Google warnt 2 Milliarden Nutzer – Das Zeitalter der Passwörter ist vorbei. „Passkeys“ schützen die Welt.

Inhaltsverzeichnis

1. Was sind Passkeys? Der entscheidende Unterschied zu Passwörtern

2. Die Realität, die durch den Vorfall mit 16 Milliarden geleakten Datensätzen ans Licht kam

3. Googles Strategie „Passkey by Default“

4. Technische Erklärung: Wie FIDO2/WebAuthn funktioniert

5. Weltweite Einführung: Bewegungen von Apple, Microsoft und wichtigen Websites

6. Aus der Sicht der Nutzer: Einrichtungsverfahren und Fehlerbehebung

7. Für Unternehmen und Entwickler: Best Practices für Implementierung und Betrieb

8. Datenschutz und Sicherheit biometrischer Informationen

9. Globale Herausforderungen und Einführung in Entwicklungsländern

10. Zusammenfassung: Die Zukunft nach dem Passwort
    
    

1. Was sind Passkeys? Der entscheidende Unterschied zu Passwörtern

Passkeys sind asymmetrische Authentifizierungsinformationen, die auf öffentlicher Schlüsselverschlüsselung basieren, wobei der geheime Schlüssel auf der Benutzerseite und der öffentliche Schlüssel auf der Serverseite gespeichert wird. Da der geheime Schlüssel nicht außerhalb des Geräts gelangt, sind sie stark gegen Phishing und Replay-Angriffe.

Darüber hinaus ermöglichen sie die Signierung mit nativen Entsperrmethoden des Betriebssystems wie Fingerabdruck, Gesichtserkennung oder PIN, was die Gedächtnisbelastung verringert und die Benutzererfahrung beschleunigt. Laut Google verbessert sich die Anmeldegeschwindigkeit um etwa 40 % im Vergleich zu Passwörtern.blog.google

2. Die Realität, die durch den Vorfall mit 16 Milliarden geleakten Datensätzen ans Licht kam

Im Juni 2025 deckte eine Untersuchung von Cybernews auf, dass 30 riesige Datensätze offengelegt wurden, die insgesamt 16 Milliarden IDs und Passwörter auf dem Schwarzmarkt enthielten. Darunter waren Anmeldedaten, die in mehreren Diensten wie Google, Apple und Meta wiederverwendet wurden. Experten warnen, dass „pro Menschheit im Durchschnitt zwei Authentifizierungsinformationen geleakt wurden“.cbsnews.comm.economictimes.com

3. Googles Strategie „Passkey by Default“

Ab Oktober 2023 hat Google Passkeys für persönliche Konten standardmäßig aktiviert und plant, bis Juni 2025 von 200 Millionen auf 2 Milliarden Nutzer zu erweitern. „Skip password when possible“ wird standardmäßig aktiviert sein und kann in Diensten wie Gmail, YouTube und Maps genutzt werden.

Google hat Passkeys als primäre Authentifizierung und Passwörter als veraltet eingestuft.blog.googlefidoalliance.org

4. Technische Erklärung: Wie FIDO2/WebAuthn funktioniert

• FIDO2: Austausch von öffentlichen Schlüsseln zwischen Client (CTAP2-kompatibles Gerät) und Plattform (Browser).

• WebAuthn API: Browser-Standard, der in JavaScript aufgerufen wird. Sendet den öffentlichen Schlüssel bei der Registrierung an den Server und gibt bei der Authentifizierung eine Challenge-Signatur zurück.

• Mehrfaktor vs. Mehrstufig: Passkeys vereinfachen MFA zu einem Schritt durch "Besitz + Biometrie".
  
  
  
  

5. Einführung weltweit - Bewegungen von Apple, Microsoft und wichtigen Websites

Apple integriert ab iOS 17 die iCloud-Schlüsselbund, Microsoft bietet Windows Hello als FIDO2-Authenticator an. eBay, Uber und WhatsApp werden bis 2025 Passkey-Unterstützung abgeschlossen haben. Pilotprojekte laufen auch in Regierungsportalen und Finanzinstituten weltweit.

6. Aus der Sicht der Benutzer: Einrichtungsanleitung und Fehlerbehebung

1. Google-Konto → Sicherheit → Passkey generieren.

2. Automatische Synchronisation ab Android 14 und iOS 17.

3. Ältere Geräte verwenden FIDO-Sicherheitsschlüssel (USB/NFC) als Backup.

4. Bei Gerätewechsel sicherer Transfer über iCloud oder Google Password Manager.

5. Bei Fehlern die WebAuthn-Einstellungen im Browser und die Registrierung der biometrischen Authentifizierung im Betriebssystem überprüfen.
   
   
   
   

7. Für Unternehmen und Entwickler: Best Practices für Implementierung und Betrieb

• WebAuthn Level 3 Entwurf im Blick behalten und resident key verpflichtend machen.

• Verwendung der Provisioning-API, um die Wiederherstellung zu ermöglichen, falls Benutzer ihr Gerät verlieren.

• Stufenweise Migration entwerfen, wie "nur Passkey" oder "Passkey + OTP".

• In die Protokollüberwachung “webauthn-signature-counter” einbeziehen, um wiederverwendete Schlüssel zu erkennen.
  
  
  
  

8. Datenschutz und Sicherheit biometrischer Informationen

Passkeys senden biometrische Daten selbst nicht an den Server. Das Betriebssystem führt die lokale Übereinstimmung durch und gibt nur ein Erfolgs- oder Misserfolgsflag zurück, sodass Fingerabdrücke oder Gesichtsaufnahmen nicht in der Cloud gespeichert werden.Das Design ist so gestaltet, dass es leicht mit Datenschutzbestimmungen (GDPR, CCPA, überarbeitetes japanisches Datenschutzgesetz) kompatibel ist.

9. Globale Herausforderungen und Einsatz in Entwicklungsländern

Auf günstigen Android Go-Geräten und öffentlichen PCs sind oft keine Biosensoren installiert. In solchen Fällen sind die Kombination von PIN und Sicherheitsschlüssel oder ein SMS-OTP als Fallback erforderlich. Es wird berichtet, dass die FIDO-Allianz plant, im Jahr 2025 die Spezifikation für “Passkey Lite” zu veröffentlichen (eine leichtgewichtige Implementierung für leistungsschwache Geräte).

10. Fazit: Die Zukunft nach dem Passwort

• Kurzfristig: Haupt-Webdienste machen Passkeys zur Pflicht, und Passwörter werden zur Backup-Methode.

• Mittelfristig: Geräte mit Hardware-Sicherheitsmodul (TPM) werden standardisiert.

• Langfristig: In Kombination mit dezentralen IDs (DID) entwickelt sich eine “selbstsouveräne” Authentifizierungsinfrastruktur.
  
  
  Die Warnung von Google signalisiert das Ende einer 30-jährigen Praxis, die sich auf Passwörter konzentriert. Jetzt ist es an der Zeit, dass alle Internetnutzer weltweit handeln.
  
  

Liste der Referenzartikel

• CBS News „16 billion login credentials from Google and other sites leaked online“ (2025-06-20) cbsnews.com

• The Economic Times „How to secure your Google account after the 16 billion passwords leaked“ (2025-06-20) m.economictimes.com

• Google Official Blog „Passwordless by default: Make the switch to passkeys“ (2023-10-10) blog.google

• MSN/FIDO Alliance „Google Pushes 2 Billion Gmail Users to Adopt Passkeys Over Passwords“ (2025-06-17) fidoalliance.org