Passkeys: Das Ende des Passworts für Online-Zahlungen

Ein gigantischer Datenleck mit 150 Millionen Zugangsdaten beschleunigt den Abschied vom Passwort. 2026 wird zum Wendepunkt für den neuen Sicherheitsstandard.

Die Ära des Passworts für Online-Zahlungen geht zu Ende. Ein massiver Datenleck, der erst letzte Woche entdeckt wurde, unterstreicht die Verwundbarkeit traditioneller Zugangsdaten. Fast 150 Millionen Login- und Passwort-Kombinationen für sensible Finanz- und E-Commerce-Dienste lagen ungeschützt im Netz. Dieser Vorfall wirkt wie ein Katalysator und beschleunigt die branchenweite Migration in eine passwortlose Zukunft mit Passkeys. Experten sehen 2026 als das Jahr, in dem diese Technologie den Durchbruch schafft.

Die ungeschützte Datenbank mit einem Umfang von 96 Gigabyte enthielt Zugangsdaten für eine Vielzahl von Diensten – von sozialen Medien bis hin zu Zahlungs- und Banking-Plattformen. Der Cybersicherheitsforscher Jeremiah Fowler entdeckte den Vorfall am 21. Januar 2026. Er zeigt, wie von Infostealer-Malware gestohlene Zugangsdaten eine erhebliche Bedrohung darstellen und groß angelegte Account-Übernahmen ermöglichen. Angesichts immer raffinierterer, KI-gestützter Cyber-Bedrohungen ist die Forderung, das Passwort als schwächstes Glied in der Sicherheitskette abzuschaffen, dringlicher denn je.

Was sind Passkeys und wie funktionieren sie?

Als Antwort auf die inhärenten Schwächen von Passwörtern etablieren sich Passkeys als neuer Standard für sichere Authentifizierung. Ein Passkey ist ein digitaler Zugangsnachweis, der sicher auf dem Gerät des Nutzers gespeichert wird und das traditionelle Passwort ersetzt. Die auf dem FIDO2/WebAuthn-Standard basierende Technologie nutzt Public-Key-Kryptografie.

Phishing, Infostealer und gestohlene Zugangsdaten sind die Hauptursache für Massendiebstähle – wie das jüngste Leak mit fast 150 Millionen Logins zeigt. Das kostenlose Anti-Phishing-Paket erklärt in vier klaren Schritten, wie Sie Ihre Online-Zahlungen, Mitarbeiter und Checkout-Flows absichern können. Mit konkreten Checklisten, Präventionsmaßnahmen und Praxisbeispielen für IT-Teams und Shop-Betreiber. Anti-Phishing-Paket jetzt gratis herunterladen

Bei der Erstellung eines Passkeys für einen Online-Händler generiert das Gerät ein Schlüsselpaar: einen privaten Schlüssel, der sicher auf dem Gerät verbleibt, und einen öffentlichen Schlüssel für den Server des Händlers. Zum Einloggen oder Autorisieren einer Zahlung authentifiziert sich der Nutzer einfach mit der Sicherheitsfunktion seines Geräts – per Fingerabdruck, Gesichtsscan oder PIN. Das Gerät signiert dann eine Challenge vom Server mit dem privaten Schlüssel. Da dieser Schlüssel das Gerät nie verlässt, sind Passkeys hochresistent gegen Phishing-Angriffe und können bei Datenschutzverletzungen auf Serverseite nicht gestohlen werden.

Einrichtung für reibungslose Online-Zahlungen

Der Wechsel zu passkey-basierten Zahlungen soll für Verbraucher nahtlos sein und den Checkout-Prozess deutlich beschleunigen. Die Einrichtung ist oft ein einfacher, einmaliger Schritt innerhalb des Bezahlvorgangs.

Bei einem Kauf auf einer unterstützten Website wird der Kunde aufgefordert, einen Passkey zu speichern. Nach der Bestätigung authentifiziert er sich mit der gleichen Methode wie zum Entsperren seines Geräts – etwa per Face ID oder Fingerabdruck. Der Passkey wird erstellt und auf dem Gerät gespeichert. Über Cloud-Ökosysteme wie Apple- oder Google-Konten können diese Passkeys dann mit anderen Geräten synchronisiert werden.

Bei späteren Käufen reduziert sich die Autorisierung auf einen einfachen Biometrie-Scan oder die PIN-Eingabe. Das umständliche Eingeben komplexer Passwörter oder das Warten auf SMS-Codes entfällt. Diese SMS-Methode wird in vielen Regionen aufgrund von Sicherheitsbedenken bereits ausgemustert. Der reibungslosere Prozess dürfte auch die Zahl der abgebrochenen Bestellungen reduzieren, die oft auf vergessene Passwörter zurückgehen.

Branchenweite Einführung erreicht kritischen Punkt

Das Jahr 2026 gilt als entscheidend für die flächendeckende Einführung von Passkeys im Online-Zahlungsverkehr. Große Zahlungsnetzwerke haben bereits die Grundlagen gelegt. Visa und Mastercard haben passkey-basierte Dienste angekündigt, die diese phishing-resistente Authentifizierung direkt in den Online-Checkout integrieren und mit Tokenisierung kombinieren.

Dieser Branchendruck wird von Regulierungsbehörden weltweit unterstützt. Ältere Authentifizierungsmethoden, insbesondere SMS-Codes, gelten als nicht mehr ausreichend, um modernen Betrug zu bekämpfen. Finanzinstitute in Regionen wie den Vereinigten Arabischen Emiraten und Indien haben für 2026 Fristen, um von diesen anfälligen Systemen wegzukommen. Das schafft einen starken Anreiz für die Einführung robusterer, biometrisch gesicherter Alternativen wie Passkeys.

Ausblick: Die Ära des passwortlosen Handels bricht an

Die Umstellung auf Passkeys bedeutet einen grundlegenden Strategiewechsel in der digitalen Sicherheit: weg vom wissensbasierten System („Was du weißt“) hin zum besitzbasierten System („Was du hast“). Für Unternehmen gehen die Vorteile über mehr Sicherheit hinaus. Analysten zufolge können die Betriebskosten für IT-Support bei Passwort-Zurücksetzungen und die Folgen von Datenschutzverletzungen deutlich sinken.

Die Zukunft der Online-Zahlungen wird von dieser Mischung aus Sicherheit und Komfort definiert. Während KI sowohl Bedrohungen als auch Abwehrmaßnahmen weiterentwickelt, bietet die kryptografische Sicherheit der Passkeys eine resiliente Grundlage. Verbraucher dürfen sich auf eine Zukunft freuen, in der ein einfacher Blick oder eine Berührung reicht, um eine Transaktion sicher abzuschließen – und die Ära der anfälligen, vergessenen und gestohlenen Passwörter endgültig hinter sich zu lassen.

PS: Passkeys machen viele Angriffe sinnlos – doch Social‑Engineering und Phishing bleiben Risikofaktoren für Online-Zahlungen. Dieser kostenlose Leitfaden zeigt, welche technischen und organisatorischen Schutzmaßnahmen jetzt wirken: Erkennung von gefälschten Zahlungsseiten, Vorlagen für Mitarbeiterschulungen und Notfall-Checklisten. Ideal für Zahlungsdienstleister, E‑Commerce und IT-Verantwortliche, die Datenlecks verhindern wollen. Kostenloses Anti-Phishing-Paket sichern