberkriminalität auf besorgniserregende Weise zunimmt, bieten diese Maßnahmen allein nicht mehr genug Schutz. Passkeys hingegen haben sich als alternative Lösung bewährt, die nach Meinung vieler der Standardkombination aus Benutzername und Passwort überlegen ist.
Da Unternehmen ihre Geschäftstätigkeiten immer mehr ausweiten und ihre Sicherheitsanforderungen immer komplexer werden, schafft die Erläuterung der Unterschiede zwischen diesen beiden Methoden umfassende Klarheit. Dadurch können die Unternehmen fundiertere Entscheidungen über ihre Identitätsmanagement-Infrastruktur und -Prozesse treffen und ein hohes Sicherheitsniveau gewährleisten.
Moderne Passwörter auf einen Blick
Passwörter gibt es schon seit langer Zeit. Sie bestehen gewöhnlich aus einem Wort oder einer Phrase, die sich der Benutzer gut merken kann, sowie aus Zahlen und Zeichen für mehr Komplexität. Da die Benutzerauthentifizierung für alle möglichen Anmeldungen bei Apps und Co. unerlässlich ist, verwenden Benutzer Passwörter häufig für mehrere Konten. Das ist praktisch, aber riskant, da dieses Vorgehen als „schwacher” Schutz gilt.
In den letzten Jahren hat sich dies zu einem Problem bei der Cybersicherheit entwickelt, und das auch, wenn auf Unternehmensebene Lösungen zur Passwortverwaltung genutzt werden. Passwörter können geknackt werden, wenn sie nicht komplex genug sind,. Zudem sind sie anfällig für Phishing-, Brute-Force- und serverbezogene Cyberangriffe.
Der menschliche Faktor erschwert die Passwortsicherheit noch zusätzlich. Benutzer haben häufig mit „Passwortmüdigkeit“ zu kämpfen, was oft zu vorhersehbaren Verhaltensweisen führt. Dazu gehören das seltenere Aktualisieren der Anmeldedaten oder die Verwendung von ähnlichen Passwörtern mit nur geringen Änderungen für verschiedene Konten. Dieses Verhalten führt zu vorhersehbaren Mustern, die Angreifer über ausgeklügelte Vektoren ausnutzen können. Dieses Problem wird durch die Daten von Microsoft zu Identitätsangriffen verdeutlicht, nach denen Passwort-basierte Angriffe über 99 % der täglichen Identitätsangriffe ausmachen.
Statistisch gesehen ist die Passwortverwaltung eine kostspielige Sache. Für mittelständische Unternehmen mit 5.000 Mitarbeitern können jährlich über 1 Million Dollar für Probleme im Zusammenhang mit Passwörtern anfallen. Zudem verbringen Mitarbeiter aus dem IT-Support oft etwa 30 bis 50 % ihrer Zeit damit, Zugangsdaten zurückzusetzen.
Was sind Passkeys?
Passkeys lassen sich nicht einfach definieren, aber sie unterscheiden sich deutlich von Passwörtern. Es handelt sich dabei um eine neue Art von Zugangsdaten, die aus zwei separaten kryptografischen Schlüsseln bestehen: einem öffentlichen Schlüssel, der bei der Anwendung oder Website registriert ist, und einem privaten Schlüssel, der lokal auf dem Gerät des Benutzers gespeichert ist. Erst durch das Koppeln dieser Schlüssel wird Zugriff gewährt.
Wenn ein Benutzer versucht, sich anzumelden, weist sein Gerät den Besitz des privaten Schlüssels nach, aber ohne dass dieser über das Netzwerk übertragen wird. Der Authentifizierungsprozess umfasst in der Regel eine biometrische Überprüfung mittels Fingerabdruck- oder Gesichtsscanner, oder durch Geräte-PINs. Das kann genauso problemlos funktionieren wie eine Lösung zur automatischen Passwortgenerierung.
Da der private Schlüssel das Gerät des Benutzers niemals verlässt und die Authentifizierung auf der Übereinstimmung bestimmter Domänen basiert, werden Phishing-Angriffe schwieriger. Denn Angreifer können nichts abfangen oder stehlen, was gar nicht erst übertragen wurde. Zudem können Passkeys nicht auf betrügerischen Websites repliziert werden.
Unterschiede zwischen Passkeys und Passwörtern
Es gibt also deutliche Unterschiede zwischen diesen beiden Lösungen, und die wesentlichen sind hier zusammengefasst.
- Passwörter sind eindeutige Zeichenfolgen aus alphanumerischen Zeichen, während Passkeys kryptografische Schlüssel sind, die von einem bestimmten System generiert werden.
- Passkeys sind standardmäßig individualisiert, wohingegen die Benutzer bei Passwörtern selbst entscheiden, wie individuell und komplex sie sind.
- Die Passwortspeicherung erfolgt auf Servern oder in Datenbanken, während Passkeys aus einem öffentlichen, serverseitigen Schlüssel und einem privaten Schlüssel bestehen, der auf dem Gerät des Benutzers gespeichert ist.
- Passkeys bieten ein Dual-Key-Authentifizierungssystem, während die Komplexität von Passwörter variabel ist.
- Benutzer können ihre Passwörter ändern, aber für die Verwaltung von Passkeys ist oft eine spezielle Software erforderlich.
Warum die Entscheidung wichtig ist: Risiko und Compliance
Bei Unternehmen, die hochsensible Daten und Informationen verwalten oder komplexe Sicherheitsanforderungen abwägen müssen, wirkt sich die Entscheidung für eine Authentifizierungsmethode direkt auf ihre allgemeine Sicherheitslage aus. Datenverstöße können für Unternehmen katastrophale Folgen haben, und zwar sowohl finanziell als auch in Bezug auf ihren Ruf. Laut dem IBM Cost of a Data Breach Report 2025 belaufen sich die durchschnittlichen Kosten eines Datenverstoßes auf 4,4 Millionen US-Dollar. Aber eine weitere aktuelle Studie ergab auch, dass 75 % der US-Verbraucher keine Produkte mehr von einer Marke kaufen würden, die Opfer eines Cybervorfalls war. Dieser Vertrauensverlust wirkt sich natürlich direkt auf den Unternehmensgewinn aus. Unternehmen in stark regulierten Branchen wie dem Gesundheits-, Finanz- und Versicherungswesen unterliegen strengen Vorschriften zum Schutz der Kundendaten.
Wenn Unternehmen sensible Informationen an ausgelagerte virtuelle Assistenten, Anbieter von verwalteten Diensten, dezentral arbeitende Teams oder Einzelunternehmer weitergeben, werden strenge Richtlinien zur Zugriffskontrolle noch wichtiger. Schon ein einziger Sicherheitsverstoß kann einem Angreifer Zugriff auf viele verbundene Systeme und Anmeldungen verschaffen, was nicht übersehen werden sollte.
Integration mit PKI und zertifikatsbasierter Authentifizierung
Das Verständnis von Passkeys und Passwörtern im Zusammenhang mit der umfassenderen Identitätsinfrastruktur eines Unternehmens führt zu wichtigen Überlegungen für deren angemessene Bereitstellung. Beide Methoden lassen sich in die Public Key Infrastructure (PKI) integrieren, jedoch auf unterschiedliche Weise.
Passkeys entsprechen naturgemäß den PKI-Prinzipien und basieren auf kryptografischen Schlüsselpaaren, die denen in digitalen Zertifikaten ähneln. Wenn für sichere Kommunikation oder Dokumentenüberprüfung bereits die zertifikatsbasierte Authentifizierung eingesetzt wird, können Passkeys als Ergänzung zur vorhandenen Sicherheitsarchitektur in Betracht gezogen werden.
Passwortbasierte Systeme können über Protokolle wie SAML, OAuth 2.0 und OIDC in PKI integriert werden und ermöglichen so Single-Sign-On-Prozesse (SSO). Zwischen Identitätsanbietern und Dienstanwendungen können zertifikatsbasierte Vertrauensbeziehungen aufgebaut werden, sodass Unternehmen für ihre gesamten Domänen zentralisierte Authentifizierungsrichtlinien durchsetzen können.
Wenn Unternehmen komplexe Zertifikatsökosysteme verwalten, ist die Wahl zwischen Passkeys und Passwörtern mit Fragen zur automatisierten Bereitstellung, Rotation und Sperrung von Zertifikaten verbunden. Die Implementierung von Passkeys erfordert ähnliche Überlegungen zum Lebenszyklusmanagements. Daher sollte man sich folgende Fragen stellen:
- Wie werden Schlüssel für neue Geräte bereitgestellt?
- Was passiert, wenn Geräte verloren gehen oder kompromittiert werden?
- Wie nutzen Unternehmen ihre Prüfpfade für Authentifizierungsereignisse?
Grundlegende zu berücksichtigende Faktoren
Passkeys gelten allgemein als sicherer als Passwörter, da sie nicht auswendig gelernt, manuell erstellt oder regelmäßig geändert werden müssen. Moderne Protokolle zur Passwortverwaltung schreiben Mindestzeichenlängen und Anforderungen für jedes Passwort vor, um Sicherheitsstandards und -richtlinien zu erfüllen. Dadurch wird es für Benutzer nicht nur fast unmöglich, sich alles zu merken, sondern sie müssen auch noch regelmäßig geändert werden.
Passkeys werden automatisch mithilfe von Kryptografie generiert, wobei die Anmeldedaten in zwei Schlüsselteile aufgeteilt werden, die nicht isoliert voneinander funktionieren. Selbst wenn ein Angreifer irgendwie an einen öffentlichen Schlüssel gelangen sollte, ist dieser ohne den dazugehörigen privaten Schlüssel nutzlos.
Große Unternehmen wie Google, Microsoft, Apple und Amazon arbeiten mit Organisationen wie der FIDO Alliance zusammen, um eine breitere Implementierung von Passkeys auf verschiedenen Plattformen zu fördern. Das zeigt, dass diese führenden Unternehmen Passkeys als grundsätzlich sicherer ansehen.
Wie also sollten die Entscheidungsträger in Unternehmen ihre Authentifizierungsstrategien bewerten? Zunächst müssen sie Zeit und Ressourcen aufwenden, um Folgendes zu ermitteln:
- Können ihre Kunden und Lieferanten effektiv von Benutzername-Passwort-Kombinationen auf eine passwortbasierte Authentifizierung umsteigen?
- Welche Anwendungen unterstützen Passkeys?
- Was wäre ein realistischer Zeitplan für die Migration?
- Unterstützen die gewählten Authentifizierungsansätze relevante Branchenstandards wie DSGVO, HIPAA, PCI-DSS und andere branchenspezifische Rahmenwerke?
- Wie sehen externe Cybersicherheitsspezialisten das aktuelle Risiko eines Unternehmens in Bezug auf bisherige Sicherheitsverletzungen und sein Bedrohungsniveau?
- Kann das interne IT-Team jedes eingesetzte Authentifizierungssystem verwalten und entscheiden, ob zusätzliche Ressourcen erforderlich sind?
Der nächste logische Schritt bei der Unternehmensauthentifizierung
Die Authentifizierung ist und bleibt eine Notwendigkeit und Herausforderung für Unternehmen, die immer mehr volatile und wertvolle Daten verwalten. Die Welt der Cyberbedrohungen entwickelt sich jedoch in einem beispiellosen Tempo weiter. Unternehmen müssen daher unabhängig von ihrem Risikoprofil robuste Schutzmaßnahmen einsetzen, wenn sie in irgendeiner Form Datenintegrität gewährleisten wollen.
Passwörter bleiben zwar unverzichtbar, aber die massenhafte Einführung von Passkeys gewinnt an Dynamik, und ihr Wert als grundlegende Cybersicherheitsinitiative kann kaum geleugnet werden. Wenn Unternehmen eine flächendeckende Einführung von Passkeys in Betracht ziehen, evaluieren und planen, können sie diese Technologie optimal nutzen, sobald ihre Verbreitung noch weiter zunimmt und immer mehr Open-Source-Technologien sie als Mindestanforderung für den Zugang vorschreiben.
Die Authentifizierung ist jedoch nur eine Komponente einer ansonsten vielschichtigen Sicherheitsarchitektur. Überlegen Sie, wie sich die Authentifizierung in umfassendere Anforderungen zu Identitätsmanagement, Zugriffskontrolle, Zertifikatsinfrastruktur und Compliance integrieren lässt und diese unterstützen kann. Dabei wird sich die Erkenntnis, dass Sicherheit das Ergebnis mehrerer Verteidigungsebenen und nicht isolierter Funktionen ist, als effektivste Grundhaltung erweisen.
Für Unternehmen, die digitale Identitäten in großem Umfang verwalten, geht es weniger um die Wahl zwischen Passkeys und Passwörtern als vielmehr um die Entwicklung von geeigneten Authentifizierungsstrategien. Denn diese stehen mit der Risikotoleranz des Unternehmens, den Bedürfnissen der Benutzer, der technischen Kompetenz und der Compliance im Einklang. Ob Implementierung von Passkeys, Aufrechterhaltung einer robusten Passwortverwaltung oder Einführung eines hybriden Ansatzes – das Ziel bleibt gleich: Ein sicherer Zugriff, der sowohl das Unternehmen als auch seine Benutzer und Kunden schützt, muss oberste Priorität haben.
Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors bzw. der Autorin und geben nicht unbedingt die von GlobalSign wieder.
