Passwordless Authentication: Warum das Passwort 2026 endgültig ausgedient hat — besonders an der Frontline

Was ist Passwordless Authentication? Eine schnelle Definition von "passwordless auth methods"

Passwörter basieren auf einer Annahme, die im Alltag niemand einhält: dass jeder Nutzer für jedes Konto ein einzigartiges, langes, zufälliges Geheimnis verwendet. Die Realität sieht anders aus. Menschen recyceln Passwörter. Sie vergessen sie. Sie notieren sie auf Post-its, tippen sie in Notiz-Apps oder übergeben sie an Passwort-Manager, die selbst zum Ziel geworden sind.

Sicherheitsforscher sind sich einig: Passwörter sind strukturell unsicher. Angreifer verschwenden heute kaum noch Zeit damit, sie zu „knacken". Sie kaufen sie. Darknet-Marktplätze bieten Milliarden geleakter Zugangsdaten zum Pauschalpreis. Phishing-Kampagnen erreichen eine Professionalität, die Nutzer selbst in geschulten Organisationen nicht zuverlässig durchschauen.

Dazu kommt der Verwaltungsaufwand. Jedes Reset-Ticket bindet IT-Ressourcen. Jeder vergessene Login kostet Arbeitszeit. Besonders absurd wird das in Umgebungen, in denen die Nutzer weder einen persönlichen PC noch eine firmeneigene E-Mail-Adresse besitzen — also genau dort, wo das Passwort nie wirklich funktioniert hat.

Die wichtigsten Passwordless-Auth-Methods im Überblick

Verfahren zur passwortlosen Authentifizierung lassen sich in drei Kategorien einteilen. Jede hat ihre eigene Stärke, und die Wahl hängt davon ab, wie hoch die Sicherheitsanforderung ist, wie viel Aufwand die Einführung verträgt und — vor allem — welche Geräte Ihre Nutzer tatsächlich in der Hand haben.

Biometrische Authentifizierung

Biometrische Verfahren nutzen körperliche Merkmale, die jedem Menschen einzigartig sind: Fingerabdruck, Gesicht, Iris, Stimme. Der Fingerabdruckscan ist inzwischen die verbreitetste Variante; allein der Markt für Fingerabdruck-Authentifizierung soll bis 2025 auf 28,84 Milliarden US-Dollar wachsen.

Wichtig zu verstehen: Biometrische Daten verlassen das Gerät des Nutzers nie. Sie werden lokal verarbeitet und in einem sicheren Chip-Bereich gespeichert. Was an den Server zurückgeht, ist keine Fingerabdruckvorlage, sondern eine kryptografische Signatur.

Security Keys und Hardware-Token

Hardware-Security-Keys — YubiKey, Google Titan, SoloKeys — gelten als eine der sichersten Formen der Passwordless Authentication. Sie basieren auf dem FIDO2-Standard und arbeiten mit asymmetrischer Kryptografie: Bei der Registrierung erzeugt der Schlüssel ein Paar aus öffentlichem und privatem Schlüssel. Der private verbleibt dauerhaft auf dem Gerät. Der öffentliche wandert zum Dienst.

Beim Login signiert der Schlüssel eine serverseitig generierte Challenge. Kein Passwort, kein gemeinsames Geheimnis, kein wiederverwendbarer Token. Yubico meldete allein 2023 eine Million an Unternehmen im Finanz- und Bankensektor ausgelieferte Keys. Der Sektor mit der höchsten Angriffslast hat entschieden, wohin die Reise geht.

Passkeys (FIDO2 / WebAuthn)

Passkeys sind die modernste Ausprägung der Passwordless Authentication. Sie kombinieren die kryptografische Robustheit von Hardware-Schlüsseln mit der Bequemlichkeit biometrischer Freigaben auf dem eigenen Gerät. Für jede Website und Anwendung wird ein eigenes Schlüsselpaar erzeugt. Der private Schlüssel liegt in der Secure Enclave des Smartphones oder im TPM-Chip des Laptops. Der öffentliche liegt beim Dienst.

Die Adoption spricht für sich: Laut FIDO Alliance stieg die Passkey-Nutzung 2025 um 412 Prozent. Passkeys sind damit die am schnellsten wachsende Authentifizierungsmethode weltweit.

One-Time Passwords: Der pragmatische Zwischenschritt

Nicht jede Organisation kann über Nacht auf Passkeys umstellen. Für den Übergang — oder als zusätzliche Sicherheitsebene — spielen One-Time Passwords (OTPs) eine wichtige Rolle. Ein OTP ist ein automatisch generierter Code, der genau einmal gültig ist. Wird er abgefangen, ist er im selben Moment wertlos.

Die gängigsten Varianten:

• TOTP (Time-based One-Time Password): Ein Code, der aus einem geteilten Geheimschlüssel und der aktuellen Uhrzeit erzeugt wird. Gültigkeit 30 bis 60 Sekunden. Apps wie Google Authenticator oder Microsoft Authenticator generieren TOTPs lokal.

• SMS-OTP: Zustellung per Textnachricht. Einfach, aber anfällig für SIM-Swapping — mehrere Regulatoren haben SMS-OTP 2025 für hochkritische Anwendungen bereits untersagt.

• Magic Link / E-Mail-OTP: Ein Einmallink oder Code, der per E-Mail ankommt. Magic Links sind laut Branchendaten mit 41 Prozent der Deployments die derzeit meistverbreitete Form der Passwordless Authentication — einfach, weil sie ohne zusätzliche App und ohne Hardware funktionieren.

Die Grenze der E-Mail-basierten Verfahren wird aber schnell sichtbar, sobald Ihre Zielgruppe keine Firmen-E-Mail hat. Genau hier kippt der Blick auf die Frontline.

Was „Is Passwordless" nicht bedeutet: Die Abgrenzung zu MFA

Eine Frage, die in nahezu jedem Security-Workshop fällt: Ist Passwordless nicht einfach eine Variante der Multi-Faktor-Authentifizierung? Die kurze Antwort lautet nein. Die längere ist aufschlussreicher.

MFA verlangt zwei oder mehr unabhängige Faktoren. In der klassischen Ausprägung ist einer davon aber immer noch ein Passwort — es kommt lediglich ein zweiter Faktor hinzu. Die Schwachstelle Passwort bleibt bestehen; sie wird nur abgefedert.

Passwordless Authentication entfernt das Passwort komplett aus der Gleichung. Die Schwachstelle existiert nicht mehr, weil das Geheimnis nicht mehr existiert.

Passwordless kann selbstverständlich Teil einer MFA-Architektur sein — etwa wenn ein biometrischer Faktor mit einem Gerätezertifikat kombiniert wird. Entscheidend ist: An keiner Stelle mehr ein Passwort.

Credential Stuffing: Der Angriff, den Passwordless eliminiert

Credential Stuffing ist die dominante Angriffsform des Jahrzehnts. Der Ablauf ist mechanisch und in der Masse brutal effizient: Angreifer kaufen im Darknet Listen gestohlener Nutzername-Passwort-Kombinationen und probieren sie automatisiert auf hunderten anderer Plattformen aus. Tools wie Sentry MBA, SNIPR oder Openbullet testen Millionen von Kombinationen pro Stunde. Selbst bei einer Erfolgsrate von zwei Prozent ergeben sich daraus tausende kompromittierte Accounts.

Die finanziellen Folgen sind erheblich. Unternehmen verlieren durch Credential Stuffing laut Branchenanalysen im Schnitt sechs Millionen US-Dollar pro Jahr — zusammengesetzt aus Betrugsprävention, rechtlichen Kosten und Kundenverlust.

Passwordless Authentication schaltet dieses Geschäftsmodell vollständig ab. Es gibt nichts zu stehlen, weil es kein wiederverwendbares Geheimnis mehr gibt. Passkeys erzeugen für jede Domain ein eigenes Schlüsselpaar; ein auf einer Plattform entwendeter Passkey ist auf keiner anderen verwendbar. Die FIDO Alliance dokumentierte in einer Auswertung über 523 Millionen Authentifizierungen null erfolgreiche Phishing-Angriffe auf Passkey-Nutzer — und 4,2 Milliarden blockierte Credential-Stuffing-Versuche.

Passwordless Authentication with FIDO2 und WebAuthn — Der technische Standard für Sign Ins

Wer über die technische Grundlage moderner Passwordless-Verfahren spricht, spricht über FIDO2. Der Standard wurde von der FIDO Alliance gemeinsam mit dem W3C entwickelt und besteht aus zwei Komponenten: der WebAuthn-API, mit der Websites Public-Key-Kryptografie direkt im Browser nutzen, und CTAP (Client to Authenticator Protocol), das die Kommunikation zwischen Browser und externem Authenticator regelt — etwa einem Security Key per USB oder NFC.

Die zentralen Sicherheitseigenschaften von FIDO2:

• Kein geteiltes Geheimnis: Weder Passwort noch Seed verlassen das Gerät.

• Domain-Bindung: Passkeys funktionieren ausschließlich auf der legitimen Domain. Eine täuschend echte Phishing-Seite bekommt schlicht keine Signatur.

• Asymmetrische Kryptografie: Der Server speichert nur den öffentlichen Schlüssel. Selbst ein kompromittierter Server bietet einem Angreifer nichts Verwertbares.

• Phishing-Resistenz über 99 Prozent — so das Ergebnis einer vielzitierten Studie aus dem Jahr 2024.

Die Voraussetzungen sind heute praktisch überall gegeben: Alle modernen Browser unterstützen WebAuthn, alle gängigen Betriebssysteme verfügen über TPM oder vergleichbare Secure-Enclave-Lösungen, und die großen Identity-Provider — Okta, Microsoft Entra, Auth0, Ping Identity — haben FIDO2 und Passkeys nativ in ihre Produkte integriert.

NIS2, DSGVO, Cyber Resilience Act: Die regulatorische Dringlichkeit

Passwordless ist 2026 nicht mehr nur eine Security-Entscheidung. Sie wird zur Compliance-Frage.

Die NIS2-Richtlinie — inzwischen in nationalem Recht umgesetzt — verpflichtet „wesentliche" und „wichtige Einrichtungen" zu phishing-resistenter Authentifizierung für privilegierte Zugänge. Betroffen sind nicht nur KRITIS-Sektoren. Herstellende Unternehmen ab 50 Mitarbeitenden, Transport- und Logistikbetriebe, Großhandel, Lebensmittelproduktion, digitale Infrastruktur — alle fallen in den erweiterten Geltungsbereich. Wer 2026 noch klassische Passwort-Authentifizierung für administrative Konten nutzt, riskiert Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Die DSGVO wirkt leiser, aber konsistent: Artikel 32 verlangt Sicherheitsmaßnahmen nach dem „Stand der Technik". Das BSI hat seine Mindeststandards entsprechend angepasst — passwortbasierte Single-Faktor-Authentifizierung gilt nicht mehr als ausreichend. Bei einer Datenpanne, die auf schwache Authentifizierung zurückgeht, ist die haftungsrechtliche Lage 2026 eine andere als noch 2020.

Der EU Cyber Resilience Act, ab 2027 verbindlich, ergänzt das Bild um Produktanforderungen: Software und digitale Dienste, die in der EU vertrieben werden, müssen Authentifizierungsmechanismen nach dem Stand der Technik unterstützen. Passwort-only-Systeme werden faktisch vom Markt gedrängt.

Die Summe dieser drei Regelwerke: Passwordless Authentication ist der Pfad, den Regulatoren aktiv einfordern — nicht nur eine Option.

Die vergessene Hälfte der Belegschaft: "Benefits of passwordless authentication" für operative Angestellte

Bis hierhin liest sich die Geschichte wie eine reine IT-Security-Story. Sie ist es aber nicht. Die eigentliche Lücke liegt woanders.

Rund 80 Prozent der globalen Arbeitskräfte arbeiten nicht am Schreibtisch. Produktion, Einzelhandel, Logistik, Pflege, Bau, Gastronomie — überall dort, wo die Wertschöpfung unmittelbar am Produkt oder am Kunden stattfindet, hat ein großer Teil der Belegschaft keine Firmen-E-Mail und keinen persönlichen Firmen-Laptop. Der Standard-Login-Flow („Bitte geben Sie Ihre E-Mail-Adresse ein") scheitert hier schon im ersten Schritt.

Genau hier wird Identity Management für Mitarbeiter ohne PC zur zentralen strategischen Frage. Wenn der Großteil Ihrer Belegschaft digital gar nicht erst auftauchen kann, bleiben HR-Prozesse, Schulungen, Schichtplanung und Sicherheitsunterweisungen analog — mit allen Konsequenzen für Geschwindigkeit, Fehleranfälligkeit und Compliance.

Passwordless Authentication ist in dieser Situation nicht nur ein Sicherheits-Upgrade. Sie ist die Voraussetzung dafür, dass Mitarbeiter Zugang ohne E-Mail überhaupt möglich wird. Ein Fingerabdruck, ein Passkey auf dem privaten oder firmeneigenen Smartphone, eine geräte-gebundene biometrische Freigabe — all das funktioniert ohne E-Mail-Adresse, ohne selbst verwaltetes Passwort, ohne Helpdesk-Ticket bei jedem Schichtwechsel.

Der Login für operative Angestellte in Produktion, Einzelhandel oder Pflege muss zwei Bedingungen erfüllen: Er muss schnell sein, weil die Arbeitszeit an der Linie oder an der Kasse nicht warten kann. Und er muss sicher sein, weil in vielen Branchen Compliance-Anforderungen — Arbeitszeiterfassung, Zertifikate, Zugriff auf Kundendaten — mittlerweile auf Enterprise-Niveau liegen. Der klassische Mitarbeiter Login mit Benutzername und Passwort scheitert an beidem. Zu langsam. Zu unsicher.

Produktion: Authentifizierung an Maschine und Werkbank

An der Produktionslinie ist die Anforderung doppelt. Ein Schichtwechsel erlaubt keine minutenlangen Login-Prozesse, und die Zugriffe auf MES, Qualitätsmanagement oder Schichtbücher müssen sauber protokolliert sein. Passkeys auf einem firmeneigenen Smartphone oder geteilten Tablets lösen beides: Freigabe per Fingerabdruck oder PIN, lückenlose Auditspur, kein Passwort-Gerangel am Monitor.

Einzelhandel: Kassenfreigaben und Filialleiter-Handoffs

Im Einzelhandel ist der klassische Use Case die Kassenfreigabe durch die Filialleitung — bei Stornos, Altersprüfungen, Kassensturz. Statt eines gemeinsam genutzten Passworts, das oft am Monitor klebt, funktioniert der Mitarbeiter Zugang ohne E-Mail über eine biometrische Bestätigung auf dem persönlichen Gerät der berechtigten Person. Jede Freigabe personalisiert, keine Passwortweitergabe, saubere Compliance.

Logistik: Handscanner, Schichtwechsel, Leihpersonal

Im Lager und im Transport kommt eine zusätzliche Dimension ins Spiel: Leih- und Saisonpersonal. Passwordless-Onboarding per QR-Code dauert Minuten statt Tage — ein entscheidender Vorteil in einem Sektor, in dem Fluktuation zur Kalkulation gehört. Der Handscanner wird durch einen kurzen biometrischen Check entsperrt, die Session endet mit dem Ablegen des Geräts.

Pflege: Patientendaten und gesetzliche Anforderungen

In der Pflege treffen zwei Realitäten aufeinander: hohe regulatorische Anforderungen durch die elektronische Patientenakte und eine Belegschaft, die am Pflegebett arbeitet, nicht am Schreibtisch. Ein passwortloser Login für operative Angestellte über geteilte Stations-Tablets mit personalisierter Freigabe ist in vielen Einrichtungen inzwischen die einzige Lösung, die beide Seiten bedient.

Learn more about Flip Identity: Passwordless-Infrastruktur für die Frontline

An dieser Stelle schließt sich der Kreis. Flip Identity ist das Produkt, das die digitale Identität von operativen Angestellten als Kernproblem annimmt — nicht als Beiprodukt einer klassischen IAM-Architektur, die für Schreibtischarbeit entworfen wurde.

Der Ansatz ist pragmatisch und tief integriert. Jeder Frontline-Mitarbeitende erhält über die Flip-App eine Flip-native digitale Identität, die ohne Firmen-E-Mail funktioniert. Der Login läuft passwordless: biometrische Freigabe auf dem Gerät, einmalige Registrierung per QR-Code oder Magic Link, Folge-Logins über Passkeys. Angebunden werden sowohl Flip-eigene Module (Comms, Flows, Mini Apps) als auch die HR- und Ops-Systeme Ihres Unternehmens — Workday, UKG, SAP SuccessFactors — über native Integrationen statt Middleware.

Damit verschwindet die Hauptursache aller Helpdesk-Eskalationen an der Frontline: vergessene Passwörter. Und die IT-Abteilung bekommt etwas, das sie vorher nicht hatte: eine saubere Auditspur für jeden Zugriff jedes operativen Mitarbeitenden auf jedes System.

Mitbestimmung und Datenschutz: Der Betriebsrat gehört an den Tisch

Eine Einführung passwortloser Authentifizierung mit biometrischen Komponenten ist in Deutschland nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig. Wer den Betriebsrat erst am Ende des Prozesses hinzuzieht, verliert Monate.

Die entscheidenden Fragen, die Sie frühzeitig beantworten sollten:

• Wo werden biometrische Daten gespeichert? Bei FIDO2-konformen Verfahren ausschließlich lokal auf dem Gerät, in der Secure Enclave. Kein Template wird über das Netz übertragen oder zentral gespeichert.

• Was passiert mit den Daten bei Austritt? Der Passkey wird auf dem Gerät gelöscht, die serverseitige Registrierung im Identity Provider entfernt — kein Rückstand.

• Gibt es eine Pflicht zur biometrischen Nutzung? Nein. Ein PIN- oder Code-basiertes Fallback muss immer als gleichwertige Alternative angeboten werden.

Gut geführte Betriebsratsverhandlungen entlasten Ihre IT-Einführung — sie halten sie nicht auf. Eine transparente Betriebsvereinbarung zur passwortlosen Authentifizierung ist im Flip-Ökosystem inzwischen ein Standard-Asset, das Kunden direkt nachnutzen.

Der Stand 2026: Passwordless wird zum Default

2025 war der Wendepunkt. Mehrere Regulatoren haben SMS-OTP für hochkritische Anwendungen verboten. NIST hat die Anforderungen an Phishing-resistente MFA verschärft. Und Passkeys haben erstmals Massenadoption erreicht — Microsoft meldete bereits Anfang 2023 zwei Millionen monatliche passwortlose Anmeldungen allein über Windows Hello; Banken wie Revolut und Regierungen in Australien und Neuseeland haben Passkeys für fast 30 Millionen Menschen nutzbar gemacht.

Der Gesamtanteil passwortloser Authentifizierungen wuchs 2025 um 64 Prozent und liegt inzwischen bei rund 73 Prozent aller Anmeldungen — gegenüber 45 Prozent im Jahr davor. Die Europäische Union hat im Rahmen des EU Digital Identity Wallet Framework 46 Millionen Euro in Pilotprojekte investiert, die passwortlose Bürger-Identifikation ermöglichen.

Die Frage ist nicht mehr, ob Ihr Unternehmen Passwordless einführt. Die Frage ist, wie zügig Sie es tun — und ob Sie dabei die operative Belegschaft gleich von Anfang an mitdenken. Wer Passwordless nur für Desk-Worker ausrollt und 80 Prozent der Mitarbeitenden bei Username-Passwort-Logins belässt, hat den halben Gewinn verschenkt.

In fünf Schritten zu Passwordless: Ein pragmatischer Migrationspfad

Große Migrationen scheitern meistens nicht an der Technologie, sondern an der Reihenfolge. Wer versucht, die gesamte Belegschaft zum Stichtag umzustellen, erntet Widerstand statt Adoption. Der folgende Pfad hat sich in Enterprise-Einführungen als robust erwiesen.

Die gesamte Migration dauert in typischen DACH-Enterprises zwischen sechs und zwölf Monaten. Das ist kein Projekt für das Sommer-Intermezzo. Es ist ein strategischer Umbau mit messbarem Payback.

Quellen: IBM Security Report, FIDO State of Passkey Deployments.

FAQ: Die wichtigsten Fragen zu Passwordless Authentication