Cybersecurity

Introduction

Your security team just renewed the antivirus license. Patches are current. The firewall rules haven't changed in two years — because nothing went wrong. So why do organizations with all of this in place still end up on the breach disclosure list?

Because the tools that worked in 2010 were built for a threat that no longer exists.

Modern attackers don't deliver malware to your endpoints. They acquire a valid set of credentials — through phishing, a leaked database, or a compromised vendor — and authenticate like any other user. From there, they move quietly, escalate privileges, and exfiltrate data over weeks. By the time anyone notices, the damage is done.

Antivirus has no signature for a legitimate login.

This article breaks down what a layered, identity-centric defense actually looks like — and which controls to prioritize if you're building or auditing a security stack in 2026.

Key takeaways

• Signature-based antivirus misses the majority of modern attacks. CrowdStrike's 2026 Global Threat Report found that 82% of detections in 2025 were malware-free — attackers used credential abuse and fileless techniques that leave no binary footprint to scan.
• Stolen credentials are the leading initial access vector. Verizon's 2025 DBIR found compromised credentials involved in roughly 30% of breaches. Attackers authenticate as legitimate users bypassing every control built to detect malware.
• Enterprise password management and PAM are foundational controls. Centralized credential storage, least-privilege enforcement, and Just-In-Time access provisioning directly address the attack vectors responsible for most breaches.
• Zero Trust architecture is the structural answer to lateral movement. Continuous verification of identity, device health, and behavioral context — combined with micro-segmentation — contains an attacker even after initial compromise.
• Compliance frameworks define the minimum, not the appropriate standard. GDPR, NIS2, SOC 2, and ISO 27001 all mandate access controls and incident response but none prescribes exact implementation. The gap between the checkbox and effective security is where most breaches occur.

What is a data breach? (The modern definition)

A data breach is any confirmed incident in which sensitive, protected, or confidential information is accessed, disclosed, or exfiltrated without authorization. This includes personally identifiable information (PII), financial records, intellectual property, and protected health information (PHI).

The distinction between a security incident and a confirmed data breach matters operationally.

• Security incident — any event that threatens confidentiality, integrity, or availability. Broad by design, most never escalate further.
• Confirmed data breach — unauthorized access to data is established as fact. This triggers mandatory notification obligations under GDPR Article 33, NIS2 Article 23, and similar frameworks.

That boundary determines your legal exposure, your notification timeline, and whether regulators treat you as a victim or a negligent party.

Why antivirus is no longer enough for data breach prevention

Antivirus software scans files and processes against a database of known malware signatures, then blocks anything that matches. It was the right tool for a threat landscape built around executable files and known virus strains.

Legacy antivirus relies on signature-based detection: if the threat isn't in the database, it isn't detected. That model fails against threats that don't look like malware at all.

According to CrowdStrike's 2026 Global Threat Report, 82% of detections in 2025 were malware-free — meaning attackers used credential abuse, living-off-the-land techniques, and fileless execution that leave no binary footprint for antivirus to scan. Google's Threat Intelligence Team tracked 90 zero-day vulnerabilities exploited in the wild in 2025, each representing an attack window where no signature yet exists.

The 7-layer data breach prevention strategy for 2026

A layered defense model addresses the full attack chain — from initial access through lateral movement to exfiltration. Each layer below is ordered by impact and implementation priority.

1. Enforce phishing-resistant MFA and enterprise password management

Microsoft research confirms that MFA blocks more than 99.2% of account compromise attacks. That single control eliminates the vast majority of credential-based intrusions but only if it's implemented correctly.

SMS-based MFA is vulnerable to SIM-swapping and prompt bombing. Phishing-resistant alternatives — FIDO2 hardware keys, passkeys, and certificate-based authentication — remove the human-intercept vector entirely. These should be the standard for any account with access to sensitive systems.

MFA alone, however, doesn't solve the underlying credential hygiene problem. Employees reuse passwords across personal and corporate accounts, share credentials over chat, and store them in spreadsheets. Verizon's 2025 DBIR found that stolen credentials were the initial access vector in roughly 30% of breaches. An enterprise password manager closes that gap by centralizing credential storage, enforcing strong password policies, and eliminating ad-hoc sharing.

Passwork is purpose-built for this use case. It deploys entirely on your own infrastructure — no credential data ever leaves your environment. All secrets are encrypted with AES-256 on both the server and client sides under a zero-knowledge architecture.

Integration with Active Directory and LDAP automates user provisioning and deprovisioning, so access is revoked the moment an employee leaves. Every credential access, modification, and sharing event is logged in a tamper-evident audit trail — directly addressing insider threat and compliance audit requirements. Passwork holds ISO/IEC 27001 certification, confirming its information security management meets international standards.

Managing shared credentials across teams without a structured vault is one of the fastest paths to a breach. See how Passwork handles enterprise password management → passwork.pro

2. Implement Privileged Access Management (PAM)

Privileged Access Management (PAM) is a security framework that controls, monitors, and audits access to accounts with elevated system permissions — the credentials that, if compromised, give an attacker administrative control over your infrastructure.

PAM governs access to high-value targets: domain controllers, cloud consoles, database servers, and network infrastructure. Beyond access control, it enforces additional session-level security: recording activity, auditing commands, and provisioning access through Just-In-Time (JIT) mechanisms. JIT means admin rights are granted for a defined window and automatically revoked — eliminating standing privileges that attackers can exploit after initial compromise.

The principle of least privilege is the operational foundation: every user, service account, and application receives the minimum access required for its function, and nothing more.

Enforcing least privilege starts at the credential level. Passwork's role-based access model lets administrators assign granular permissions per user or group — controlling exactly who can view, copy, or modify specific credentials.

Each role is fully configurable: rather than choosing between full administrator access and none, you can scope permissions to specific functions — user management, LDAP configuration, audit logs, or vault settings — independently of each other.

3. Adopt a Zero Trust architecture

Zero Trust is a security model built on the assumption that no user, device, or network segment should be trusted by default — regardless of whether the request originates inside or outside the corporate perimeter. Access is granted only after continuous verification of identity, device health, and behavioral context.

The model rests on three core principles:

• Verify explicitly — every access request is authenticated and authorized based on all available data points: identity, device health, location, and behavioral context.
• Use least privilege access — users and systems receive only the permissions required for their current task, limiting the blast radius of any compromise.
• Assume breach — the architecture is designed as if an attacker is already inside. Micro-segmentation, encrypted traffic inspection, and continuous monitoring contain lateral movement before it escalates.

This architecture directly addresses lateral movement. When an attacker compromises one endpoint or account, Zero Trust micro-segmentation and continuous authentication checks prevent them from pivoting to adjacent systems.

Zero Trust is a design philosophy implemented through identity providers, network segmentation, and policy enforcement points — not a single product or vendor solution. NIST SP 800-207 provides the authoritative framework for implementation.

4. Upgrade to Endpoint Detection and Response (EDR)

Endpoint Detection and Response (EDR) is a security technology that continuously monitors endpoint activity — processes, network connections, file system changes, and user behavior — and triggers automated responses when anomalous patterns are detected.

EDR replaces the static signature model with behavioral monitoring. Instead of asking "does this file match a known threat?", EDR asks "does this process behave like an attack?"

That distinction catches fileless malware, credential dumping tools, and ransomware staging activity before execution completes. EDR solutions maintain a continuous telemetry record of endpoint activity, enabling forensic reconstruction after an incident — critical for both containment and compliance reporting.

Ransomware was present in 44% of breaches in 2025, up from 32% the prior year. EDR with automated response capabilities — isolating an endpoint the moment anomalous behavior is detected — is now a baseline control for any organization handling sensitive data.

EDR solutions in practice

• CrowdStrike Falcon — cloud-native agent with real-time behavioral detection, automated containment, and threat intelligence integration
• SentinelOne Singularity Endpoint — autonomous response without cloud dependency; includes rollback capability for ransomware-affected files
• Microsoft Defender for Endpoint — deeply integrated with the Microsoft ecosystem; covers Windows, macOS, Linux, iOS, and Android
• Palo Alto Networks Cortex XDR — extends endpoint telemetry to network and cloud data; unified detection across the full attack surface
• Trend Micro Vision One — combines EDR with XDR across email, endpoints, servers, and cloud workloads
• Sophos Intercept X — includes anti-exploit and anti-ransomware modules alongside behavioral detection; available as a managed service
• Cisco Secure Endpoint — integrates with Cisco's broader security stack; strong on threat hunting and retrospective analysis

5. Deploy Data Loss Prevention (DLP) and encryption

Data Loss Prevention (DLP) is a set of technologies and policies that detect, monitor, and restrict the movement of sensitive data across endpoints, networks, and cloud environments — preventing unauthorized access, transfer, or exfiltration before a breach is confirmed.

DLP tools monitor and control the movement of sensitive data: PII, financial records, source code, and regulated information. They enforce policies that block unauthorized uploads to cloud storage, prevent exfiltration via email, and flag anomalous bulk data transfers.

DLP tools in practice

The market offers solutions across three deployment models — endpoint, network, and cloud — often combined within a single platform:

Endpoint DLP

• Microsoft Purview DLP — native integration with Microsoft 365 and Windows endpoints; covers email, Teams, SharePoint, and local file activity
• Forcepoint DLP — behavior-based detection with deep content inspection across endpoints and web channels
• Digital Guardian (Fortra) — granular endpoint agent with forensic-level logging; strong coverage for intellectual property

Network and cloud DLP

• Netskope DLP — cloud-native; designed for SaaS, IaaS, and web traffic inspection
• Symantec DLP (Broadcom) — covers network, endpoint, and cloud storage with data discovery and classification
• Palo Alto Networks Enterprise DLP — integrated into the NGFW and Prisma SASE stack; no separate agent required
• Varonis — maps sensitive data across file shares, cloud storage, and email; includes anomaly detection on user behavior

Encryption is the complementary control. Data encrypted at rest and in transit remains unreadable even if exfiltrated. Full-disk encryption on endpoints, TLS 1.3 for data in transit, and encrypted backups stored offline form the baseline. For regulated industries, encryption is not optional — NIS2 Article 21 and GDPR Article 32 both reference it as an appropriate technical safeguard.

6. Manage third-party and supply chain risk

Third-party risk is the exposure that enters your environment through vendors, contractors, and software dependencies — entities outside your direct control that nonetheless have access to your systems, data, or codebase. Third-party involvement in breaches doubled year-over-year, according to Verizon's 2025 DBIR.

Vendor risk management requires more than annual questionnaires. Effective controls include:

• Limiting third-party access to only the systems they need
• Requiring MFA for all external accounts
• Monitoring third-party session activity
• Including security requirements in contractual agreements

Supply chain attacks are a distinct and harder-to-detect vector: malicious code is injected into software before it reaches you — through a compromised build pipeline, a tampered package repository, or a hijacked vendor update. By the time the payload arrives, it already looks legitimate. Two incidents from early 2026 illustrate the range of exposure:

• Trivy (March 2026). Aqua Security's vulnerability scanner was compromised through its Docker images, delivering an information-stealing payload to teams that had every reason to trust the tool.
• Axios (March 2026). Attackers linked to North Korean threat actor UNC1069 embedded a remote access trojan inside the widely used Axios npm package and distributed it silently through the dependency chain.

In both cases, malicious code arrived through a trusted channel — before any internal control had a chance to intercept it. Effective defense requires software composition analysis and integrity verification for all third-party components.

7. Conduct continuous security awareness training

The human element was involved in 60% of breaches in 2025. Annual compliance training doesn't change behavior — it produces checkbox completion, not security awareness.

Effective programs run continuous, simulated phishing campaigns calibrated to current attack techniques. When an employee clicks a simulated phishing link, they receive immediate, contextual feedback — not a quarterly reminder.

Gamified platforms that track individual improvement over time produce measurable reductions in click rates. Security culture is built through repetition and relevance, not annual lectures.

How compliance frameworks impact data breach prevention

Compliance frameworks (GDPR, NIS2, DORA, SOC 2) mandate specific technical controls: access logging, encryption, incident response procedures, and vendor management. Meeting these requirements establishes a security baseline.

Compliance defines the minimum acceptable standard — not the appropriate one. A SOC 2 Type II audit confirms that controls existed and operated effectively during the audit period; it makes no statement about what happens the day after the auditor leaves, or whether those controls are sufficient against your actual threat landscape. Organizations that substitute compliance for security strategy tend to find out the difference at the worst possible moment.

Use frameworks as a structured starting point. Build beyond them based on your actual threat model.

What each framework actually requires

The table reveals a pattern: every framework covers access control and incident response in some form, but none prescribes exactly how. That implementation gap is where most breaches occur — not because the framework was wrong, but because the organization stopped at the checkbox.

Passwork's audit logs, role-based access controls, and ISO 27001 certification directly support compliance with GDPR, NIS2, and SOC 2 requirements. Explore Passwork's compliance-relevant features → passwork.pro

Developing an incident response plan (assume breach)

Prevention is never absolute. The IBM Cost of a Data Breach Report 2025 found that the mean time to identify and contain a breach is 241 days. Organizations with a tested incident response plan contain breaches significantly faster — and faster containment directly reduces cost.

An effective IR plan defines: who declares an incident, what the escalation path looks like, how systems are isolated, when regulators and affected parties must be notified, and how evidence is preserved for forensic analysis. GDPR Article 33 requires notification to supervisory authorities within 72 hours of becoming aware of a breach — a timeline that's impossible to meet without a pre-defined process.

Test the plan. A tabletop exercise run once a year reveals gaps that no amount of documentation can expose.

Conclusion

The threat landscape has moved decisively away from malware-based attacks toward identity exploitation, fileless techniques, and supply chain compromise. A signature-based antivirus product addresses none of these vectors effectively.

The 7-layer model above — anchored by phishing-resistant MFA, enterprise password management, and Zero Trust architecture — reflects how modern attacks actually work and where controls have the highest impact. Each layer addresses a specific stage of the attack chain. Together, they create defense in depth that legacy perimeter security cannot replicate.

Audit your current stack against these seven layers. Identify which controls are absent, which are partially implemented, and which are misconfigured. The gaps you find are the gaps an attacker will find first.

Passwork is available as a self-hosted and cloud solution with AES-256 encryption, AD/LDAP integration, full audit logging, and ISO 27001 certification. Try Passwork in your environment → passwork.pro

Frequently asked questions

What should businesses look for in an enterprise password manager?

Prioritize on-premise or self-hosted deployment so credential data stays within your infrastructure. Essential capabilities include zero-knowledge AES-256 encryption, Active Directory and LDAP integration for automated user provisioning, tamper-evident audit logs, and ISO 27001 certification. Passwork meets all of these requirements and deploys entirely within your own environment.

What is the most common cause of a data breach in 2026?

Stolen credentials remain the leading initial access vector. Verizon's 2025 DBIR found that compromised credentials were involved in roughly 30% of breaches. Attackers obtain them through phishing, leaked databases, or compromised vendors — then authenticate as legitimate users, bypassing signature-based defenses entirely.

Why is antivirus no longer sufficient for data breach prevention?

Antivirus relies on signature-based detection: it identifies threats by matching files against a database of known malware. According to CrowdStrike's 2026 Global Threat Report, 82% of detections in 2025 were malware-free — meaning attackers used credential abuse and fileless techniques that leave no binary footprint for antivirus to scan.

What is the difference between a security incident and a data breach?

A security incident is any event that threatens confidentiality, integrity, or availability — most never escalate further. A confirmed data breach means unauthorized access to data is established as fact. That distinction determines your legal exposure: GDPR Article 33 and NIS2 Article 23 require notification to supervisory authorities within 72 hours of confirming a breach.

What does Zero Trust architecture actually mean in practice?

Zero Trust means no user, device, or network segment is trusted by default — regardless of whether the request originates inside or outside the corporate perimeter. Every access request is verified against identity, device health, and behavioral context. Micro-segmentation limits lateral movement if one account or endpoint is compromised. NIST SP 800-207 provides the authoritative implementation framework.

What is a supply chain attack and how does it differ from a standard vendor breach?

A supply chain attack injects malicious code into software before it reaches the end user — through a compromised build pipeline, a tampered package repository, or a hijacked update. Unlike a vendor breach, where attacker access is the threat, a supply chain attack weaponizes the software itself. By the time the payload arrives, it already appears legitimate.

What is the mean time to detect and contain a data breach?

According to IBM's Cost of a Data Breach Report 2025, the mean time to identify and contain a breach is 241 days. Organizations with a tested incident response plan contain breaches significantly faster. That speed difference directly reduces financial and regulatory exposure — including the 72-hour notification window required under GDPR Article 33.

What should an enterprise password manager include to support compliance?

On-premise deployment so credential data stays within your infrastructure, AES-256 zero-knowledge encryption, Active Directory and LDAP integration for automated provisioning and deprovisioning, tamper-evident audit logs, and ISO 27001 certification. These capabilities directly address access control and audit requirements under GDPR, NIS2, and SOC 2. Passwork meets all of these requirements and deploys entirely within your own environment.

How does Privileged Access Management reduce breach risk?

PAM controls access to high-value accounts — domain controllers, cloud consoles, database servers — and enforces Just-In-Time provisioning: admin rights are granted for a defined window and automatically revoked. This eliminates standing privileges that attackers exploit after initial compromise. The principle of least privilege limits the blast radius of any single compromised account.

Spring 2026 EU cybersecurity update: What changed

Spring 2026 brought the EU’s most significant institutional breach, its first cyber sanctions of the year, and four major cybersecurity regulations enforcing simultaneously. NIS2, DORA, CRA, and CSA2 now set hard deadlines — and real penalties. Here’s what changed, who’s affected, and what to do.

Passwork BlogAlex Muntyan

NIS2 password requirements: What European companies must do in 2026

Credential gaps are the leading NIS2 audit failure point in 2026. This guide covers Article 21 password requirements, NIST SP 800-63B alignment, AD hardening steps, and the audit evidence regulators ask for first.

Passwork BlogAlex Muntyan

Password Manager Deployment Models: Cloud, Self-Hosted & Hybrid

Choosing where to run your password manager matters as much as choosing which one. This guide breaks down cloud, self-hosted, and hybrid deployment — with a compliance matrix for GDPR, HIPAA, and NIS2, and a clear look at the trade-offs each model carries.

Passwork BlogAlex Muntyan

Einleitung

Am 24. März 2026 verschafften sich Angreifer Zugang zu den AWS-Cloud-Konten der Europäischen Kommission und entwendeten über 350 GB an Daten, bevor sie blockiert wurden.

Die Erpressergruppe ShinyHunters übernahm die Verantwortung. Die Kommission bestätigte den Vorfall am 30. März — damit handelt es sich um die gravierendste Kompromittierung einer EU-Institution in diesem Jahr und ein präzises Beispiel für die Bedrohungslage, in der vier bedeutende EU-Cybersicherheitsverordnungen nun gleichzeitig durchgesetzt werden.

Das Frühjahr 2026 markiert eine Konvergenz: Die NIS2-Änderungen und der CSA2-Vorschlag vom 20. Januar, die aktive DORA-Durchsetzung durch nationale Aufsichtsbehörden und die sich schnell nähernde CRA-Meldepflicht am 11. September.

Die EU verhängte am 16. März auch ihre ersten Cyber-Sanktionen des Jahres gegen chinesische und iranische Bedrohungsakteure. Dies sind keine Hintergrundereignisse — sie bilden den Durchsetzungskontext, den jede IT-Führungskraft und jeder Compliance-Beauftragte jetzt verstehen muss.

Wichtigste Erkenntnisse

• Datenpanne bei der Europäischen Kommission bestätigt: Am 30. März 2026 stahl ShinyHunters über 350 GB aus ihren AWS-Cloud-Konten, darunter Datenbanken, Verträge und E-Mail-Server-Dumps.
• Erste EU-Cyber-Sanktionen 2026: Am 16. März verhängte der EU-Rat restriktive Maßnahmen gegen drei Unternehmen — Integrity Technology Group, Anxun Information Technology (China) und Emennet Pasargad (Iran) — sowie zwei Einzelpersonen.
• NIS2- und CSA2-Änderungen vorgeschlagen: Am 20. Januar 2026 legte die Europäische Kommission Änderungen vor, die Zuständigkeit, Anwendungsbereich und Zertifizierungspflichten in beiden Rahmenwerken präzisieren.
• CRA-Meldepflicht rückt näher: Die obligatorischen Meldepflichten für Schwachstellen und Vorfälle gemäß dem Cyber Resilience Act beginnen am 11. September 2026.
• DORA-Durchsetzung ist aktiv: Vollständig anwendbar seit dem 17. Januar 2025, wobei die BaFin und andere nationale Aufsichtsbehörden im gesamten Jahr 2026 Prüfungen durchführen.

Der Bedrohungskontext, der diese Änderungen erforderlich machte

Die regulatorische Beschleunigung der EU im Frühjahr 2026 ist eine direkte Reaktion auf einen dokumentierten Anstieg von Angriffen auf europäische Institutionen und kritische Infrastrukturen. Die Datenpanne bei der Europäischen Kommission, die ersten EU-Cyber-Sanktionen des Jahres 2026 und das statistische Bild von ENISA und unabhängigen Incident-Respondern weisen alle in dieselbe Richtung: Die Bedrohung ist real, gezielt und andauernd.

Die Datenpanne bei der Europäischen Kommission (März 2026)

Der Angriff vom 24. März auf die AWS-gehostete Europa.eu-Plattform der Kommission ist das deutlichste aktuelle Beispiel für Cloud-Supply-Chain-Risiken. ShinyHunters — dieselbe Erpressergruppe hinter mehreren hochkarätigen Datendiebstahl-Kampagnen — behauptete, über 350 GB an Daten entwendet zu haben: E-Mail-Server-Dumps, Datenbanken, vertrauliche Dokumente und Verträge.

Ein 90-GB-Archiv erschien auf ihrer Darkweb-Leak-Seite. Die internen Systeme der Kommission waren nicht betroffen, aber der Vorfall legte eine strukturelle Schwachstelle offen: öffentlich zugängliche Cloud-Infrastruktur, die ohne die Zugangskontrollen und Credential-Hygiene betrieben wurde, die NIS2 und DORA vorschreiben sollen.

„Erste Erkenntnisse unserer laufenden Untersuchung deuten darauf hin, dass Daten von diesen Websites entwendet wurden. Die internen Systeme der Kommission waren von dem Cyberangriff nicht betroffen." — Pressemitteilung der Europäischen Kommission, 27. März 2026

Dies war die zweite Datenpanne der Kommission im Jahr 2026. Ein Vorfall im Februar hatte bereits die Mobile-Device-Management-Plattform kompromittiert, die zur Verwaltung der Mitarbeitergeräte verwendet wird. Zwei bedeutende Datenpannen in zwei Monaten bei einer einzigen Institution sind kein Zufall — sie spiegeln eine anhaltende, gezielte Angriffskampagne wider.

EU-Cyber-Sanktionen — 16. März 2026

Am 16. März 2026 verhängte der EU-Rat restriktive Maßnahmen gegen drei Unternehmen und zwei Einzelpersonen im Rahmen des EU-Cyber-Diplomatie-Instrumentariums — die ersten EU-Cyber-Sanktionen des Jahres.

Die sanktionierten Parteien:

• Integrity Technology Group (China): Lieferte Produkte, die zur Kompromittierung von über 65.000 Geräten in sechs EU-Mitgliedstaaten zwischen 2022 und 2023 verwendet wurden.
• Anxun Information Technology (China): Erbrachte Hacking-Dienstleistungen gegen kritische EU-Infrastrukturen. Zwei Mitgründer wurden individuell sanktioniert.
• Emennet Pasargad (Iran): Kompromittierte eine französische Abonnentendatenbank, manipulierte Werbetafeln während der Olympischen Spiele 2024 in Paris zur Verbreitung von Desinformation und kompromittierte einen schwedischen SMS-Dienst.

Alle gelisteten Unternehmen unterliegen Vermögenssperren. Die beiden Einzelpersonen unterliegen zusätzlich Reiseverboten. Das EU-Cyber-Sanktionsregime umfasst nun insgesamt 19 Einzelpersonen und 7 Unternehmen.

Der statistische Hintergrund

Laut dem Bericht ENISA Threat Landscape 2025 machten DDoS-Angriffe 77 % aller erfassten EU-Cybervorfälle aus, hauptsächlich getrieben von Hacktivistengruppen. Ransomware bleibt die operativ schädlichste Bedrohung: 81,1 % der Cybercrime-Vorfälle gegen EU-Organisationen betrafen Ransomware.

Die öffentliche Verwaltung war der am häufigsten angegriffene Sektor und repräsentierte 38 % aller Vorfälle. Staatlich unterstützte Gruppen intensivierten langfristige Spionagekampagnen gegen Telekommunikation, Logistik und Fertigung.

Das Bild der Incident-Responder vor Ort ist ebenso eindeutig. Der Eye Security Incident Report 2026 — basierend auf 630 Untersuchungen in den Benelux-Ländern und Deutschland — ergab, dass 70 % aller Fälle Business Email Compromise (BEC) waren. Noch aufschlussreicher: 62 % der klassifizierten Fälle seit Januar 2025 beinhalteten MFA-Umgehung. Angreifer brechen keine Verschlüsselung — sie stehlen oder umgehen Anmeldedaten. Das ist genau der Angriffsvektor, den NIS2, DORA und die DSGVO-Durchsetzung schließen sollen.

Die Datenpanne bei der Europäischen Kommission folgte einem gut dokumentierten Muster: kompromittierte Cloud-Anmeldedaten, kein Audit-Trail, keine Zugriffsgrenzen. Passwork bietet IT-Teams einen strukturierten Tresor mit rollenbasierter Zugriffskontrolle, granularen Berechtigungen und einem vollständigen Aktivitätsprotokoll — genau die Kontrollen, die NIS2 und DORA ausdrücklich fordern. Passwork kostenlos testen

NIS2-Änderungen: Was sich am 20. Januar 2026 geändert hat

Am 20. Januar 2026 schlug die Europäische Kommission Änderungen zu NIS2 vor, die sich auf Rechtssicherheit, vereinfachte Compliance und präzisierte Zuständigkeitsregeln konzentrieren. Der Vorschlag enthielt auch einen überarbeiteten Cybersecurity Act (CSA2), der das Mandat der ENISA erweitert und auf eine verpflichtende Cybersicherheitszertifizierung für Produkte und Dienste hinarbeitet, die in kritischen Sektoren eingesetzt werden.

Die drei praktischen Änderungen in NIS2

Die Änderungen adressieren drei Problemfelder, die im ersten Jahr der Umsetzung in den Mitgliedstaaten aufgetreten sind:

1. Klarheit bei der Zuständigkeit. Die Änderungen legen fest, welcher Mitgliedstaat die Aufsichtsbefugnis über grenzüberschreitend tätige Unternehmen hat — eine wesentliche Quelle der Compliance-Unsicherheit für multinationale Organisationen, die gleichzeitig in mehreren EU-Rechtsordnungen operieren.
2. Ransomware-Datenerfassung. Der Vorschlag standardisiert die Erfassung von Ransomware-bezogenen Vorfallsdaten in allen Mitgliedstaaten und ermöglicht so einen konsistenteren Austausch von Bedrohungsinformationen auf EU-Ebene.
3. Präzisierung des Anwendungsbereichs. Eine neue Kategorie „kleine mittelständische Unternehmen" passt die Schwellenwerte an, die bestimmen, ob Organisationen unter die Klassifizierung als wesentliche oder wichtige Einrichtung gemäß NIS2 fallen.

CSA2: Die bedeutendere strukturelle Veränderung

Die CSA2-Revision erweitert sowohl den sachlichen als auch den persönlichen Anwendungsbereich des EU-Cybersicherheitsrahmens. Die entscheidende Änderung: Die Zertifizierung für IKT-Produkte und -Dienste, die in kritischen Sektoren eingesetzt werden, wird von freiwillig auf verpflichtend umgestellt. Organisationen, die sich auf die aktuellen freiwilligen ENISA-Zertifizierungssysteme verlassen haben, müssen ihre Produktportfolios und Lieferantenverträge neu bewerten, sobald CSA2 verabschiedet wird — erwartet Ende 2026 oder 2027.

Deutschland: NIS2-Umsetzung ist bereits in Kraft

Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft. Die BSI-Registrierungsfrist war der 6. März 2026. Ungefähr 30.000 Unternehmen in Deutschland fallen unter NIS2. Eine Umfrage von nis2-check.de ergab, dass 80 % der betroffenen Unternehmen ihre Pflichten nicht kannten (ADVISORI, Februar 2026). Das Gesetz führt mit §38 NIS2UmsuCG eine persönliche Haftung der Geschäftsleitung ein — ein Novum im deutschen Cybersicherheitsrecht.

NIS2-Meldepflichten bei Vorfällen

DORA: Durchsetzung beginnt 2026

DORA (Verordnung EU 2022/2554) ist seit dem 17. Januar 2025 unmittelbar anwendbar. Es ist kein nationales Umsetzungsgesetz erforderlich und keine Verschiebung möglich. Im Jahr 2026 führen nationale Aufsichtsbehörden, darunter die deutsche BaFin, aktive Prüfungen bei Finanzinstituten und deren IKT-Drittanbietern durch.

Für wen DORA gilt

DORA gilt für den gesamten Finanzsektor: Kreditinstitute, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsdienstleister, Krypto-Asset-Dienstleister und — entscheidend — die IKT-Drittanbieter, die kritische Dienstleistungen für diese Unternehmen erbringen.

Ein Cloud-Anbieter, der Kernbanksysteme hostet, fällt ebenso unter DORA wie die Bank selbst. Die Reichweite der Verordnung erstreckt sich weit über traditionelle Finanzdienstleistungen hinaus.

Die fünf Compliance-Säulen

DORA organisiert seine Anforderungen in fünf Bereichen: IKT-Risikomanagement, Vorfallsmeldung, Tests der digitalen operationalen Resilienz, Drittanbieter-Risikomanagement und Informationsaustausch.

Die anspruchsvollste Anforderung ist das Threat-Led Penetration Testing (TLPT) — verpflichtend für systemrelevante Institute. TLPT erfordert spezialisierte Red Teams, die reale Angriffsszenarien auf Basis aktueller Bedrohungsinformationen simulieren, nicht generische Penetrationstest-Methoden.

Compliance-Lücken bleiben erheblich

Obwohl DORA seit über einem Jahr in Kraft ist, bleibt die Bereitschaft im Sektor unvollständig. Eine Veeam-Umfrage ergab, dass 96 % der EMEA-Finanzorganisationen glauben, ihre Resilienz verbessern zu müssen, um die DORA-Anforderungen zu erfüllen.

Eine Computerwoche-Umfrage ergab, dass 44 % der betroffenen Unternehmen erhebliche Umsetzungsprobleme melden. Spezifische Lücken: 24 % haben keinen DORA-Umsetzungsverantwortlichen benannt, und 23 % haben keine Tests der digitalen operationalen Resilienz durchgeführt.

Diese Zahlen bedeuten, dass BaFin-Prüfer auf Organisationen treffen, die grundlegende Bereitschaftsschritte nicht abgeschlossen haben — mit Durchsetzungskonsequenzen, die den Lizenzentzug einschließen, nicht nur Bußgelder.

Cyber Resilience Act: Die Frist im September 2026

Der Cyber Resilience Act trat am 10. Dezember 2024 in Kraft. Ab dem 11. September 2026 müssen Hersteller und Importeure digitaler Produkte aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle innerhalb von 24 Stunden an ENISA melden. Die vollständigen CRA-Anforderungen — einschließlich der Security-by-Design-Pflichten — gelten ab dem 11. Dezember 2027.

Was der Meilenstein September 2026 umfasst

Am 11. September treten zwei spezifische Pflichten in Kraft:

• Schwachstellenmeldung: Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Kenntnisnahme an ENISA melden.
• Vorfallsmeldung: Schwerwiegende Vorfälle mit Auswirkungen auf die Sicherheit digitaler Produkte müssen ebenfalls innerhalb von 24 Stunden an ENISA gemeldet werden.

Die vollständigen CRA-Anforderungen — Security by Design, Software Bill of Materials (SBOM), kontinuierliches Schwachstellenmanagement und CE-Kennzeichnung für digitale Produkte — gelten ab Dezember 2027. Organisationen, die bis Mitte 2026 nicht mit der Vorbereitung begonnen haben, werden Schwierigkeiten haben, diese Frist einzuhalten. Die maximale CRA-Geldstrafe beträgt 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

NIS2 vs. DORA vs. CRA vs. CSA2: Welche Verordnung gilt für Sie?

Das Lex-specialis-Prinzip bedeutet, dass sektorspezifische Verordnungen Vorrang vor allgemeinen haben. Finanzunternehmen, die DORA unterliegen, sind von bestimmten NIS2-Pflichten befreit, wenn DORA gleichwertige oder strengere Anforderungen stellt. Alle vier Verordnungen können sich bei großen Organisationen überschneiden, die sektorübergreifend tätig sind — ein Cloud-Anbieter, der Finanzinstitute bedient und gleichzeitig IoT-Hardware herstellt, kann Pflichten aus allen vier Verordnungen gleichzeitig unterliegen.

Verordnungsvergleich

Entscheidungsmatrix: Gilt diese Verordnung für Sie?

DORA verlangt dokumentierte Zugangskontrollen und Audit-Trails für alle privilegierten IKT-Konten. Passworks sichere Freigabe von Anmeldedaten und Aktivitätsprotokollierung bieten Compliance-Teams die Nachweisspur, nach der Prüfer fragen.

Praktische Compliance-Checkliste für Frühjahr/Sommer 2026

Da 62 % der EU-Cybervorfälle im Jahr 2025 MFA-Umgehung beinhalteten und 70 % als Business Email Compromise klassifiziert wurden, sind die dringendsten technischen Maßnahmen identitätsbezogen: MFA überall durchsetzen, privilegierten Zugang prüfen und die Exposition von Drittanbieter-Anmeldedaten bewerten. Regulatorische Compliance und operative Sicherheit weisen auf dieselben Kontrollen hin.

Sofortmaßnahmen (April – Juni 2026)

1. BSI-Registrierung abschließen (Deutschland), falls noch nicht erfolgt. Kontaktieren Sie das BSI umgehend und dokumentieren Sie den Versuch — auch wenn die Frist vom 6. März verstrichen ist, ist der Nachweis eines gutgläubigen Bemühens in Durchsetzungsverfahren relevant.
2. Eine NIS2-Auswirkungsanalyse durchführen. Ermitteln Sie, ob Ihre Organisation und ihre Tochtergesellschaften, Joint Ventures und kritischen Lieferanten unter die NIS2-Klassifizierung als wesentliche oder wichtige Einrichtung fallen.
3. Einen 24/72-Stunden-Vorfallsmeldeprozess etablieren. Weisen Sie klare Verantwortlichkeiten zu, erstellen Sie Meldevorlagen und testen Sie den Eskalationspfad vollständig, bevor ein Vorfall Sie zwingt, ihn zu nutzen.
4. MFA für alle Fernzugriffe und privilegierten Konten durchsetzen. Angesichts der Tatsache, dass 62 % der klassifizierten EU-Vorfälle MFA-Umgehung beinhalteten (Eye Security, 2026), ist dies die einzelne Maßnahme mit dem höchsten Return on Investment.
5. IKT-Drittanbieter prüfen. DORA verlangt vertragliche Sicherheitsverpflichtungen für alle kritischen IKT-Lieferanten. NIS2 verlangt Sicherheitsbewertungen der Lieferkette. Beide Verordnungen fordern dokumentierte Nachweise der Drittanbieter-Überwachung.
6. Eine Richtlinie für sicheres Credential-Management implementieren. Zentralisieren Sie das Passwort-Management für privilegierte Konten, um den Credential-Diebstahl-Vektor zu verhindern, der bei der ShinyHunters-Datenpanne genutzt wurde. Unverwaltete geteilte Anmeldedaten bleiben der häufigste Einstiegspunkt bei BEC- und Cloud-Konto-Kompromittierungsfällen.

Mittelfristige Maßnahmen (Juli – September 2026)

1. Auf die CRA-Meldepflichten vorbereiten (ab 11. September 2026). Etablieren Sie einen Prozess zur Schwachstellenoffenlegung, benennen Sie einen Ansprechpartner für ENISA-Meldungen und bestätigen Sie, dass Ihr Produktinventar genau widerspiegelt, welche Artikel als „digitale Produkte mit digitalen Elementen" qualifizieren.
2. Einen DORA-Resilienztest durchführen. Führen Sie mindestens eine Tabletop-Übung durch. Systemrelevante Institute müssen ein vollständiges TLPT mit einem qualifizierten Red Team planen, das auf Basis aktueller Bedrohungsinformationen arbeitet.
3. Mit der CSA2-Zertifizierungsbewertung beginnen. Identifizieren Sie, welche Produkte oder Dienstleistungen eine verpflichtende EU-Cybersicherheitszertifizierung gemäß CSA2 erfordern werden, und beauftragen Sie frühzeitig eine notifizierte Stelle — Zertifizierungszeiträume sind lang.
4. DSGVO-Compliance überprüfen. Der französische Conseil d'État bestätigte am 4. März 2026 eine DSGVO-Geldstrafe von 40 Millionen Euro gegen Criteo. Die Gesamtsumme der DSGVO-Bußgelder seit 2018 übersteigt nun 7,1 Milliarden Euro, wobei allein 2025 1,2 Milliarden Euro verhängt wurden (Kiteworks, März 2026). Die Datenschutzdurchsetzung befindet sich auf Höchstniveau — behandeln Sie sie als parallele Spur, nicht als separates Programm.

Fazit

Bedrohungs- und Regulierungskontext konvergieren. Das EU-Cybersicherheitsumfeld im Frühjahr 2026 ist durch gleichzeitige Verschärfung der Regulierung und Eskalation von Angriffen gekennzeichnet. Die Datenpanne bei der Europäischen Kommission und die ersten EU-Cyber-Sanktionen des Jahres sind keine isolierten Ereignisse — sie sind der Durchsetzungskontext für NIS2, DORA, CRA und CSA2.

Identitätssicherheit hat unmittelbare Priorität. Der Diebstahl von Anmeldedaten durch Cloud-Konto-Kompromittierung ist genau das, was die NIS2-Anforderung „angemessener technischer Maßnahmen" verhindern soll. Da 62 % der EU-Vorfälle im Jahr 2025 MFA-Umgehung beinhalteten, sind die Durchsetzung von MFA, die Prüfung privilegierter Zugriffe und die Zentralisierung des Credential-Managements grundlegende Kontrollen — solche, die gleichzeitig das Risiko einer Datenpanne reduzieren und die Anforderungen von NIS2, DORA und DSGVO erfüllen.

Die Fristen sind festgelegt. Die CRA-Meldepflicht am 11. September 2026 liegt sechs Monate entfernt. DORA-Prüfungen laufen. Die NIS2-Registrierung in Deutschland endete am 6. März. Organisationen, die Compliance als Dokumentationsübung statt als Sicherheitsverbesserungsprogramm behandeln, sind sowohl regulatorischen Strafen als auch operativen Risiken ausgesetzt.

Die gemeinsame Annahme in allen vier Rahmenwerken: Organisationen führen dokumentierte, prüfbare Kontrollen darüber, wer auf welche Anmeldedaten zugreift, wann und warum. Das ist der Ausgangspunkt für jedes ernsthafte Compliance-Programm — und die Baseline, an der Regulierungsbehörden prüfen werden.

Passwork ist ein selbst gehosteter Unternehmens-Passwort-Manager mit rollenbasierter Zugriffskontrolle, detaillierten Aktivitätsprotokollen und Zero-Knowledge-Verschlüsselung — vollständig innerhalb Ihrer eigenen Infrastruktur bereitgestellt. Er adressiert die Credential-Management-Kontrollen, die NIS2, DORA und DSGVO verlangen, in einem einzigen, prüfbaren System. Passwork kostenlos in Ihrer Infrastruktur testen

FAQ: EU-Cybersicherheitsverordnungen im Frühjahr 2026

Was hat sich im EU-Cybersicherheitsrecht im Frühjahr 2026 geändert?

Die Europäische Kommission schlug am 20. Januar 2026 Änderungen zu NIS2 und einen neuen Cybersecurity Act (CSA2) vor. Die CRA-Meldepflichten beginnen am 11. September 2026. DORA wird seit Januar 2025 aktiv durchgesetzt. Die EU verhängte am 16. März auch ihre ersten Cyber-Sanktionen des Jahres 2026 gegen chinesische und iranische Bedrohungsakteure.

Was ist der Unterschied zwischen NIS2 und DORA?

NIS2 ist eine breit angelegte Richtlinie, die 18 Sektoren abdeckt und sich auf Cybersicherheits-Risikomanagement und Vorfallsmeldung konzentriert. DORA ist eine speziell für den Finanzsektor geltende Verordnung mit tiefergehenden Anforderungen an IKT-Risikomanagement, Resilienztests und Drittanbieter-Überwachung. Das Lex-specialis-Prinzip bedeutet, dass DORA für Finanzunternehmen Vorrang hat, wenn seine Anforderungen strenger sind als die entsprechenden NIS2-Pflichten.

Welche Strafen drohen bei NIS2-Nichteinhaltung im Jahr 2026?

Wesentlichen Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Wichtigen Einrichtungen drohen Bußgelder von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes. Das deutsche NIS2-Umsetzungsgesetz (§38 NIS2UmsuCG) führt zudem eine persönliche Haftung der Geschäftsleitung ein — ein Novum im deutschen Cybersicherheitsrecht.

Wann tritt der Cyber Resilience Act in Kraft?

Der CRA trat am 10. Dezember 2024 in Kraft. Die verpflichtenden Meldepflichten für Schwachstellen und Vorfälle beginnen am 11. September 2026. Die vollständigen Security-by-Design-Anforderungen und CE-Kennzeichnungspflichten gelten ab dem 11. Dezember 2027. Organisationen, die die Vorbereitung bis Ende 2026 verschieben, werden einen komprimierten Zeitrahmen für die Frist 2027 haben.

Wer wurde im März 2026 unter den EU-Cyber-Sanktionen sanktioniert?

Am 16. März 2026 sanktionierte der EU-Rat Integrity Technology Group und Anxun Information Technology (beide mit Sitz in China) sowie Emennet Pasargad (mit Sitz im Iran) zusammen mit zwei chinesischen Einzelpersonen. Die Sanktionen umfassen Vermögenssperren; die beiden Einzelpersonen unterliegen zusätzlich Reiseverboten. Das EU-Cyber-Sanktionsregime umfasst nun insgesamt 19 Einzelpersonen und 7 Unternehmen.

Was ist der EU Cybersecurity Act 2 (CSA2)?

CSA2 ist die vorgeschlagene Überarbeitung des EU Cybersecurity Act, angekündigt am 20. Januar 2026. Er erweitert das Mandat der ENISA und führt eine verpflichtende Cybersicherheitszertifizierung für IKT-Produkte und -Dienstleistungen ein, die in kritischen Sektoren eingesetzt werden — und ersetzt damit das aktuelle freiwillige Zertifizierungsrahmenwerk für diese Kategorien. Erwartete Verabschiedung: Ende 2026 oder 2027.

Gilt NIS2 oder DORA für Cloud-Anbieter?

Ein Cloud-Anbieter, der kritische Dienstleistungen für Finanzinstitute erbringt, fällt als IKT-Drittanbieter unter DORA. Wenn derselbe Anbieter auch in einem der 18 NIS2-Sektoren mit den entsprechenden Größenschwellenwerten tätig ist, gilt NIS2 unabhängig davon. Die beiden Verordnungen können — und tun dies häufig — gleichzeitig für dieselbe Organisation gelten.

Was geschah bei der Datenpanne der Europäischen Kommission 2026?

Am 24. März 2026 verschafften sich Angreifer Zugang zu den AWS-Cloud-Konten der Europäischen Kommission, die die Europa.eu-Plattform hosten. Die Erpressergruppe ShinyHunters übernahm die Verantwortung und behauptete, über 350 GB an Daten entwendet zu haben, darunter Datenbanken, Verträge und vertrauliche Dokumente. Die Kommission bestätigte die Datenpanne am 30. März 2026.

NIS2-Passwortanforderungen: Was europäische Unternehmen 2026 tun müssen

Credential-Lücken sind 2026 der häufigste Grund für NIS2-Audit-Mängel. Dieser Leitfaden behandelt die Passwortanforderungen gemäß Artikel 21, die Ausrichtung an NIST SP 800-63B, AD-Härtungsschritte und die Audit-Nachweise, nach denen Regulierungsbehörden zuerst fragen.

Passwork BlogAlex Muntyan

Passwort-Manager-Bereitstellungsmodelle: Cloud, Self-Hosted & Hybrid

Die Wahl, wo Sie Ihren Passwort-Manager betreiben, ist ebenso wichtig wie die Wahl, welchen Sie verwenden. Dieser Leitfaden schlüsselt Cloud-, Self-Hosted- und Hybrid-Bereitstellung auf — mit einer Compliance-Matrix für DSGVO, HIPAA und NIS2 sowie einem klaren Blick auf die Kompromisse jedes Modells.

Passwork BlogAlex Muntyan

Was ist ein Passkey? Leitfaden zur passwortlosen Authentifizierung

Ein Passkey ist ein phishing-resistentes Credential, das auf Ihrem Gerät gespeichert wird. Melden Sie sich mit einem biometrischen Tippen an — kein Passwort zum Merken oder Stehlen. Dieser Leitfaden behandelt die technischen Mechanismen, die Plattformeinrichtung, reale Leistungsdaten und was der Übergang für Unternehmensteams bedeutet.

Passwork BlogAlex Muntyan

Introducción

El 24 de marzo de 2026, atacantes accedieron a las cuentas de AWS en la nube de la Comisión Europea y exfiltraron más de 350 GB de datos antes de ser bloqueados.

El grupo de extorsión ShinyHunters se atribuyó la responsabilidad. La Comisión confirmó la brecha el 30 de marzo, convirtiéndola en el compromiso institucional de la UE más significativo del año y una ilustración precisa del entorno de amenazas en el que cuatro importantes regulaciones de ciberseguridad de la UE se están aplicando simultáneamente.

La primavera de 2026 marca una convergencia: las enmiendas a NIS2 y la propuesta CSA2 del 20 de enero, la aplicación activa de DORA por parte de los reguladores nacionales, y la fecha límite de notificación del CRA del 11 de septiembre que se aproxima rápidamente.

La UE también impuso sus primeras sanciones cibernéticas del año el 16 de marzo, dirigidas contra actores de amenazas chinos e iraníes. Estos no son eventos de trasfondo — son el contexto de aplicación que todo líder de TI y responsable de cumplimiento necesita comprender ahora.

Puntos clave

• Confirmada la brecha de datos de la Comisión Europea: El 30 de marzo de 2026, ShinyHunters robó más de 350 GB de sus cuentas de AWS en la nube, incluyendo bases de datos, contratos y volcados de servidores de correo.
• Primeras sanciones cibernéticas de la UE en 2026: El 16 de marzo, el Consejo de la UE impuso medidas restrictivas contra tres entidades — Integrity Technology Group, Anxun Information Technology (China) y Emennet Pasargad (Irán) — y dos individuos.
• Enmiendas propuestas a NIS2 y CSA2: El 20 de enero de 2026, la Comisión Europea introdujo cambios que aclaran la jurisdicción, el alcance y las obligaciones de certificación en ambos marcos.
• Fecha límite de notificación del CRA próxima: Las obligaciones de notificación de vulnerabilidades e incidentes bajo la Ley de Ciberresiliencia comienzan el 11 de septiembre de 2026.
• La aplicación de DORA está activa: Totalmente aplicable desde el 17 de enero de 2025, con BaFin y otros reguladores nacionales realizando auditorías durante 2026.

El contexto de amenazas que hizo necesarios estos cambios

La aceleración regulatoria de la UE en primavera de 2026 es una respuesta directa a un aumento documentado de ataques contra instituciones europeas e infraestructura crítica. La brecha de la Comisión Europea, las primeras sanciones cibernéticas de la UE en 2026, y el panorama estadístico de ENISA e investigadores de incidentes independientes apuntan en la misma dirección: la amenaza es real, dirigida y continua.

La brecha de la Comisión Europea (marzo 2026)

El ataque del 24 de marzo a la plataforma Europa.eu de la Comisión, alojada en AWS, es el ejemplo reciente más claro de riesgo en la cadena de suministro en la nube. ShinyHunters — el mismo grupo de extorsión detrás de múltiples campañas de robo de datos de alto perfil — afirmó haber obtenido más de 350 GB de datos: volcados de servidores de correo, bases de datos, documentos confidenciales y contratos.

Un archivo de 90 GB apareció en su sitio de filtraciones en la dark web. Los sistemas internos de la Comisión no se vieron afectados, pero el incidente expuso una vulnerabilidad estructural: infraestructura en la nube de cara al público operada sin los controles de acceso y la higiene de credenciales que NIS2 y DORA están diseñados para exigir.

«Los hallazgos iniciales de nuestra investigación en curso sugieren que se han extraído datos de esos sitios web. Los sistemas internos de la Comisión no se vieron afectados por el ciberataque.» — Comunicado de prensa de la Comisión Europea, 27 de marzo de 2026

Esta fue la segunda brecha de la Comisión en 2026. Un incidente en febrero ya había comprometido la plataforma de gestión de dispositivos móviles utilizada para administrar los dispositivos del personal. Dos brechas significativas en dos meses en una sola institución no es una coincidencia — refleja una campaña de ataques sostenida.

Sanciones cibernéticas de la UE — 16 de marzo de 2026

El 16 de marzo de 2026, el Consejo de la UE impuso medidas restrictivas contra tres entidades y dos individuos bajo el conjunto de herramientas de ciberdiplomacia de la UE — las primeras sanciones cibernéticas de la UE del año.

Las partes sancionadas:

• Integrity Technology Group (China): Proporcionó productos utilizados para comprometer más de 65.000 dispositivos en seis estados miembros de la UE entre 2022 y 2023.
• Anxun Information Technology (China): Proporcionó servicios de hacking dirigidos a infraestructura crítica de la UE. Dos cofundadores fueron sancionados individualmente.
• Emennet Pasargad (Irán): Vulneró una base de datos de suscriptores francesa, comprometió vallas publicitarias durante los Juegos Olímpicos de París 2024 para difundir desinformación, y comprometió un servicio de SMS sueco.

Todas las entidades listadas enfrentan congelación de activos. Los dos individuos también enfrentan prohibiciones de viaje. El régimen de sanciones cibernéticas de la UE ahora cubre 19 individuos y 7 entidades.

El contexto estadístico

Según el informe ENISA Threat Landscape 2025, los ataques DDoS representaron el 77% de todos los incidentes cibernéticos registrados en la UE, impulsados principalmente por grupos hacktivistas. El ransomware sigue siendo la amenaza más dañina operativamente: el 81,1% de los incidentes de ciberdelincuencia dirigidos a organizaciones de la UE involucraron ransomware.

La administración pública fue el sector más atacado, representando el 38% de todos los incidentes. Los grupos alineados con estados intensificaron las campañas de espionaje a largo plazo contra telecomunicaciones, logística y manufactura.

El panorama de los investigadores de incidentes sobre el terreno es igualmente directo. El informe de incidentes 2026 de Eye Security — basado en 630 investigaciones en Benelux y Alemania — encontró que el 70% de todos los casos fueron Compromiso de Correo Electrónico Empresarial (BEC). Más revelador: el 62% de los casos clasificados desde enero de 2025 involucraron elusión de MFA. Los atacantes no están rompiendo el cifrado — están robando o eludiendo credenciales. Ese es el vector que NIS2, DORA y la aplicación del RGPD están diseñados para cerrar.

La brecha de la Comisión Europea siguió un patrón bien documentado: credenciales en la nube comprometidas, sin registro de auditoría, sin límites de acceso. Passwork proporciona a los equipos de TI una bóveda estructurada con acceso basado en roles, permisos granulares y un registro completo de actividad — los controles que NIS2 y DORA exigen explícitamente. Pruebe Passwork gratis

Enmiendas a NIS2: Qué cambió el 20 de enero de 2026

El 20 de enero de 2026, la Comisión Europea propuso enmiendas a NIS2 centradas en la certeza jurídica, el cumplimiento simplificado y las reglas jurisdiccionales clarificadas. La propuesta también introdujo una Ley de Ciberseguridad (CSA2) revisada que amplía el mandato de ENISA y avanza hacia la certificación obligatoria de ciberseguridad para productos y servicios utilizados en sectores críticos.

Los tres cambios prácticos en NIS2

Las enmiendas abordan tres puntos problemáticos que surgieron durante el primer año de implementación en los estados miembros:

1. Claridad jurisdiccional. Las enmiendas especifican qué estado miembro tiene autoridad de supervisión sobre entidades transfronterizas — una fuente importante de incertidumbre de cumplimiento para organizaciones multinacionales que operan en múltiples jurisdicciones de la UE simultáneamente.
2. Recopilación de datos de ransomware. La propuesta estandariza la recopilación de datos de incidentes relacionados con ransomware en los estados miembros, permitiendo un intercambio de inteligencia de amenazas más consistente a nivel de la UE.
3. Refinamiento del alcance. Una nueva categoría de «pequeña mediana empresa» ajusta los umbrales que determinan si las organizaciones se clasifican como entidades esenciales o importantes bajo NIS2.

CSA2: El cambio estructural más significativo

La revisión de CSA2 amplía tanto el alcance material como subjetivo del marco de ciberseguridad de la UE. El cambio crítico: la certificación para productos y servicios de TIC utilizados en sectores críticos pasa de voluntaria a obligatoria. Las organizaciones que han confiado en los esquemas de certificación voluntaria actuales de ENISA necesitarán reevaluar sus carteras de productos y contratos con proveedores una vez que se adopte CSA2 — esperado a finales de 2026 o 2027.

Alemania: La implementación de NIS2 ya está en vigor

La ley de implementación de NIS2 de Alemania (NIS2UmsuCG) entró en vigor el 6 de diciembre de 2025. La fecha límite de registro en BSI fue el 6 de marzo de 2026. Aproximadamente 30.000 empresas en Alemania están bajo el ámbito de NIS2. Una encuesta de nis2-check.de encontró que el 80% de las empresas afectadas desconocían sus obligaciones (ADVISORI, febrero 2026). La ley introduce responsabilidad personal para la dirección bajo el §38 NIS2UmsuCG — una primicia en la legislación alemana de ciberseguridad.

Requisitos de notificación de incidentes de NIS2

DORA: La aplicación comienza en 2026

DORA (Reglamento UE 2022/2554) es directamente aplicable desde el 17 de enero de 2025. No se requiere ley de implementación nacional y no es posible ningún aplazamiento. En 2026, los reguladores nacionales, incluido BaFin de Alemania, están realizando auditorías activas de instituciones financieras y sus proveedores de TIC terceros.

A quién cubre DORA

DORA se aplica a todo el sector financiero: entidades de crédito, compañías de seguros, empresas de inversión, proveedores de servicios de pago, proveedores de servicios de criptoactivos y — de manera crítica — los proveedores de TIC terceros que suministran servicios críticos a estas entidades.

Un proveedor de nube que aloja sistemas bancarios centrales está bajo DORA como proveedor de TIC tercero, al igual que el propio banco. El alcance del reglamento se extiende mucho más allá de los servicios financieros tradicionales.

Los cinco pilares de cumplimiento

DORA organiza sus requisitos en torno a cinco áreas: gestión de riesgos de TIC, notificación de incidentes, pruebas de resiliencia operativa digital, gestión de riesgos de terceros e intercambio de información.

El requisito más exigente es la Prueba de Penetración Guiada por Amenazas (TLPT) — obligatoria para instituciones sistémicamente importantes. TLPT requiere equipos rojos especializados para simular escenarios de ataque reales basados en inteligencia de amenazas actual, no metodologías de pruebas de penetración genéricas.

Las brechas de cumplimiento siguen siendo significativas

A pesar de que DORA lleva en vigor más de un año, la preparación en el sector es incompleta. Una encuesta de Veeam encontró que el 96% de las organizaciones financieras de EMEA creen que necesitan mejorar su resiliencia para cumplir con los requisitos de DORA.

Una encuesta de Computerwoche encontró que el 44% de las empresas afectadas reportan problemas significativos de implementación. Brechas específicas: el 24% no ha identificado un líder de implementación de DORA, y el 23% no ha realizado pruebas de resiliencia operativa digital.

Estos números significan que los auditores de BaFin están entrando en organizaciones que no han completado los pasos básicos de preparación — con consecuencias de aplicación que incluyen la revocación de licencias, no solo multas.

Ley de Ciberresiliencia: La fecha límite de septiembre 2026

La Ley de Ciberresiliencia entró en vigor el 10 de diciembre de 2024. A partir del 11 de septiembre de 2026, los fabricantes e importadores de productos digitales deben notificar a ENISA las vulnerabilidades explotadas activamente y los incidentes graves dentro de las 24 horas. Los requisitos completos del CRA — incluyendo las obligaciones de seguridad desde el diseño — se aplican a partir del 11 de diciembre de 2027.

Qué cubre el hito de septiembre 2026

Dos obligaciones específicas se activan el 11 de septiembre:

• Notificación de vulnerabilidades: Los fabricantes deben notificar a ENISA las vulnerabilidades explotadas activamente dentro de las 24 horas siguientes a tener conocimiento de ellas.
• Notificación de incidentes: Los incidentes graves con impacto en la seguridad de los productos digitales también deben notificarse a ENISA dentro de las 24 horas.

Los requisitos completos del CRA — seguridad desde el diseño, lista de materiales de software (SBOM), gestión continua de vulnerabilidades y marcado CE para productos digitales — se aplican a partir de diciembre de 2027. Las organizaciones que no hayan comenzado la preparación a mediados de 2026 tendrán dificultades para cumplir esa fecha límite. La multa máxima del CRA es de 15 millones de euros o el 2,5% de la facturación anual global, lo que sea mayor.

NIS2 vs. DORA vs. CRA vs. CSA2: ¿Qué regulación le aplica?

El principio de lex specialis significa que las regulaciones sectoriales específicas tienen precedencia sobre las generales. Las entidades financieras sujetas a DORA están exentas de ciertas obligaciones de NIS2 donde DORA proporciona requisitos equivalentes o más estrictos. Las cuatro regulaciones pueden superponerse para grandes organizaciones que operan en múltiples sectores — un proveedor de nube que sirve a instituciones financieras mientras también fabrica hardware IoT puede enfrentar obligaciones bajo las cuatro simultáneamente.

Comparación de regulaciones

Matriz de decisión: ¿Le aplica esta regulación?

DORA requiere controles de acceso documentados y registros de auditoría para todas las cuentas de TIC privilegiadas. El intercambio seguro de credenciales y el registro de actividad de Passwork proporcionan a los equipos de cumplimiento la evidencia que solicitan los auditores.

Lista de verificación práctica de cumplimiento para primavera/verano 2026

Con el 62% de los incidentes cibernéticos de la UE en 2025 involucrando elusión de MFA y el 70% clasificados como Compromiso de Correo Electrónico Empresarial, las medidas técnicas más inmediatas están centradas en la identidad: imponer MFA en todas partes, auditar el acceso privilegiado y evaluar la exposición de credenciales de terceros. El cumplimiento regulatorio y la seguridad operativa apuntan a los mismos controles.

Acciones inmediatas (abril – junio 2026)

1. Complete el registro en BSI (Alemania) si aún no lo ha hecho. Contacte con BSI inmediatamente y documente el intento — incluso si ha pasado la fecha límite del 6 de marzo, el registro del esfuerzo de buena fe importa en los procedimientos de aplicación.
2. Realice un análisis de impacto de NIS2. Determine si su organización y sus subsidiarias, empresas conjuntas y proveedores críticos están bajo la clasificación de entidad esencial o importante de NIS2.
3. Establezca un proceso de notificación de incidentes de 24/72 horas. Asigne responsabilidad clara, cree plantillas de notificación y pruebe la ruta de escalamiento de extremo a extremo antes de que un incidente le obligue a usarla.
4. Imponga MFA en todos los accesos remotos y cuentas privilegiadas. Dado que el 62% de los incidentes clasificados de la UE involucraron elusión de MFA (Eye Security, 2026), este es el control de mayor retorno de inversión disponible.
5. Audite los proveedores de TIC terceros. DORA requiere obligaciones de seguridad contractuales para todos los proveedores de TIC críticos. NIS2 requiere evaluaciones de seguridad de la cadena de suministro. Ambas regulaciones exigen evidencia documentada de supervisión de terceros.
6. Implemente una política de gestión segura de credenciales. Centralice la gestión de contraseñas para cuentas privilegiadas para prevenir el vector de robo de credenciales utilizado en la brecha de ShinyHunters. Las credenciales compartidas no gestionadas siguen siendo el punto de entrada más común en casos de BEC y compromiso de cuentas en la nube.

Acciones a medio plazo (julio – septiembre 2026)

1. Prepárese para las obligaciones de notificación del CRA (efectivas el 11 de septiembre de 2026). Establezca un proceso de divulgación de vulnerabilidades, designe un punto de contacto para la notificación a ENISA y confirme que su inventario de productos refleja con precisión qué elementos califican como «productos digitales con elementos digitales».
2. Realice una prueba de resiliencia DORA. Como mínimo, ejecute un ejercicio de simulación. Las instituciones sistémicamente importantes deben planificar un TLPT completo con un equipo rojo cualificado operando contra inteligencia de amenazas actual.
3. Comience la evaluación de certificación CSA2. Identifique qué productos o servicios requerirán certificación obligatoria de ciberseguridad de la UE bajo CSA2 e involucre a un organismo notificado temprano — los plazos de certificación son largos.
4. Revise el cumplimiento del RGPD. El Conseil d'État francés confirmó una multa de 40 millones de euros del RGPD contra Criteo el 4 de marzo de 2026. Las multas totales del RGPD desde 2018 ahora superan los 7.100 millones de euros, con 1.200 millones de euros emitidos solo en 2025 (Kiteworks, marzo 2026). La aplicación de la protección de datos está en su máxima intensidad — trátelo como una vía paralela, no como un programa separado.

Conclusión

El contexto de amenazas y regulatorio están convergiendo. El entorno de ciberseguridad de la UE en primavera de 2026 está definido por el endurecimiento simultáneo de la regulación y la escalada de ataques. La brecha de la Comisión Europea y las primeras sanciones cibernéticas de la UE del año no son eventos aislados — son el contexto de aplicación para NIS2, DORA, CRA y CSA2.

La seguridad de identidad es la prioridad inmediata. El robo de credenciales mediante compromiso de cuentas en la nube es precisamente lo que el requisito de «medidas técnicas apropiadas» de NIS2 está diseñado para prevenir. Con el 62% de los incidentes de la UE en 2025 involucrando elusión de MFA, imponer MFA, auditar el acceso privilegiado y centralizar la gestión de credenciales son controles fundamentales — que simultáneamente reducen el riesgo de brechas y satisfacen los requisitos de NIS2, DORA y RGPD.

Las fechas límite son fijas. La fecha límite de notificación del CRA del 11 de septiembre de 2026 está a seis meses. Las auditorías de DORA están en curso. El registro de NIS2 en Alemania cerró el 6 de marzo. Las organizaciones que tratan el cumplimiento como un ejercicio de documentación en lugar de un programa de mejora de seguridad enfrentan tanto sanciones regulatorias como exposición operativa.

La suposición común en los cuatro marcos: las organizaciones mantienen control documentado y auditable sobre quién accede a qué credenciales, cuándo y por qué. Ese es el punto de partida para cualquier programa serio de cumplimiento — y la línea base contra la que los reguladores evaluarán.

Passwork es un gestor de contraseñas corporativo autoalojado con control de acceso basado en roles, registros de actividad detallados y cifrado de conocimiento cero — desplegado completamente dentro de su propia infraestructura. Aborda los controles de gestión de credenciales requeridos bajo NIS2, DORA y RGPD en un único sistema auditable. Pruebe Passwork gratis en su infraestructura

Preguntas frecuentes: Regulaciones de ciberseguridad de la UE en primavera 2026

¿Qué cambió en la legislación de ciberseguridad de la UE en primavera 2026?

La Comisión Europea propuso enmiendas a NIS2 y una nueva Ley de Ciberseguridad (CSA2) el 20 de enero de 2026. Las obligaciones de notificación del CRA comienzan el 11 de septiembre de 2026. DORA ha estado en aplicación activa desde enero de 2025. La UE también impuso sus primeras sanciones cibernéticas de 2026 el 16 de marzo, dirigidas contra actores de amenazas chinos e iraníes.

¿Cuál es la diferencia entre NIS2 y DORA?

NIS2 es una directiva amplia que cubre 18 sectores y se centra en la gestión de riesgos de ciberseguridad y la notificación de incidentes. DORA es un reglamento específico para el sector financiero, con requisitos más profundos para la gestión de riesgos de TIC, pruebas de resiliencia y supervisión de terceros. El principio de lex specialis significa que DORA tiene precedencia para entidades financieras donde sus requisitos son más estrictos que las obligaciones equivalentes de NIS2.

¿Cuáles son las sanciones por incumplimiento de NIS2 en 2026?

Las entidades esenciales enfrentan multas de hasta 10 millones de euros o el 2% de la facturación anual global, lo que sea mayor. Las entidades importantes enfrentan multas de hasta 7 millones de euros o el 1,4% de los ingresos globales. La ley de implementación de NIS2 de Alemania (§38 NIS2UmsuCG) también introduce responsabilidad personal para la dirección — una primicia en la legislación alemana de ciberseguridad.

¿Cuándo entra en vigor la Ley de Ciberresiliencia?

El CRA entró en vigor el 10 de diciembre de 2024. Las obligaciones de notificación de vulnerabilidades e incidentes comienzan el 11 de septiembre de 2026. Los requisitos completos de seguridad desde el diseño y las obligaciones de marcado CE se aplican a partir del 11 de diciembre de 2027. Las organizaciones que retrasen la preparación hasta finales de 2026 enfrentarán un plazo comprimido para la fecha límite de 2027.

¿Quién fue sancionado bajo las sanciones cibernéticas de la UE en marzo 2026?

El 16 de marzo de 2026, el Consejo de la UE sancionó a Integrity Technology Group y Anxun Information Technology (ambas con sede en China) y Emennet Pasargad (con sede en Irán), junto con dos individuos chinos. Las sanciones incluyen congelación de activos; los dos individuos también enfrentan prohibiciones de viaje. El régimen de sanciones cibernéticas de la UE ahora cubre un total de 19 individuos y 7 entidades.

¿Qué es la Ley de Ciberseguridad de la UE 2 (CSA2)?

CSA2 es la revisión propuesta de la Ley de Ciberseguridad de la UE, anunciada el 20 de enero de 2026. Amplía el mandato de ENISA e introduce la certificación obligatoria de ciberseguridad para productos y servicios de TIC utilizados en sectores críticos — reemplazando el marco de certificación voluntaria actual para esas categorías. Adopción esperada: finales de 2026 o 2027.

¿Se aplica NIS2 o DORA a los proveedores de nube?

Un proveedor de nube que suministra servicios críticos a instituciones financieras está bajo DORA como proveedor de TIC tercero. Si el mismo proveedor también opera en uno de los 18 sectores de NIS2 con los umbrales de tamaño relevantes, NIS2 se aplica de forma independiente. Las dos regulaciones pueden — y frecuentemente lo hacen — aplicarse simultáneamente a la misma organización.

¿Qué ocurrió en la brecha de datos de la Comisión Europea de 2026?

El 24 de marzo de 2026, atacantes accedieron a las cuentas de AWS en la nube de la Comisión Europea que alojaban la plataforma Europa.eu. El grupo de extorsión ShinyHunters se atribuyó la responsabilidad y alegó el robo de más de 350 GB de datos, incluyendo bases de datos, contratos y documentos confidenciales. La Comisión confirmó la brecha el 30 de marzo de 2026.

Requisitos de contraseñas de NIS2: Qué deben hacer las empresas europeas en 2026

Las brechas de credenciales son el principal punto de fallo en las auditorías de NIS2 en 2026. Esta guía cubre los requisitos de contraseñas del Artículo 21, la alineación con NIST SP 800-63B, los pasos de fortalecimiento de AD y la evidencia de auditoría que los reguladores solicitan primero.

Passwork BlogAlex Muntyan

Modelos de despliegue de gestores de contraseñas: Nube, autoalojado e híbrido

Elegir dónde ejecutar su gestor de contraseñas importa tanto como elegir cuál. Esta guía desglosa el despliegue en nube, autoalojado e híbrido — con una matriz de cumplimiento para RGPD, HIPAA y NIS2, y una visión clara de las compensaciones que conlleva cada modelo.

Passwork BlogAlex Muntyan

¿Qué es una passkey? Guía de autenticación sin contraseñas

Una passkey es una credencial resistente al phishing almacenada en su dispositivo. Inicie sesión con un toque biométrico — sin contraseña que recordar o robar. Esta guía cubre la mecánica técnica, la configuración de plataforma, los datos de rendimiento del mundo real y lo que significa la transición para los equipos empresariales.

Passwork BlogAlex Muntyan

Introduction

On March 24, 2026, attackers accessed the European Commission's AWS cloud accounts and exfiltrated over 350GB of data before being blocked.

The ShinyHunters extortion group claimed responsibility. The Commission confirmed the breach on March 30, making it the most significant EU institutional compromise of the year and a precise illustration of the threat environment in which four major EU cybersecurity regulations are now being enforced simultaneously.

Spring 2026 marks a convergence: the January 20 NIS2 amendments and CSA2 proposal, active DORA enforcement by national regulators, and the September 11 CRA reporting deadline approaching fast.

The EU also imposed its first cyber sanctions of the year on March 16, targeting Chinese and Iranian threat actors. These are not background events — they are the enforcement context every IT leader and compliance officer needs to understand now.

Key takeaways

• European Commission data breach confirmed: On March 30, 2026, ShinyHunters stole over 350GB from its AWS cloud accounts, including databases, contracts, and mail server dumps.
• First EU cyber sanctions of 2026: On March 16, the EU Council imposed restrictive measures against three entities — Integrity Technology Group, Anxun Information Technology (China), and Emennet Pasargad (Iran) — and two individuals.
• NIS2 and CSA2 amendments proposed: On January 20, 2026, the European Commission introduced changes clarifying jurisdiction, scope, and certification obligations across both frameworks.
• CRA reporting deadline approaching: Mandatory vulnerability and incident reporting obligations under the Cyber Resilience Act begin September 11, 2026.
• DORA enforcement is active: Fully applicable since January 17, 2025, with BaFin and other national regulators conducting audits throughout 2026.

The threat context that made these changes necessary

The Spring 2026 EU regulatory acceleration is a direct response to a documented surge in attacks on European institutions and critical infrastructure. The European Commission breach, the EU's first cyber sanctions of 2026, and the statistical picture from ENISA and independent incident responders all point in the same direction: the threat is real, targeted, and ongoing.

The European Commission breach (March 2026)

The March 24 attack on the Commission's AWS-hosted Europa.eu platform is the clearest recent example of cloud supply chain risk. ShinyHunters — the same extortion group behind multiple high-profile data theft campaigns — claimed to have taken over 350GB of data: mail server dumps, databases, confidential documents, and contracts.

A 90GB archive appeared on their dark web leak site. The Commission's internal systems were not affected, but the incident exposed a structural vulnerability: public-facing cloud infrastructure operated without the access controls and credential hygiene that NIS2 and DORA are designed to mandate.

"Early findings of our ongoing investigation suggest that data have been taken from those websites. The Commission's internal systems were not affected by the cyber-attack." — European Commission Press Release, March 27, 2026

This was the Commission's second breach in 2026. A February incident had already compromised the mobile device management platform used to manage staff devices. Two significant breaches in two months at a single institution is not a coincidence — it reflects a sustained targeting campaign.

EU cyber sanctions — March 16, 2026

On March 16, 2026, the EU Council imposed restrictive measures against three entities and two individuals under the EU's cyber diplomacy toolbox — the first EU cyber sanctions of the year.

The sanctioned parties:

• Integrity Technology Group (China): Provided products used to compromise over 65,000 devices across six EU member states between 2022 and 2023.
• Anxun Information Technology (China): Provided hacking services targeting EU critical infrastructure. Two co-founders were individually sanctioned.
• Emennet Pasargad (Iran): Breached a French subscriber database, compromised advertising billboards during the 2024 Paris Olympics to spread disinformation, and compromised a Swedish SMS service.

All listed entities face asset freezes. The two individuals also face travel bans. The EU cyber sanctions regime now covers 19 individuals and 7 entities.

The statistical backdrop

According to the ENISA Threat Landscape 2025 report, DDoS attacks accounted for 77% of all recorded EU cyber incidents, driven primarily by hacktivist groups. Ransomware remains the most operationally damaging threat: 81.1% of cybercrime incidents targeting EU organizations involved ransomware.

Public administration was the most targeted sector, representing 38% of all incidents. State-aligned groups intensified long-term espionage campaigns against telecommunications, logistics, and manufacturing.

The picture from incident responders on the ground is equally direct. Eye Security's 2026 incident report — based on 630 investigations across Benelux and Germany — found that 70% of all cases were Business Email Compromise (BEC). More telling: 62% of classified cases since January 2025 involved MFA bypass. Attackers are not breaking encryption — they are stealing or bypassing credentials. That is the vector NIS2, DORA, and GDPR enforcement are all designed to close.

The European Commission breach followed a well-documented pattern: compromised cloud credentials, no audit trail, no access boundaries. Passwork gives IT teams a structured vault with role-based access, granular permissions, and a full activity log — the controls NIS2 and DORA explicitly require. Try Passwork free

NIS2 amendments: What changed on January 20, 2026

On January 20, 2026, the European Commission proposed amendments to NIS2 focused on legal certainty, streamlined compliance, and clarified jurisdictional rules. The proposal also introduced a revised Cybersecurity Act (CSA2) that expands ENISA's mandate and moves toward mandatory cybersecurity certification for products and services used in critical sectors.

The three practical changes in NIS2

The amendments address three pain points that emerged during the first year of implementation across member states:

1. Jurisdictional clarity. The amendments specify which member state holds supervisory authority over cross-border entities — a major source of compliance uncertainty for multinational organizations operating in multiple EU jurisdictions simultaneously.
2. Ransomware data collection. The proposal standardizes the collection of ransomware-related incident data across member states, enabling more consistent threat intelligence sharing at the EU level.
3. Scope refinement. A new "small mid-cap" category adjusts the thresholds determining whether organizations fall under NIS2's essential or important entity classification.

CSA2: The more significant structural shift

The CSA2 revision expands both the material and subjective scope of the EU cybersecurity framework. The critical change: certification for ICT products and services used in critical sectors moves from voluntary to mandatory. Organizations that have relied on the current voluntary ENISA certification schemes will need to reassess their product portfolios and supplier contracts once CSA2 is adopted — expected late 2026 or 2027.

Germany: NIS2 implementation is already in force

Germany's NIS2 implementation law (NIS2UmsuCG) entered into force on December 6, 2025. The BSI registration deadline was March 6, 2026. Approximately 30,000 companies in Germany fall under NIS2. A survey by nis2-check.de found that 80% of affected companies were unaware of their obligations (ADVISORI, February 2026). The law introduces personal liability for management under §38 NIS2UmsuCG — a first in German cybersecurity law.

NIS2 incident reporting requirements

DORA: Enforcement begins in 2026

DORA (Regulation EU 2022/2554) has been directly applicable since January 17, 2025. There is no national implementation law required and no postponement possible. In 2026, national regulators including Germany's BaFin are conducting active audits of financial institutions and their ICT third-party providers.

Who DORA covers

DORA applies to the entire financial sector: credit institutions, insurance companies, investment firms, payment service providers, crypto-asset service providers, and — critically — the ICT third-party providers supplying critical services to these entities.

A cloud provider hosting core banking systems falls under DORA as an ICT third-party provider, as does the bank itself. The regulation's reach extends well beyond traditional financial services.

The five compliance pillars

DORA organizes its requirements around five areas: ICT risk management, incident reporting, digital operational resilience testing, third-party risk management, and information sharing.

The most demanding requirement is Threat-Led Penetration Testing (TLPT) — mandatory for systemically important institutions. TLPT requires specialized red teams to simulate real attack scenarios based on current threat intelligence, not generic penetration testing methodologies.

Compliance gaps remain significant

Despite DORA being in force for over a year, readiness across the sector is incomplete. A Veeam survey found that 96% of EMEA financial organizations believe they need to improve their resilience to meet DORA requirements.

A Computerwoche survey found that 44% of affected companies report significant implementation problems. Specific gaps: 24% have not identified a DORA implementation lead, and 23% have not conducted digital operational resilience testing.

These numbers mean BaFin auditors are walking into organizations that have not completed basic readiness steps — with enforcement consequences that include license revocation, not just fines.

Cyber Resilience Act: The September 2026 deadline

The Cyber Resilience Act entered into force on December 10, 2024. From September 11, 2026, manufacturers and importers of digital products must report actively exploited vulnerabilities and severe incidents to ENISA within 24 hours. Full CRA requirements — including security-by-design obligations — apply from December 11, 2027.

What the September 2026 milestone covers

Two specific obligations activate on September 11:

• Vulnerability reporting: Manufacturers must report actively exploited vulnerabilities to ENISA within 24 hours of becoming aware of them.
• Incident reporting: Severe incidents with an impact on the security of digital products must also be reported to ENISA within 24 hours.

The full CRA requirements — security by design, software bill of materials (SBOM), ongoing vulnerability management, and CE marking for digital products — apply from December 2027. Organizations that have not started preparation by mid-2026 will struggle to meet that deadline. The maximum CRA fine is €15 million or 2.5% of global annual turnover, whichever is higher.

NIS2 vs. DORA vs. CRA vs. CSA2: Which regulation applies to you?

The lex specialis principle means that sector-specific regulations take precedence over general ones. Financial entities subject to DORA are exempt from certain NIS2 obligations where DORA provides equivalent or stricter requirements. All four regulations can overlap for large organizations operating across sectors — a cloud provider serving financial institutions while also manufacturing IoT hardware may face obligations under all four simultaneously.

Regulation comparison

Decision matrix: Does this regulation apply to you?

DORA requires documented access controls and audit trails for all privileged ICT accounts. Passwork's secure credential sharing and activity logging give compliance teams the evidence trail auditors ask for.

Practical compliance checklist for Spring/Summer 2026

With 62% of EU cyber incidents in 2025 involving MFA bypass and 70% classified as Business Email Compromise, the most immediate technical measures are identity-focused: enforce MFA everywhere, audit privileged access, and assess third-party credential exposure. Regulatory compliance and operational security point to the same controls.

Immediate actions (April – June 2026)

1. Complete BSI registration (Germany) if not yet done. Contact BSI immediately and document the attempt — even if the March 6 deadline has passed, the record of good-faith effort matters in enforcement proceedings.
2. Conduct a NIS2 impact analysis. Determine whether your organization and its subsidiaries, joint ventures, and critical suppliers fall under NIS2's essential or important entity classification.
3. Establish a 24/72-hour incident reporting process. Assign clear ownership, create notification templates, and test the escalation path end-to-end before an incident forces you to use it.
4. Enforce MFA across all remote access and privileged accounts. Given that 62% of classified EU incidents involved MFA bypass (Eye Security, 2026), this is the single highest-ROI control available.
5. Audit third-party ICT providers. DORA requires contractual security obligations for all critical ICT suppliers. NIS2 requires supply chain security assessments. Both regulations demand documented evidence of third-party oversight.
6. Implement a secure credential management policy. Centralize password management for privileged accounts to prevent the credential theft vector used in the ShinyHunters breach. Unmanaged shared credentials remain the most common entry point in BEC and cloud account compromise cases.

Mid-term actions (July – September 2026)

1. Prepare for CRA reporting obligations (effective September 11, 2026). Establish a vulnerability disclosure process, designate a contact point for ENISA reporting, and confirm that your product inventory accurately reflects which items qualify as "digital products with digital elements."
2. Conduct a DORA resilience test. At minimum, run a tabletop exercise. Systemically important institutions must plan for full TLPT with a qualified red team operating against current threat intelligence.
3. Begin CSA2 certification assessment. Identify which products or services will require mandatory EU cybersecurity certification under CSA2 and engage a notified body early — certification timelines are long.
4. Review GDPR compliance. The French Conseil d'État upheld a €40 million GDPR fine against Criteo on March 4, 2026. Total GDPR fines since 2018 now exceed €7.1 billion, with €1.2 billion issued in 2025 alone (Kiteworks, March 2026). Data protection enforcement is at peak intensity — treat it as a parallel track, not a separate program.

Conclusion

The threat and regulatory context are converging. The Spring 2026 EU cybersecurity environment is defined by simultaneous tightening of regulation and escalation of attacks. The European Commission breach and the EU's first cyber sanctions of the year are not isolated events — they are the enforcement context for NIS2, DORA, CRA, and CSA2.

Identity security is the immediate priority. Credential theft via cloud account compromise is precisely what NIS2's "appropriate technical measures" requirement is designed to prevent. With 62% of EU incidents in 2025 involving MFA bypass, enforcing MFA, auditing privileged access, and centralizing credential management are foundational controls — ones that simultaneously reduce breach risk and satisfy requirements across NIS2, DORA, and GDPR.

The deadlines are fixed. The September 11, 2026 CRA reporting deadline is six months away. DORA audits are underway. NIS2 registration in Germany closed on March 6. Organizations that treat compliance as a documentation exercise rather than a security improvement program face both regulatory penalties and operational exposure.

The common assumption across all four frameworks: organizations maintain documented, auditable control over who accesses what credentials, when, and why. That is the starting point for any serious compliance program — and the baseline regulators will test against.

Passwork is a self-hosted corporate password manager with role-based access control, detailed activity logs, and zero-knowledge encryption — deployed entirely within your own infrastructure. It addresses the credential management controls required under NIS2, DORA, and GDPR in a single, auditable system. Try Passwork free in your infrastructure

FAQ: EU cybersecurity regulations in Spring 2026

What changed in EU cybersecurity law in Spring 2026?

The European Commission proposed amendments to NIS2 and a new Cybersecurity Act (CSA2) on January 20, 2026. The CRA's reporting obligations begin September 11, 2026. DORA has been in active enforcement since January 2025. The EU also imposed its first cyber sanctions of 2026 on March 16, targeting Chinese and Iranian threat actors.

What is the difference between NIS2 and DORA?

NIS2 is a broad directive covering 18 sectors and focusing on cybersecurity risk management and incident reporting. DORA is a regulation specific to the financial sector, with deeper requirements for ICT risk management, resilience testing, and third-party oversight. The lex specialis principle means DORA takes precedence for financial entities where its requirements are stricter than NIS2's equivalent obligations.

What are the penalties for NIS2 non-compliance in 2026?

Essential entities face fines of up to €10 million or 2% of global annual turnover, whichever is higher. Important entities face fines of up to €7 million or 1.4% of global revenue. Germany's NIS2 implementation law (§38 NIS2UmsuCG) also introduces personal liability for management — a first in German cybersecurity law.

When does the Cyber Resilience Act take effect?

The CRA entered into force on December 10, 2024. Mandatory vulnerability and incident reporting obligations begin September 11, 2026. Full security-by-design requirements and CE marking obligations apply from December 11, 2027. Organizations that delay preparation until late 2026 will face a compressed timeline for the 2027 deadline.

Who was sanctioned under EU cyber sanctions in March 2026?

On March 16, 2026, the EU Council sanctioned Integrity Technology Group and Anxun Information Technology (both China-based) and Emennet Pasargad (Iran-based), along with two Chinese individuals. Sanctions include asset freezes; the two individuals also face travel bans. The EU cyber sanctions regime now covers 19 individuals and 7 entities total.

What is the EU Cybersecurity Act 2 (CSA2)?

CSA2 is the proposed revision to the EU Cybersecurity Act, announced January 20, 2026. It expands ENISA's mandate and introduces mandatory cybersecurity certification for ICT products and services used in critical sectors — replacing the current voluntary certification framework for those categories. Expected adoption: late 2026 or 2027.

Does NIS2 or DORA apply to cloud providers?

A cloud provider supplying critical services to financial institutions falls under DORA as an ICT third-party provider. If the same provider also operates in one of NIS2's 18 sectors with the relevant size thresholds, NIS2 applies independently. The two regulations can — and frequently do — apply simultaneously to the same organization.

What happened in the European Commission data breach of 2026?

On March 24, 2026, attackers accessed the European Commission's AWS cloud accounts hosting the Europa.eu platform. The ShinyHunters extortion group claimed responsibility and alleged theft of over 350GB of data, including databases, contracts, and confidential documents. The Commission confirmed the breach on March 30, 2026.

NIS2 password requirements: What European companies must do in 2026

Credential gaps are the leading NIS2 audit failure point in 2026. This guide covers Article 21 password requirements, NIST SP 800-63B alignment, AD hardening steps, and the audit evidence regulators ask for first.

Passwork BlogAlex Muntyan

Password Manager Deployment Models: Cloud, Self-Hosted & Hybrid

Choosing where to run your password manager matters as much as choosing which one. This guide breaks down cloud, self-hosted, and hybrid deployment — with a compliance matrix for GDPR, HIPAA, and NIS2, and a clear look at the trade-offs each model carries.

Passwork BlogAlex Muntyan

What is a passkey? Guide to passwordless authentication

A passkey is a phishing-resistant credential stored on your device. Sign in with a biometric tap — no password to remember or steal. This guide covers the technical mechanics, platform setup, real-world performance data, and what the transition means for enterprise teams.

Passwork BlogAlex Muntyan

Introduction

If you had to explain the difference between XDR and MDR in a vendor meeting right now, without checking your notes — what would you say?

Cybercrime is projected to cost the global economy $10.5 trillion annually by 2026. A significant share of that damage traces back to misconfigured tools, misapplied policies, and decisions made without full context. The terminology is where the gaps begin.

This cybersecurity glossary for 2026 covers the terms that matter — Zero Trust, PAM, XDR, CTEM, DSPM, PQC — organized by business function, not alphabetically. Every definition includes the business context that vendor datasheets leave out.

Key takeaways

• IAM vs. PAM: IAM governs all user access; PAM specifically secures privileged (admin-level) accounts — the higher-value target.
• EDR vs. XDR vs. MDR: EDR covers endpoints; XDR extends visibility across the full environment; MDR is a managed service where a vendor's team runs either.
• SIEM vs. SOAR: SIEM aggregates and correlates logs to surface alerts; SOAR automates the response workflows those alerts trigger.
• CTEM and DSPM are the two 2026 terms appearing most frequently in board-level security conversations — both are covered in full below.
• Shadow AI and PQC are no longer future concerns. Both require policy decisions now.

Identity and access management

Identity is the new perimeter. With the average cost of a data breach reaching $4.44 million in 2025, the majority of incidents involve compromised credentials — making this category the foundation of any security program.

• IAM (Identity and Access Management) — the overarching framework for managing who can access which resources, under what conditions. IAM covers authentication, authorization, and the lifecycle of user accounts across the organization. Every other term in this section is a subset or extension of IAM.
• PAM (Privileged Access Management) — a specialized discipline within IAM focused on accounts with elevated permissions: domain admins, root users, service accounts. A single compromised admin credential gives an attacker full control over infrastructure. PAM tools enforce session recording, just-in-time access, and credential vaulting for these accounts. For a detailed breakdown, see the Passwork guide on privileged access management.
• Zero Trust — an architecture principle, not a product. The core rule: every access request is verified regardless of origin, including requests from inside the corporate network. Zero Trust requires MFA, least-privilege access, and continuous session monitoring. Vendors sell "Zero Trust solutions" — what they mean is tools that help implement the principle.
• MFA (Multi-Factor Authentication) and passkeys — MFA requires a second verification factor beyond a password. Passkeys go further: they replace passwords entirely with cryptographic key pairs stored on the user's device, making phishing structurally impossible. The shift toward passkeys is accelerating as FIDO2/WebAuthn adoption grows across enterprise platforms.
• SSO (Single Sign-On) — a mechanism that lets users authenticate once — typically against a central identity provider (IdP) such as Okta, Azure AD, or Google Workspace — and access multiple applications without re-entering credentials. When combined with MFA, it reduces the number of authentication entry points an attacker can target — instead of dozens of app-level logins, there is one.
• RBAC (Role-Based Access Control) — assigns permissions based on job role rather than individual identity. A finance analyst gets access to finance systems; a developer gets access to code repositories. RBAC is the standard model for enforcing least privilege at scale.
• ABAC (Attribute-Based Access Control) — a access control model that grants permissions based on attributes — properties of the user (role, department, clearance level), the resource (classification, owner, type), and the environment (time of day, location, device state). Unlike RBAC, which assigns permissions to roles, ABAC evaluates a combination of attributes against a policy at the moment of each access request.

Threat detection and incident response

EDR, XDR, and MDR are the three most-searched confusing acronyms in cybersecurity. Here is the direct answer: EDR monitors endpoints, XDR extends that visibility across network, cloud, and email, MDR is a managed service where a third-party team operates EDR or XDR on your behalf. The distinction matters when you're evaluating vendors.

• EDR (Endpoint Detection and Response) — monitors laptops, servers, and workstations for malicious behavior in real time. EDR tools detect threats that signature-based antivirus misses — fileless attacks, lateral movement, living-off-the-land techniques. The internal security team manages it.
• XDR (Extended Detection and Response) — extends EDR's visibility across the full environment: network traffic, cloud workloads, email, and identity systems. XDR correlates signals from multiple sources to surface multi-stage attacks that would appear as isolated anomalies in siloed tools.
• MDR (Managed Detection and Response) — EDR or XDR delivered as a managed service. The vendor's analysts handle detection, triage, and initial response. MDR is the answer for organizations that lack the internal headcount to staff a 24/7 SOC — a real constraint given the 4.8 million professional shortage in the global cybersecurity workforce.
• SIEM (Security Information and Event Management) — aggregates and correlates logs from every system in the environment: firewalls, endpoints, identity providers, cloud platforms. SIEM surfaces anomalies and generates alerts. It does not act on them.
• SOAR (Security Orchestration, Automation, and Response) — automates the response workflows that SIEM alerts trigger. When SIEM flags a suspicious login, SOAR can automatically disable the account, notify the analyst, and open a ticket — without human intervention. SIEM detects; SOAR acts.
• SOC (Security Operations Center) — the team, internal or outsourced, that monitors SIEM alerts, investigates incidents, and coordinates response. A SOC without SOAR automation is a team drowning in alerts.
• DevSecOps — a development practice that integrates security controls directly into the CI/CD pipeline rather than treating them as a separate phase after deployment. Static code analysis, dependency scanning, secrets detection, and container image checks run automatically at each stage of the build. The goal is to catch vulnerabilities at the point where they are cheapest to fix — in the code, before it reaches production.
• TTP (Tactics, Techniques, and Procedures) — the behavioral fingerprint of a threat actor. TTPs describe how attackers operate, mapped to frameworks like MITRE ATT&CK. Sharing TTP intelligence between organizations is the foundation of threat intelligence programs.

Cloud security and data posture

Cloud environments dissolve the traditional network boundary. The terms in this section address how organizations protect data that lives outside their own data centers — and increasingly, data they didn't know they had.

• CNAPP (Cloud-Native Application Protection Platform) — unifies cloud workload protection, container security, infrastructure-as-code scanning, and API security into a single platform. CNAPP replaces the previous generation of point tools (CSPM + CWPP) with an integrated view of cloud risk.
• DSPM (Data Security Posture Management) — one of the defining security priorities of 2025–2026. DSPM discovers, classifies, and assesses risk for data across cloud and hybrid environments — including shadow data that organizations didn't know existed. Where CSPM asks "is the infrastructure configured securely?", DSPM asks "where is sensitive data, and who can reach it?"
• CASB (Cloud Access Security Broker) — the security checkpoint between users and cloud services like Microsoft 365, Google Workspace, or Salesforce. CASB enforces data policies, detects anomalous access, and provides visibility into shadow IT application usage.
• DLP (Data Loss Prevention) — monitors and blocks sensitive data from leaving the organization through email, file uploads, USB transfers, or cloud sync. DLP is the enforcement layer; DSPM is the discovery and classification layer.
• CIEM (Cloud Infrastructure Entitlement Management) — manages and right-sizes permissions in cloud environments, where over-provisioned IAM roles are one of the most common misconfigurations. CIEM identifies which identities have access to what cloud resources — and flags permissions that exceed what's actually needed.

Emerging threats and AI security — the 2026 additions

87% of security leaders identify AI-related vulnerabilities as the fastest-growing cyber threat in 2026, according to the WEF Global Cybersecurity Outlook. The terms below are already appearing in board-level conversations and vendor pitches. Understanding them now prevents expensive course corrections later.

• CTEM (Continuous Threat Exposure Management) — a five-stage framework coined by Gartner in 2022 for continuously discovering, prioritizing, and remediating exposure across the attack surface. CTEM replaces point-in-time penetration tests — which leave organizations exposed between assessments — with an ongoing process of scoping, discovery, prioritization, validation, and mobilization. Gartner projects that organizations with CTEM programs will suffer two-thirds fewer breaches by 2026.
• Shadow AI — the unsanctioned use of generative AI tools (ChatGPT, Microsoft Copilot, Google Gemini) by employees without IT approval or governance. Sensitive data entered into consumer AI tools may be used for model training, retained by the vendor, or exposed in data leaks. 97% of organizations that reported an AI-related security incident lacked proper AI access controls or governance policies, per IBM's 2025 Cost of a Data Breach Report. Shadow AI is the 2026 equivalent of shadow IT — and requires the same policy response.
• LLM Security — the discipline of securing large language model deployments against prompt injection attacks, training data leakage, and model poisoning. As organizations deploy AI-powered tools internally, LLM security becomes an operational concern, not a research topic.
• MCP (Model Context Protocol) — an open standard developed by Anthropic for how AI agents interact with external systems, tools, and data sources. Organizations deploying AI-powered security tools or autonomous agents need to understand MCP as the emerging integration layer — and the new attack surface it introduces.
• PQC (Post-Quantum Cryptography) — cryptographic algorithms designed to resist attacks from quantum computers, which would break current RSA and ECC encryption. NIST finalized the first PQC standards in 2024 (FIPS 203, 204, 205). Organizations don't need to panic — but they do need to begin a cryptographic inventory: identifying which systems rely on vulnerable algorithms and planning migration timelines.
• QKD (Quantum Key Distribution) — a method of distributing encryption keys using quantum mechanical properties, making interception detectable. QKD is a complementary approach to PQC, currently deployed in high-security government and financial contexts.

Compliance and governance

Security frameworks and regulations drive purchasing decisions, audit requirements, and board-level reporting. Knowing the acronyms prevents compliance theater — checkbox activity that satisfies auditors without reducing actual risk.

• GRC (Governance, Risk, and Compliance) — the integrated framework for aligning security programs with business objectives and regulatory obligations. GRC platforms aggregate risk data, track control effectiveness, and generate audit evidence across multiple frameworks simultaneously.
• NIST CSF (NIST Cybersecurity Framework) — the U.S. government's voluntary framework for managing cybersecurity risk, organized around six functions: Identify, Protect, Detect, Respond, Recover, and Govern.
• ISO 27001 — the international standard for information security management systems (ISMS). Certification requires documented policies, risk assessments, and evidence of control implementation. ISO 27001 is the baseline credential for enterprise security programs operating across multiple jurisdictions.
• SOC 2 — an audit standard for service organizations demonstrating that security, availability, and confidentiality controls meet AICPA Trust Service Criteria. SOC 2 Type II reports cover a period of time (typically 6–12 months), not a point-in-time snapshot. Relevant for any SaaS vendor or cloud provider handling customer data.
• NIS2 — the EU's updated Network and Information Security Directive, effective October 2024. NIS2 expands compliance obligations to 18 sectors (up from 7 under NIS1), introduces direct liability for C-level executives, and mandates 24-hour incident reporting to national authorities. Organizations operating in the EU that haven't assessed their NIS2 obligations are already behind.
• GDPR / HIPAA — the two most-referenced data protection regulations. GDPR (General Data Protection Regulation) governs personal data handling for EU residents globally. HIPAA (Health Insurance Portability and Accountability Act) governs protected health information in the U.S. Both carry significant financial penalties and require documented access controls, breach notification procedures, and data minimization practices.

Conclusion

Knowing the terminology is the foundation — but the real work is implementation. The terms in this cybersecurity glossary for 2026 map directly to decisions: which tools to buy, which frameworks to adopt, which risks to prioritize in the next budget cycle.

The credential layer sits at the intersection of IAM, PAM, and Zero Trust — and it's where most breaches begin. Passwork addresses this layer directly: a self-hosted password manager with role-based access control, full audit logs, and zero-knowledge encryption, deployed entirely within your own infrastructure. For organizations with strict data sovereignty requirements, the self-hosted deployment model keeps all credential data under your control, with no dependency on third-party cloud services.

Frequently asked questions

What is the difference between EDR, MDR, and XDR?

EDR monitors endpoints for threats and is managed by the internal security team. XDR extends that visibility across network, cloud, email, and identity systems, correlating signals into a unified view. MDR is a managed service where a third-party vendor's analysts operate EDR or XDR on your behalf, handling detection and initial response.

Why is PAM considered more critical than standard IAM?

PAM secures privileged accounts — admin credentials that grant full control over infrastructure. A single compromised admin account can enable complete network takeover, ransomware deployment, or data exfiltration at scale. Standard IAM governs all users; PAM governs the accounts where a breach causes maximum damage.

What does Zero Trust mean in practice?

Zero Trust means every access request is verified regardless of where it originates — including requests from inside the corporate network. In practice, implementation requires MFA on all accounts, least-privilege access policies, network microsegmentation, and continuous monitoring of active sessions for anomalous behavior.

What is CTEM and why is Gartner pushing it?

CTEM (Continuous Threat Exposure Management) is a five-stage framework for continuously assessing and reducing an organization's attack surface. Gartner recommends it because annual penetration tests leave organizations exposed for months between assessments. CTEM turns exposure management into an ongoing operational process rather than a periodic event.

What is Shadow AI and why is it a security risk?

Shadow AI refers to employees using generative AI tools — ChatGPT, Copilot, Gemini — without IT approval or data governance controls. Sensitive business data entered into consumer AI platforms may be retained, used for training, or exposed in breaches. IBM's 2025 data shows 97% of organizations with AI-related incidents lacked proper AI access controls.

What is the difference between SIEM and SOAR?

SIEM aggregates logs from all systems and correlates them to surface security alerts. SOAR automates the response actions those alerts require — disabling accounts, blocking IPs, creating tickets, notifying analysts. SIEM is the detection layer; SOAR is the response layer. Most modern security programs need both.

Is PQC something organizations need to worry about now?

Yes — not to deploy immediately, but to plan. NIST finalized the first post-quantum cryptography standards in 2024. Organizations should conduct a cryptographic inventory now: identify systems relying on RSA or ECC encryption and assess migration complexity. Quantum computers capable of breaking current encryption are not imminent, but migration timelines are long.

Password Manager Deployment Models: Cloud, Self-Hosted & Hybrid

Choosing where to run your password manager matters as much as choosing which one. This guide breaks down cloud, self-hosted, and hybrid deployment — with a compliance matrix for GDPR, HIPAA, and NIS2, and a clear look at the trade-offs each model carries.

Passwork BlogAlex Muntyan

What is a passkey? Guide to passwordless authentication

A passkey is a phishing-resistant credential stored on your device. Sign in with a biometric tap — no password to remember or steal. This guide covers the technical mechanics, platform setup, real-world performance data, and what the transition means for enterprise teams.

Passwork BlogAlex Muntyan

Five ways to make users love password security

Users don’t resist security — they resist friction. Five evidence-based strategies to update your password policy, drive password manager adoption, and build a security culture employees actually follow.

Passwork BlogAlex Muntyan

Einleitung

Die meisten Organisationen verbringen Wochen damit, zu evaluieren, welchen Passwort-Manager sie kaufen sollen — und einen Nachmittag damit, zu entscheiden, wo sie ihn betreiben. Das ist das falsche Verhältnis.

Das Bereitstellungsmodell bestimmt, ob Ihre Anmeldedaten einem Sicherheitsvorfall beim Anbieter unterliegen, ob Ihre Infrastruktur die DSGVO ohne zusätzliche rechtliche Mechanismen erfüllt und ob Ihr Team das, was es aufgebaut hat, realistisch warten kann. Zwei Organisationen können identische Software betreiben und völlig unterschiedliche Sicherheitslagen haben — weil die eine Cloud und die andere Self-hosted gewählt hat.

Das Ausmaß des Problems verdeutlicht die Tragweite. Sechzehn Milliarden Passwörter wurden in einem einzigen Datenkompilierungsvorfall im Juni 2025 offengelegt — eine Zahl, die Anmeldedatensicherheit als Infrastrukturproblem neu definiert, nicht als Problem des Benutzerverhaltens. Laut globalen Cybersicherheitsbewertungen im Jahr 2025 beinhalten 74 % der Sicherheitsvorfälle gestohlene, schwache oder geleakte Anmeldedaten.

Ein Passwort-Manager ist die naheliegende Antwort. Aber das Bereitstellungsmodell, das Sie wählen — Cloud, Self-hosted oder Hybrid — prägt alles, was folgt: wo Ihre Daten liegen, wer sie kontrolliert, welche Compliance-Frameworks Sie erfüllen können und was Ihr Team für die Wartung aufwenden wird.

Dieser Leitfaden bietet ein konkretes Framework für diese architektonische Entscheidung.

Wichtigste Erkenntnisse

• Das Bereitstellungsmodell ist eine architektonische Entscheidung. Cloud, Self-hosted und Hybrid optimieren jeweils für unterschiedliche Prioritäten. Die falsche Wahl erzeugt Compliance-Lücken, die teuer zu beheben sind.
• Zero-Knowledge-Verschlüsselung ist eine Grundvoraussetzung, kein Differenzierungsmerkmal. Die Bereitstellungsentscheidung bestimmt, wer den Server kontrolliert, der den Chiffretext speichert — und wer verantwortlich ist, wenn er kompromittiert wird.
• Cloud tauscht Kontrolle gegen Komfort. Vom Anbieter verwaltete Infrastruktur bedeutet, dass ein Sicherheitsvorfall auf Anbieterebene alle Kunden gleichzeitig betrifft.
• Self-hosted tauscht Komfort gegen Kontrolle. Anmeldedaten verlassen niemals Ihre Infrastruktur. Die operative Last — Patching, Hochverfügbarkeit, Backups — liegt vollständig bei Ihrem Team.
• Hybrid umfasst vier verschiedene Muster, nicht eines. Aufteilung nach Sensibilität, dezentrale Synchronisation, geteilte Steuerungsebene und Failover-Architektur haben jeweils unterschiedliche Sicherheitsimplikationen.
• Vorschriften schreiben Kontrollen vor, keine Bereitstellungsmodelle. DSGVO und NIS2 können jeweils durch mehr als eine Architektur erfüllt werden — aber einige Modelle machen die Compliance-Nachweise deutlich einfacher.
• Rotieren Sie alle Anmeldedaten nach der Migration. Das ist der Schritt, den die meisten Organisationen überspringen — und der wichtigste, wenn Sie von einem Cloud-Tresor migrieren.

Passwort-Manager-Architekturen verstehen

Das Kernkonzept der Zero-Knowledge-Verschlüsselung

Zero-Knowledge-Verschlüsselung ist eine Sicherheitsarchitektur, bei der alle Ver- und Entschlüsselungsvorgänge ausschließlich auf dem Gerät des Benutzers stattfinden — was bedeutet, dass der Server nur Chiffretext empfängt, speichert und überträgt und keine kryptografische Möglichkeit hat, die zugrunde liegenden Daten zu lesen.

Bevor Bereitstellungsmodelle verglichen werden, lohnt es sich festzustellen, was sie gemeinsam haben. Unternehmenstaugliche Passwort-Manager — unabhängig davon, wo der Tresor liegt — setzen auf Zero-Knowledge-Architektur. Ver- und Entschlüsselung erfolgen auf Geräteebene, unter Verwendung von Algorithmen wie AES-256. Der Server, ob er sich im Rechenzentrum eines Anbieters oder in Ihrem eigenen Rack befindet, speichert nur Chiffretext. Selbst der Anbieter kann Ihre Anmeldedaten nicht lesen.

Dies ist für die Bereitstellungsentscheidung wichtig, weil die Zero-Knowledge-Architektur die Sicherheitsfrage von „Ist der Server vertrauenswürdig?" hin zu „Wer kontrolliert den Server, und was passiert, wenn er kompromittiert wird?" verschiebt. Die Antwort auf diese Frage unterscheidet sich erheblich zwischen den drei Modellen.

Die drei primären Bereitstellungsmodelle

Cloud-Bereitstellung bedeutet, dass der Anbieter den verschlüsselten Passwort-Tresor auf seiner Infrastruktur hostet und verwaltet. Self-hosted-Bereitstellung bedeutet, dass die Organisation den Tresor auf ihren eigenen Servern oder in einer privaten Cloud betreibt. Hybrid-Bereitstellung kombiniert Elemente von beiden — typischerweise werden Datenspeicherung, Synchronisation oder administrative Kontrolle auf Cloud- und On-Premise-Komponenten aufgeteilt.

Die Wahl beeinflusst die Datenresidenz (wo Anmeldedaten physisch liegen), die organisatorische Kontrolle (wer Zugriff und Patching verwaltet) und die Wartungsverantwortung (wer reagiert, wenn etwas ausfällt). Jedes Modell optimiert für unterschiedliche Prioritäten.

Cloud-basierte Passwort-Manager-Bereitstellung

Architektur und Mechanik

Cloud-basierte Bereitstellung ist ein Modell, bei dem der Anbieter die gesamte Server-Infrastruktur besitzt und betreibt — er hostet den verschlüsselten Passwort-Tresor, verwaltet die Verfügbarkeit und übernimmt die gesamte Backend-Wartung im Auftrag der Organisation.

In der Praxis verwaltet der Anbieter den gesamten Stack: Server, Load Balancer, Backups und Verfügbarkeitszonen. Die Organisation installiert Client-Anwendungen — Browser-Erweiterungen, Desktop-Apps, mobile Clients — die sich mit der API des Anbieters verbinden. Anmeldedaten werden lokal verschlüsselt, bevor sie übertragen werden, und als Chiffretext in der Umgebung des Anbieters gespeichert.

Aus IT-Perspektive ist der operative Aufwand minimal. Es gibt keine Server zu provisionieren, keine Datenbank-Cluster zu warten und keine Backup-Zeitpläne zu konfigurieren. Der Anbieter übernimmt all das.

Strategische Vorteile

Der primäre Vorteil ist Geschwindigkeit. Ein Cloud-Passwort-Manager kann organisationsweit in Stunden bis Tagen bereitgestellt werden, ohne Infrastrukturvoraussetzungen. Automatisches Patching bedeutet, dass die Organisation immer die neueste Version verwendet, ohne Wartungsfenster planen zu müssen. Hochverfügbarkeit (HA) wird vom Anbieter verwaltet, typischerweise durch SLAs abgesichert, die die meisten internen IT-Teams selbstständig nur schwer erreichen würden.

Risiken und Einschränkungen

Das Modell der geteilten Sicherheitsverantwortung ist das zentrale Risiko. Wenn die Infrastruktur eines Anbieters kompromittiert wird, sind alle Kunden gleichzeitig betroffen. Der LastPass-Sicherheitsvorfall von 2022 ist das deutlichste aktuelle Beispiel: Ein Angreifer erlangte Zugang zu einer Backup-Datenbank über einen Drittanbieter-Cloud-Speicherdienst und betraf letztendlich etwa 1,6 Millionen britische Benutzer. Im Dezember 2025 verhängte das britische Information Commissioner's Office eine Geldstrafe von etwa 1,6 Millionen US-Dollar gegen LastPass für die Sicherheitsmängel, die den Vorfall ermöglichten. Der Vorfall zeigte, dass vom Anbieter verwaltete Compliance-Zertifizierungen das Anbieterrisiko nicht eliminieren.

Über das Risiko von Sicherheitsvorfällen hinaus führt Cloud-Bereitstellung zu Datenresidenz-Einschränkungen. Wenn die Rechenzentren eines Anbieters außerhalb der EU liegen, kann die Speicherung von Anmeldedaten dort zusätzliche rechtliche Mechanismen erfordern, um die Anforderungen der DSGVO an grenzüberschreitende Übertragungen zu erfüllen. Kontinuierliche Internetverbindung ist ebenfalls eine harte Abhängigkeit — ein Ausfall beim Anbieter oder auf dem Netzwerkpfad macht es Benutzern unmöglich, auf Anmeldedaten zuzugreifen. Und Abonnementkosten akkumulieren unbegrenzt; es gibt keinen Punkt, an dem die Organisation die Infrastruktur „besitzt".

Self-hosted (On-Premise) Passwort-Manager-Bereitstellung

Architektur und Mechanik

Self-hosted-Bereitstellung ist ein Modell, bei dem die Organisation den Passwort-Manager auf ihrer eigenen Infrastruktur betreibt — mit vollständigem Eigentum am Tresor-Server, der Datenbank und jeder Netzwerkschicht, die sie umgibt.

Dies kann physische Server in einem Unternehmensrechenzentrum bedeuten, virtuelle Maschinen in einer privaten Cloud oder Container in einem Kubernetes-Cluster. Die Organisation installiert und konfiguriert die Passwort-Manager-Server-Software, verwaltet die Datenbank und übernimmt alle Netzwerkzugriffskontrollen.

Das Client-Erlebnis ist identisch mit der Cloud: Benutzer greifen über Browser-Erweiterungen und Desktop- oder Mobile-Apps auf Anmeldedaten zu. Der Unterschied liegt vollständig auf der Serverseite — die Organisation kontrolliert jede Schicht des Stacks.

Strategische Vorteile

Self-Hosting bietet vollständige Datensouveränität. Anmeldedaten verlassen niemals die Infrastruktur der Organisation, was strenge Datenresidenzanforderungen direkt erfüllt. Für Organisationen, die der DSGVO unterliegen, eliminiert dies die Notwendigkeit von Standardvertragsklauseln oder anderen Mechanismen für grenzüberschreitende Übertragungen. Für regulierte Branchen — Rüstungsunternehmen, Finanzinstitute, Gesundheitsorganisationen — ist dieses Maß an Kontrolle oft eine nicht verhandelbare Anforderung.

Self-hosted-Bereitstellungen unterstützen auch Air-Gapped-Umgebungen. Ein Tresor-Server ohne externe Netzwerkverbindung ist physisch von internetbasierten Angriffen isoliert, was ihn für klassifizierte Systeme oder kritische Infrastrukturen geeignet macht, in denen selbst verschlüsselte ausgehende Verbindungen verboten sind. Und da kein Drittanbieter in der Kette ist, beschränkt sich die Angriffsfläche auf die eigene Infrastruktur der Organisation — die die Organisation bereits verteidigt.

Risiken und Einschränkungen

Die operative Last ist real und sollte nicht unterschätzt werden. Self-Hosting erfordert dedizierte Infrastruktur (Server, Load Balancer für HA, Backup-Systeme), Expertise zur Konfiguration und Wartung sowie einen disziplinierten Patching-Prozess. Sicherheitspatches für die Passwort-Manager-Software müssen zeitnah eingespielt werden; ein verpasstes Update auf einem Self-hosted-Tresor ist das Problem der Organisation, nicht des Anbieters.

Hochverfügbarkeit in einer Self-hosted-Umgebung bedeutet, sie selbst aufzubauen: redundante Datenbankknoten, Failover-Konfigurationen und getestete Wiederherstellungsverfahren. Organisationen, denen diese Fähigkeit fehlt — oder das IT-Personal, um sie zu warten — stehen vor dem echten Risiko, dass eine Self-hosted-Bereitstellung weniger verfügbar und weniger sicher wird als die Cloud-Alternative, die sie ersetzt hat.

Fehlkonfigurationen in Netzwerkzugriffskontrollen oder Datenbankberechtigungen können den Tresor internen Bedrohungen aussetzen, die eine vom Anbieter verwaltete Umgebung standardmäßig handhaben würde.

Hybrid-Passwort-Manager-Bereitstellung

Definition der Hybrid-Architektur

Hybrid-Bereitstellung ist ein Modell, bei dem die Organisation die Passwort-Manager-Funktionalität auf Cloud- und On-Premise-Komponenten aufteilt — wobei jeder Teil des Stacks der Umgebung zugewiesen wird, die am besten zu seinen Sicherheits-, Compliance- oder operativen Anforderungen passt.

„Hybrid" wird im Anbieter-Marketing häufig ungenau verwendet und bedeutet oft nicht mehr als „wir haben sowohl eine Cloud- als auch eine On-Premise-Option". In der Praxis nehmen Unternehmens-Hybrid-Bereitstellungen vier verschiedene architektonische Formen an, jede mit unterschiedlichen Sicherheits- und operativen Implikationen.

• Aufteilung nach Sensibilität behält routinemäßige Anmeldedaten — SaaS-Anwendungslogins, gemeinsame Team-Accounts — in einem Cloud-Tresor, während hochsensible Anmeldedaten (privilegierte Accounts, Infrastruktur-Secrets, kryptografische Schlüssel) in einem On-Premise-Tresor gespeichert werden. Dieses Muster reduziert den On-Premise-Footprint und schützt gleichzeitig die wertvollsten Assets.
• Dezentrale Speicherung mit Cloud-Synchronisation speichert den Passwort-Tresor lokal auf jedem Gerät oder On-Premise-Server und nutzt Cloud-Infrastruktur nur zur Synchronisation zwischen Endpunkten. Die Cloud-Komponente hält niemals die primäre Kopie der Anmeldedaten — sie überträgt verschlüsselte Deltas zwischen lokalen Speichern.
• Geteilte Steuerungsebene trennt Tresorspeicherung von Administration: Anmeldedaten werden On-Premise gespeichert, aber die Management-Konsole, Audit-Logging und Policy-Durchsetzung laufen in der Cloud. Dieses Muster eignet sich für Organisationen, die Datenlokalität wollen, ohne den Overhead der internen Verwaltung einer administrativen Oberfläche.
• Failover-Architektur betreibt den primären Tresor On-Premise mit einem Cloud-gehosteten Replikat, das automatisch aktiviert wird, wenn die On-Premise-Umgebung nicht verfügbar ist. Dies ist ein Disaster-Recovery-Muster statt eines alltäglichen Hybrids — die Cloud-Komponente existiert, um Kontinuität zu garantieren, nicht um routinemäßigen Zugriff zu handhaben.

Strategische Vorteile

Hybrid-Bereitstellungen adressieren die zentrale Spannung zwischen Kontrolle und Komfort. Eine Organisation, die der DSGVO für EU-Mitarbeiter-Anmeldedaten unterliegt, aber auch US-basierte SaaS-Accounts verwaltet, kann jeden Anmeldedatentyp zur entsprechenden Speicherumgebung routen.

Gemischte regulatorische Umgebungen — bei multinationalen Unternehmen üblich — werden handhabbar, wenn das Bereitstellungsmodell nach Datenklassifizierung, Geografie oder Sensibilitätsstufe segmentiert werden kann.

Das Failover-Muster eliminiert speziell den Single Point of Failure, den sowohl reine Cloud- (Anbieterausfall) als auch reine Self-hosted-Bereitstellungen (On-Premise-Infrastrukturausfall) mit sich bringen. Für Organisationen mit hohen Verfügbarkeitsanforderungen und der IT-Reife, Komplexität zu verwalten, kann Hybrid-Architektur bessere Resilienz bieten als jedes Modell allein.

Risiken und Einschränkungen

Hybrid-Bereitstellungen sind die architektonisch komplexeste Option. Jede Grenze zwischen Cloud- und On-Premise-Komponenten ist eine potenzielle Sicherheitslücke: Synchronisationskanäle müssen verschlüsselt und authentifiziert sein, Zugriffsrichtlinien müssen über beide Umgebungen hinweg konsistent sein, und Audit-Logs müssen aus mehreren Quellen aggregiert werden, um ein kohärentes Bild des Anmeldedatenzugriffs zu liefern.

Inkonsistente Richtliniendurchsetzung an der Grenze — zum Beispiel MFA erforderlich On-Premise, aber nicht für Cloud-synchronisierte Anmeldedaten erzwungen — kann ausnutzbare Lücken schaffen, die keine der beiden Umgebungen isoliert hätte.

Der operative Overhead ist ebenfalls additiv. Das Team muss sowohl die On-Premise-Infrastruktur als auch die Cloud-Integration warten, und Vorfälle können sich über beide Umgebungen erstrecken, was Diagnose und Reaktion erschwert.

Compliance- und Datenresidenzanforderungen

Regulatorische Rahmenwerke schreiben keine Bereitstellungsmodelle vor — sie schreiben Kontrollen vor. Aber bestimmte Kontrollen sind mit spezifischen Bereitstellungsarchitekturen deutlich einfacher nachzuweisen.

DSGVO

Die DSGVO (Verordnung (EU) 2016/679) behandelt Anmeldedaten als personenbezogene Daten und erfordert, dass grenzüberschreitende Übertragungen in Drittländer Angemessenheitsstandards erfüllen oder genehmigte Übertragungsmechanismen wie Standardvertragsklauseln verwenden.

Die Speicherung von Anmeldedaten in einer EU-Region-Cloud oder On-Premise innerhalb der EU eliminiert die Übertragungsfrage vollständig. Organisationen, die US-basierte Cloud-Anbieter nutzen, müssen überprüfen, ob der Datenverarbeitungsvertrag des Anbieters die Anmeldedatenspeicherung abdeckt und dass die relevante Rechenzentrumsregion vertraglich garantiert ist.

NIS2

NIS2 (Richtlinie (EU) 2022/2555) gilt für wesentliche und wichtige Einrichtungen in kritischen Infrastruktursektoren. Sie verpflichtet Organisationen, Zugangskontrollmaßnahmen und sichere Authentifizierungspraktiken als Teil ihrer Cybersicherheits-Risikomanagement-Verpflichtungen zu implementieren.

Self-hosted- oder Hybrid-Bereitstellungen geben Organisationen direkte Kontrolle über diese Kontrollen und die Nachweise, die benötigt werden, um sie gegenüber nationalen zuständigen Behörden zu demonstrieren.

Passwort-Manager mit eingebauten Audit-Logs und rollenbasierter Zugriffskontrolle — wie Passwork — vereinfachen den Prozess der Bereitstellung dieser Nachweise während Bewertungen.

Migration und Vendor-Lock-in-Überlegungen

Die Migration zwischen Bereitstellungsmodellen ist im Prinzip operativ unkompliziert und in der Praxis wirklich komplex. Die meisten Passwort-Manager unterstützen Tresor-Export im CSV- oder JSON-Format. Der Prozess umfasst den Export des bestehenden Tresors, den Import in das neue System, die Überprüfung der Integrität der Anmeldedaten und die Stilllegung der alten Umgebung.

Der kritische Sicherheitsschritt — einer, der häufig übersprungen wird — ist die Rotation aller Anmeldedaten nach der Migration. Alle Anmeldedaten, die in der alten Umgebung existierten, sollten als potenziell exponiert während des Migrationsfensters behandelt werden, insbesondere wenn die alte Bereitstellung Cloud-basiert war und die Organisation aus Sicherheitsgründen zu Self-hosted wechselt. Die Passwortrotation für privilegierte Accounts und gemeinsam genutzte Anmeldedaten sollte erfolgen, bevor der alte Tresor stillgelegt wird.

Das Vendor-Lock-in-Risiko variiert erheblich je nach Exportformat. Anbieter, die proprietäre Formate verwenden — oder den Export auf bestimmte Tarife beschränken — erzeugen echte Migrationsreibung. Vor der Festlegung auf eine Plattform sollten Sie überprüfen, dass das Exportformat offen ist (CSV oder JSON), dass der Export alle Anmeldedatenfelder enthält (einschließlich TOTP-Secrets und benutzerdefinierter Felder) und dass der Prozess ohne Anbieterunterstützung abgeschlossen werden kann. Dies ist ein vertraglicher und technischer Due-Diligence-Punkt, keine Nebensache.

Fazit

Die Entscheidung über das Passwort-Manager-Bereitstellungsmodell hat dasselbe Gewicht wie die Softwareauswahl selbst.

• Cloud-Bereitstellung liefert Geschwindigkeit, operative Einfachheit und vom Anbieter verwaltete Compliance-Zertifizierungen — auf Kosten von Datenkontrolle und gemeinsamer Exposition bei Sicherheitsvorfällen.
• Self-hosted-Bereitstellung bietet vollständige Datensouveränität und Air-Gap-Fähigkeit — auf Kosten erheblichen IT-Overheads und voller Verantwortung für Sicherheitswartung.
• Hybrid-Bereitstellung bietet ein konfigurierbares Gleichgewicht zwischen beiden, auf Kosten architektonischer Komplexität.

Die richtige Wahl hängt von drei Faktoren ab: Ihren Compliance-Verpflichtungen (welche Vorschriften gelten und welche Datenresidenzanforderungen stellen sie), Ihren IT-Ressourcen (haben Sie die Infrastruktur und Expertise, um eine Self-hosted-Umgebung zuverlässig zu betreiben) und Ihrer Risikobereitschaft (wie gewichten Sie das Risiko eines Anbieter-Sicherheitsvorfalls gegen das Fehlkonfigurationsrisiko).

Passwork unterstützt alle drei Bereitstellungsmodelle — Cloud, On-Premise und Hybrid — sodass die Architekturentscheidung Ihre Softwarewahl nicht einschränkt.

• Die On-Premise-Version liefert vollständige Datensouveränität, LDAP/AD-Integration und rollenbasierte Zugriffskontrolle für regulierte Umgebungen.
• Die Cloud-Version bietet denselben Funktionsumfang mit vom Anbieter verwalteter Infrastruktur für Teams, die Bereitstellungsgeschwindigkeit priorisieren.
• Hybrid-Konfigurationen sind verfügbar für Organisationen, die Anmeldedatenspeicherung über Umgebungen hinweg segmentieren müssen.

Häufig gestellte Fragen

Fünf Wege, damit Benutzer Passwortsicherheit lieben

Benutzer wehren sich nicht gegen Sicherheit — sie wehren sich gegen Reibung. Fünf evidenzbasierte Strategien, um Ihre Passwortrichtlinie zu aktualisieren, die Einführung von Passwort-Managern voranzutreiben und eine Sicherheitskultur aufzubauen, der Mitarbeiter tatsächlich folgen.

Passwork BlogAlex Muntyan

Was ist ein Passkey? Leitfaden zur passwortlosen Authentifizierung

Ein Passkey ist eine Phishing-resistente Anmeldedaten, die auf Ihrem Gerät gespeichert wird. Melden Sie sich mit einem biometrischen Tippen an — kein Passwort zum Merken oder Stehlen. Dieser Leitfaden behandelt die technischen Mechanismen, Plattformeinrichtung, reale Leistungsdaten und was der Übergang für Unternehmensteams bedeutet.

Passwork BlogAlex Muntyan

Enterprise-Passwort-Management: Der B2B-Leitfaden zu Bereitstellung, Sicherheit & Implementierung (2026)

Ein umfassender Leitfaden für B2B-Führungskräfte zum Enterprise-Passwort-Management. Erkunden Sie Bereitstellungsoptionen (Cloud, On-Premise, Hybrid), Sicherheitsarchitektur und Best Practices für die Implementierung.

Passwork BlogAlex Muntyan

Introducción

La mayoría de las organizaciones dedican semanas a evaluar qué gestor de contraseñas comprar — y una tarde a decidir dónde ejecutarlo. Esa proporción está equivocada.

El modelo de implementación determina si sus credenciales están sujetas a una brecha del proveedor, si su infraestructura satisface el GDPR sin mecanismos legales adicionales y si su equipo puede mantener de manera realista lo que ha construido. Dos organizaciones pueden ejecutar software idéntico y enfrentar posturas de seguridad completamente diferentes — porque una eligió la nube y la otra eligió autoalojamiento.

La escala del problema deja claras las implicaciones. Dieciséis mil millones de contraseñas quedaron expuestas en un único incidente de compilación de datos en junio de 2025 — una cifra que redefine la seguridad de credenciales como un problema de infraestructura, no como un problema de comportamiento del usuario. Según las evaluaciones globales de ciberseguridad de 2025, el 74% de las brechas involucran credenciales robadas, débiles o filtradas.

Un gestor de contraseñas es la respuesta obvia. Pero el modelo de implementación que elija — nube, autoalojado o híbrido — determina todo lo que sigue: dónde residen sus datos, quién los controla, qué marcos de cumplimiento puede satisfacer y cuánto gastará su equipo en mantenimiento.

Esta guía proporciona un marco concreto para tomar esa decisión arquitectónica.

Puntos clave

• El modelo de implementación es una decisión arquitectónica. Nube, autoalojado e híbrido optimizan cada uno para un conjunto diferente de prioridades. La elección incorrecta crea brechas de cumplimiento que son costosas de corregir.
• El cifrado de conocimiento cero es una base, no un diferenciador. La decisión de implementación determina quién controla el servidor que almacena el texto cifrado — y quién es responsable cuando se ve comprometido.
• La nube intercambia control por conveniencia. La infraestructura gestionada por el proveedor significa que una brecha a nivel del proveedor afecta a todos los clientes simultáneamente.
• El autoalojamiento intercambia conveniencia por control. Las credenciales nunca abandonan su infraestructura. La carga operativa — parches, alta disponibilidad, copias de seguridad — recae completamente en su equipo.
• Híbrido son cuatro patrones distintos, no uno. División por sensibilidad, sincronización descentralizada, plano de control dividido y arquitectura de conmutación por error tienen cada uno diferentes implicaciones de seguridad.
• Las regulaciones prescriben controles, no modelos de implementación. GDPR y NIS2 pueden satisfacerse cada uno con más de una arquitectura — pero algunos modelos facilitan significativamente la producción de evidencia de cumplimiento.
• Rote todas las credenciales después de la migración. Es el paso que la mayoría de las organizaciones omiten — y el que más importa al migrar desde una bóveda en la nube.

Comprender las arquitecturas de gestores de contraseñas

El concepto central del cifrado de conocimiento cero

El cifrado de conocimiento cero es una arquitectura de seguridad en la que todas las operaciones de cifrado y descifrado ocurren exclusivamente en el dispositivo del usuario — lo que significa que el servidor recibe, almacena y transmite solo texto cifrado y no tiene capacidad criptográfica para leer los datos subyacentes.

Antes de comparar los modelos de implementación, vale la pena establecer lo que comparten. Los gestores de contraseñas de nivel empresarial — independientemente de dónde resida la bóveda — se basan en una arquitectura de conocimiento cero. El cifrado y descifrado ocurren a nivel del dispositivo, utilizando algoritmos como AES-256. El servidor, ya sea que esté en el centro de datos de un proveedor o en su propio rack, almacena solo texto cifrado. Ni siquiera el proveedor puede leer sus credenciales.

Esto importa para la decisión de implementación porque la arquitectura de conocimiento cero desplaza la pregunta de seguridad de «¿es confiable el servidor?» hacia «¿quién controla el servidor y qué sucede si se ve comprometido?» La respuesta a esa pregunta difiere significativamente entre los tres modelos.

Los tres modelos principales de implementación

La implementación en la nube significa que el proveedor aloja y gestiona la bóveda de contraseñas cifrada en su infraestructura. La implementación autoalojada significa que la organización ejecuta la bóveda en sus propios servidores o nube privada. La implementación híbrida combina elementos de ambas — típicamente dividiendo el almacenamiento de datos, la sincronización o el control administrativo entre componentes en la nube y locales.

La elección afecta la residencia de datos (dónde residen físicamente las credenciales), el control organizacional (quién gestiona el acceso y los parches) y la responsabilidad de mantenimiento (quién responde cuando algo falla). Cada modelo optimiza para un conjunto diferente de prioridades.

Implementación de gestor de contraseñas en la nube

Arquitectura y mecanismos

La implementación en la nube es un modelo en el que el proveedor posee y opera toda la infraestructura del servidor — alojando la bóveda de contraseñas cifrada, gestionando la disponibilidad y manejando todo el mantenimiento del backend en nombre de la organización.

En la práctica, el proveedor gestiona toda la pila: servidores, balanceadores de carga, copias de seguridad y zonas de disponibilidad. La organización instala aplicaciones cliente — extensiones de navegador, aplicaciones de escritorio, clientes móviles — que se conectan a la API del proveedor. Las credenciales se cifran localmente antes de la transmisión y se almacenan como texto cifrado en el entorno del proveedor.

Desde la perspectiva de TI, la huella operativa es mínima. No hay servidores que aprovisionar, ni clústeres de bases de datos que mantener, ni programas de copias de seguridad que configurar. El proveedor maneja todo eso.

Ventajas estratégicas

La ventaja principal es la velocidad. Un gestor de contraseñas en la nube puede implementarse en toda la organización en horas o días, sin requisitos previos de infraestructura. La aplicación automática de parches significa que la organización siempre ejecuta la última versión sin programar ventanas de mantenimiento. La alta disponibilidad (HA) es gestionada por el proveedor, típicamente respaldada por SLAs que la mayoría de los equipos internos de TI tendrían dificultades para igualar de forma independiente.

Riesgos y limitaciones

El modelo de responsabilidad compartida de seguridad es el riesgo central. Cuando la infraestructura de un proveedor se ve comprometida, todos los clientes se ven afectados simultáneamente. La brecha de LastPass de 2022 es el ejemplo reciente más claro: un atacante accedió a una base de datos de respaldo a través de un servicio de almacenamiento en la nube de terceros, afectando finalmente a aproximadamente 1,6 millones de usuarios del Reino Unido. En diciembre de 2025, la Oficina del Comisionado de Información del Reino Unido multó a LastPass con aproximadamente 1,6 millones de dólares por las fallas de seguridad que hicieron posible la brecha. El incidente demostró que las certificaciones de cumplimiento gestionadas por el proveedor no eliminan el riesgo del lado del proveedor.

Más allá del riesgo de brechas, la implementación en la nube introduce restricciones de residencia de datos. Si los centros de datos de un proveedor están ubicados fuera de la UE, almacenar credenciales allí puede requerir mecanismos legales adicionales para satisfacer los requisitos de transferencia transfronteriza del GDPR. La conectividad continua a internet también es una dependencia estricta — una interrupción en el proveedor o en la ruta de red deja a los usuarios sin poder acceder a las credenciales. Y los costos de suscripción se acumulan indefinidamente; no hay un punto en el que la organización «posea» la infraestructura.

Implementación de gestor de contraseñas autoalojado (local)

Arquitectura y mecanismos

La implementación autoalojada es un modelo en el que la organización ejecuta el gestor de contraseñas en su propia infraestructura — reteniendo la propiedad total del servidor de la bóveda, la base de datos y cada capa de red que los rodea.

Esto puede significar servidores físicos en un centro de datos corporativo, máquinas virtuales en una nube privada o contenedores en un clúster de Kubernetes. La organización instala y configura el software del servidor del gestor de contraseñas, gestiona la base de datos y maneja todos los controles de acceso a la red.

La experiencia del cliente es idéntica a la nube: los usuarios acceden a las credenciales a través de extensiones de navegador y aplicaciones de escritorio o móviles. La diferencia está completamente en el lado del servidor — la organización controla cada capa de la pila.

Ventajas estratégicas

El autoalojamiento proporciona soberanía completa de los datos. Las credenciales nunca abandonan la infraestructura de la organización, lo que satisface directamente los requisitos estrictos de residencia de datos. Para organizaciones sujetas al GDPR, esto elimina la necesidad de Cláusulas Contractuales Tipo u otros mecanismos de transferencia transfronteriza. Para industrias reguladas — contratistas de defensa, instituciones financieras, organizaciones de salud — este nivel de control es a menudo un requisito no negociable.

Las implementaciones autoalojadas también admiten entornos aislados. Un servidor de bóveda sin conectividad de red externa está físicamente aislado de los ataques basados en internet, lo que lo hace apropiado para sistemas clasificados o infraestructura crítica donde incluso las conexiones salientes cifradas están prohibidas. Y debido a que no hay un proveedor tercero en la cadena, la superficie de ataque se limita a la propia infraestructura de la organización — que la organización ya defiende.

Riesgos y limitaciones

La carga operativa es real y no debe subestimarse. El autoalojamiento requiere infraestructura dedicada (servidores, balanceadores de carga para HA, sistemas de respaldo), experiencia para configurarla y mantenerla, y un proceso disciplinado de aplicación de parches. Los parches de seguridad para el software del gestor de contraseñas deben aplicarse rápidamente; una actualización omitida en una bóveda autoalojada es problema de la organización, no del proveedor.

La alta disponibilidad en un entorno autoalojado significa construirla usted mismo: nodos de base de datos redundantes, configuraciones de conmutación por error y procedimientos de recuperación probados. Las organizaciones que carecen de esta capacidad — o del personal de TI para mantenerla — enfrentan un riesgo genuino de que una implementación autoalojada se vuelva menos disponible y menos segura que la alternativa en la nube que reemplazó.

Las configuraciones incorrectas en los controles de acceso a la red o los permisos de la base de datos pueden exponer la bóveda a amenazas internas que un entorno gestionado por el proveedor manejaría por defecto.

Implementación híbrida de gestor de contraseñas

Definición de la arquitectura híbrida

La implementación híbrida es un modelo en el que la organización divide la funcionalidad del gestor de contraseñas entre componentes en la nube y locales — asignando cada parte de la pila al entorno que mejor se adapta a sus requisitos de seguridad, cumplimiento u operativos.

«Híbrido» se usa de manera imprecisa en el marketing de proveedores, a menudo significando poco más que «tenemos tanto una opción en la nube como una local». En la práctica, las implementaciones híbridas empresariales adoptan cuatro formas arquitectónicas distintas, cada una con diferentes implicaciones de seguridad y operativas.

• División por sensibilidad mantiene las credenciales rutinarias — inicios de sesión de aplicaciones SaaS, cuentas de equipo compartidas — en una bóveda en la nube, mientras que las credenciales altamente sensibles (cuentas privilegiadas, secretos de infraestructura, claves criptográficas) se almacenan en una bóveda local. Este patrón reduce la huella local mientras protege los activos de mayor valor.
• Almacenamiento descentralizado con sincronización en la nube almacena la bóveda de contraseñas localmente en cada dispositivo o servidor local, usando la infraestructura en la nube solo para la sincronización entre puntos finales. El componente en la nube nunca contiene la copia principal de las credenciales — transmite deltas cifrados entre almacenes locales.
• Plano de control dividido separa el almacenamiento de la bóveda de la administración: las credenciales se almacenan localmente, pero la consola de gestión, el registro de auditoría y la aplicación de políticas se ejecutan en la nube. Este patrón es adecuado para organizaciones que desean localidad de datos sin la sobrecarga de gestionar una interfaz administrativa internamente.
• Arquitectura de conmutación por error ejecuta la bóveda principal localmente, con una réplica alojada en la nube que se activa automáticamente si el entorno local deja de estar disponible. Este es un patrón de recuperación ante desastres más que un híbrido del día a día — el componente en la nube existe para garantizar la continuidad, no para manejar el acceso rutinario.

Ventajas estratégicas

Las implementaciones híbridas abordan la tensión central entre control y conveniencia. Una organización sujeta al GDPR para las credenciales de empleados de la UE pero que también gestiona cuentas SaaS con sede en EE. UU. puede dirigir cada tipo de credencial al entorno de almacenamiento apropiado.

Los entornos regulatorios mixtos — comunes en empresas multinacionales — se vuelven manejables cuando el modelo de implementación puede segmentarse por clasificación de datos, geografía o nivel de sensibilidad.

El patrón de conmutación por error específicamente elimina el punto único de fallo que llevan tanto las implementaciones puramente en la nube (interrupción del proveedor) como las puramente autoalojadas (fallo de infraestructura local). Para organizaciones con requisitos de alta disponibilidad y la madurez de TI para gestionar la complejidad, la arquitectura híbrida puede ofrecer mejor resiliencia que cualquiera de los modelos por separado.

Riesgos y limitaciones

Las implementaciones híbridas son la opción arquitectónicamente más compleja. Cada límite entre componentes en la nube y locales es una brecha de seguridad potencial: los canales de sincronización deben estar cifrados y autenticados, las políticas de acceso deben ser consistentes en ambos entornos y los registros de auditoría deben agregarse de múltiples fuentes para proporcionar una imagen coherente del acceso a credenciales.

La aplicación inconsistente de políticas en el límite — por ejemplo, MFA requerido localmente pero no aplicado para credenciales sincronizadas en la nube — puede crear brechas explotables que ninguno de los entornos tendría de forma aislada.

La sobrecarga operativa también es aditiva. El equipo debe mantener tanto la infraestructura local como la integración en la nube, y los incidentes pueden abarcar ambos entornos, complicando el diagnóstico y la respuesta.

Requisitos de cumplimiento y residencia de datos

Los marcos regulatorios no prescriben modelos de implementación — prescriben controles. Pero ciertos controles son significativamente más fáciles de demostrar con arquitecturas de implementación específicas.

GDPR

El GDPR (Reglamento (UE) 2016/679) trata las credenciales como datos personales y requiere que las transferencias transfronterizas a terceros países cumplan con estándares de adecuación o utilicen mecanismos de transferencia aprobados como las Cláusulas Contractuales Tipo.

Almacenar credenciales en una nube de región de la UE o localmente dentro de la UE elimina la cuestión de la transferencia por completo. Las organizaciones que utilizan proveedores de nube con sede en EE. UU. deben verificar que el acuerdo de procesamiento de datos del proveedor cubra el almacenamiento de credenciales y que la región del centro de datos relevante esté garantizada contractualmente.

NIS2

La NIS2 (Directiva (UE) 2022/2555) se aplica a entidades esenciales e importantes en sectores de infraestructura crítica. Requiere que las organizaciones implementen medidas de control de acceso y prácticas de autenticación segura como parte de sus obligaciones de gestión de riesgos de ciberseguridad.

Las implementaciones autoalojadas o híbridas dan a las organizaciones control directo sobre estos controles y la evidencia necesaria para demostrarlos ante las autoridades nacionales competentes.

Los gestores de contraseñas con registros de auditoría integrados y control de acceso basado en roles — como Passwork — simplifican el proceso de producir esa evidencia durante las evaluaciones.

Consideraciones sobre migración y dependencia del proveedor

Migrar entre modelos de implementación es operativamente sencillo en principio y genuinamente complejo en la práctica. La mayoría de los gestores de contraseñas admiten la exportación de la bóveda en formato CSV o JSON. El proceso implica exportar la bóveda existente, importarla al nuevo sistema, verificar la integridad de las credenciales y desmantelar el entorno antiguo.

El paso crítico de seguridad — uno que se omite con frecuencia — es rotar todas las credenciales después de la migración. Cualquier credencial que existiera en el entorno anterior debe tratarse como potencialmente expuesta durante la ventana de migración, particularmente si la implementación anterior era en la nube y la organización está migrando a autoalojado por razones de seguridad. La rotación de contraseñas para cuentas privilegiadas y credenciales compartidas debe realizarse antes de que se desmantele la bóveda antigua.

El riesgo de dependencia del proveedor varía significativamente según el formato de exportación. Los proveedores que utilizan formatos propietarios — o que limitan la exportación a niveles específicos — crean una fricción real de migración. Antes de comprometerse con una plataforma, verifique que el formato de exportación sea abierto (CSV o JSON), que la exportación incluya todos los campos de credenciales (incluidos secretos TOTP y campos personalizados), y que el proceso pueda completarse sin asistencia del proveedor. Este es un elemento de debida diligencia contractual y técnica, no una ocurrencia tardía.

Conclusión

La decisión del modelo de implementación del gestor de contraseñas tiene el mismo peso que la selección del software en sí.

• La implementación en la nube ofrece velocidad, simplicidad operativa y certificaciones de cumplimiento gestionadas por el proveedor — a costa del control de datos y la exposición compartida a brechas.
• La implementación autoalojada proporciona soberanía completa de los datos y capacidad de aislamiento — a costa de una sobrecarga significativa de TI y responsabilidad total del mantenimiento de seguridad.
• La implementación híbrida ofrece un equilibrio configurable entre las dos, a costa de la complejidad arquitectónica.

La elección correcta depende de tres factores: sus obligaciones de cumplimiento (qué regulaciones aplican y qué requisitos de residencia de datos imponen), sus recursos de TI (¿tiene la infraestructura y la experiencia para ejecutar un entorno autoalojado de manera confiable?) y su tolerancia al riesgo (¿cómo pondera el riesgo de brecha del proveedor frente al riesgo de configuración incorrecta?).

Passwork admite los tres modelos de implementación — nube, local e híbrido — para que la decisión arquitectónica no limite su elección de software.

• La versión local ofrece soberanía completa de los datos, integración LDAP/AD y control de acceso basado en roles para entornos regulados.
• La versión en la nube proporciona el mismo conjunto de características con infraestructura gestionada por el proveedor para equipos que priorizan la velocidad de implementación.
• Las configuraciones híbridas están disponibles para organizaciones que necesitan segmentar el almacenamiento de credenciales entre entornos.

Preguntas frecuentes

Cinco formas de hacer que los usuarios amen la seguridad de contraseñas

Los usuarios no se resisten a la seguridad — se resisten a la fricción. Cinco estrategias basadas en evidencia para actualizar su política de contraseñas, impulsar la adopción del gestor de contraseñas y construir una cultura de seguridad que los empleados realmente sigan.

Passwork BlogAlex Muntyan

¿Qué es una passkey? Guía de autenticación sin contraseña

Una passkey es una credencial resistente al phishing almacenada en su dispositivo. Inicie sesión con un toque biométrico — sin contraseña que recordar o robar. Esta guía cubre los mecanismos técnicos, la configuración de plataformas, datos de rendimiento del mundo real y lo que significa la transición para los equipos empresariales.

Passwork BlogAlex Muntyan

Gestión de contraseñas empresariales: la guía B2B de implementación, seguridad e integración (2026)

Una guía completa para líderes B2B sobre gestión de contraseñas empresariales. Explore las opciones de implementación (nube, local, híbrido), arquitectura de seguridad y mejores prácticas de implementación.

Passwork BlogAlex Muntyan

Introduction

Most organizations spend weeks evaluating which password manager to buy — and an afternoon deciding where to run it. That's the wrong ratio.

The deployment model determines whether your credentials are subject to a vendor's breach, whether your infrastructure satisfies GDPR without additional legal mechanisms, and whether your team can realistically maintain what they've built. Two organizations can run identical software and face completely different security postures — because one chose cloud and the other chose self-hosted.

The scale of the problem makes the stakes clear. Sixteen billion passwords were exposed in a single data compilation incident in June 2025 — a number that reframes credential security as an infrastructure problem, not a user behavior problem. According to global cybersecurity assessments in 2025, 74% of breaches involve stolen, weak, or leaked credentials.

A password manager is the obvious response. But the deployment model you choose — cloud, self-hosted, or hybrid — shapes everything that follows: where your data lives, who controls it, what compliance frameworks you can satisfy, and what your team will spend maintaining it.

This guide gives a concrete framework for making that architectural decision.

Key takeways

• Deployment model is an architectural decision. Cloud, self-hosted, and hybrid each optimize for a different set of priorities. The wrong choice creates compliance gaps that are expensive to unwind.
• Zero-knowledge encryption is a baseline, not a differentiator. The deployment decision determines who controls the server storing the ciphertext — and who is responsible when it's compromised.
• Cloud trades control for convenience. Vendor-managed infrastructure means a breach at the vendor level affects every customer simultaneously.
• Self-hosted trades convenience for control. Credentials never leave your infrastructure. The operational burden — patching, HA, backups — falls entirely on your team.
• Hybrid is four distinct patterns, not one. Split-by-sensitivity, decentralized sync, split control plane, and failover architecture each carry different security implications.
• Regulations prescribe controls, not deployment models. GDPR and NIS2 can each be satisfied by more than one architecture — but some models make compliance evidence significantly easier to produce.
• Rotate all credentials after migration. It's the step most organizations skip — and the one that matters most when moving away from a cloud vault.

Understanding password manager architectures

The core concept of zero-knowledge encryption

Zero-knowledge encryption is a security architecture in which all encryption and decryption operations occur exclusively on the user's device — meaning the server receives, stores, and transmits only ciphertext and has no cryptographic ability to read the underlying data.

Before comparing deployment models, it's worth establishing what they share. Enterprise-grade password managers — regardless of where the vault lives — rely on zero-knowledge architecture. Encryption and decryption happen at the device level, using algorithms such as AES-256. The server, whether it sits in a vendor's data center or your own rack, stores only ciphertext. Even the vendor cannot read your credentials.

This matters for the deployment decision because zero-knowledge architecture shifts the security question away from "is the server trustworthy?" toward "who controls the server, and what happens if it's compromised?" The answer to that question differs significantly across the three models.

The three primary deployment models

Cloud deployment means the vendor hosts and manages the encrypted password vault on their infrastructure. Self-hosted deployment means the organization runs the vault on its own servers or private cloud. Hybrid deployment combines elements of both — typically splitting data storage, synchronization, or administrative control across cloud and on-premise components.

The choice affects data residency (where credentials physically reside), organizational control (who manages access and patching), and maintenance responsibility (who responds when something breaks). Each model optimizes for a different set of priorities.

Cloud-based password manager deployment

Architecture and mechanics

Cloud-based deployment is a model in which the vendor owns and operates the entire server infrastructure — hosting the encrypted password vault, managing availability, and handling all backend maintenance on the organization's behalf.

In practice, the vendor manages the full stack: servers, load balancers, backups, and availability zones. The organization installs client applications — browser extensions, desktop apps, mobile clients — that connect to the vendor's API. Credentials are encrypted locally before transmission and stored as ciphertext in the vendor's environment.

From an IT perspective, the operational footprint is minimal. There are no servers to provision, no database clusters to maintain, and no backup schedules to configure. The vendor handles all of that.

Strategic advantages

The primary advantage is speed. A cloud password manager can be deployed organization-wide in hours to days, with no infrastructure prerequisites. Automatic patching means the organization is always running the latest version without scheduling maintenance windows. High availability (HA) is vendor-managed, typically backed by SLAs that most internal IT teams would struggle to match independently.

Risks and limitations

The shared security responsibility model is the central risk. When a vendor's infrastructure is compromised, every customer is affected simultaneously. The 2022 LastPass breach is the clearest recent example: an attacker accessed a backup database through a third-party cloud storage service, ultimately affecting approximately 1.6 million UK users. In December 2025, the UK Information Commissioner's Office fined LastPass approximately $1.6 million for the security failures that made the breach possible. The incident demonstrated that vendor-managed compliance certifications do not eliminate vendor-side risk.

Beyond breach risk, cloud deployment introduces data residency constraints. If a vendor's data centers are located outside the EU, storing credentials there may require additional legal mechanisms to satisfy GDPR's cross-border transfer requirements. Continuous internet connectivity is also a hard dependency — an outage at the vendor or on the network path leaves users unable to access credentials. And subscription costs accumulate indefinitely; there is no point at which the organization "owns" the infrastructure.

Self-hosted (on-premise) password manager deployment

Architecture and mechanics

Self-hosted deployment is a model in which the organization runs the password manager on its own infrastructure — retaining full ownership of the vault server, the database, and every network layer that surrounds them.

This can mean physical servers in a corporate data center, virtual machines in a private cloud, or containers in a Kubernetes cluster. The organization installs and configures the password manager server software, manages the database, and handles all network access controls.

The client experience is identical to cloud: users access credentials through browser extensions and desktop or mobile apps. The difference is entirely on the server side — the organization controls every layer of the stack.

Strategic advantages

Self-hosting provides complete data sovereignty. Credentials never leave the organization's infrastructure, which directly satisfies strict data residency requirements. For organizations subject to GDPR, this eliminates the need for Standard Contractual Clauses or other cross-border transfer mechanisms. For regulated industries — defense contractors, financial institutions, healthcare organizations — this level of control is often a non-negotiable requirement.

Self-hosted deployments also support air-gapped environments. A vault server with no external network connectivity is physically isolated from internet-based attacks, making it appropriate for classified systems or critical infrastructure where even encrypted outbound connections are prohibited. And because there is no third-party vendor in the chain, the attack surface is limited to the organization's own infrastructure — which the organization already defends.

Risks and limitations

The operational burden is real and should not be underestimated. Self-hosting requires dedicated infrastructure (servers, load balancers for HA, backup systems), expertise to configure and maintain it, and a disciplined patching process. Security patches for the password manager software must be applied promptly; a missed update on a self-hosted vault is the organization's problem, not the vendor's.

High availability in a self-hosted environment means building it yourself: redundant database nodes, failover configurations, and tested recovery procedures. Organizations that lack this capability — or the IT staff to maintain it — face a genuine risk that a self-hosted deployment becomes less available and less secure than the cloud alternative it replaced.

Misconfigurations in network access controls or database permissions can expose the vault to internal threats that a vendor-managed environment would handle by default.

Passwork on-premise
Passwork is built specifically for on-premise deployment. It ships with detailed installation documentation covering Linux, Windows, and Docker environments, and the support team is available to assist with configuration at every stage.
Try Passwork free

Hybrid password manager deployment

Defining the hybrid architecture

Hybrid deployment is a model in which the organization splits password manager functionality across cloud and on-premise components — assigning each part of the stack to the environment that best fits its security, compliance, or operational requirements.

"Hybrid" is used loosely in vendor marketing, often meaning little more than "we have both a cloud and an on-premise option." In practice, enterprise hybrid deployments take four distinct architectural forms, each with different security and operational implications.

• Split-by-sensitivity keeps routine credentials — SaaS application logins, shared team accounts — in a cloud vault, while highly sensitive credentials (privileged accounts, infrastructure secrets, cryptographic keys) are stored in an on-premise vault. This pattern reduces the on-premise footprint while protecting the highest-value assets.
• Decentralized storage with cloud sync stores the password vault locally on each device or on-premise server, using cloud infrastructure only for synchronization between endpoints. The cloud component never holds the primary copy of credentials — it transmits encrypted deltas between local stores.
• Split control plane separates vault storage from administration: credentials are stored on-premise, but the management console, audit logging, and policy enforcement run in the cloud. This pattern suits organizations that want data locality without the overhead of managing an administrative interface internally.
• Failover architecture runs the primary vault on-premise, with a cloud-hosted replica that activates automatically if the on-premise environment becomes unavailable. This is a disaster recovery pattern rather than a day-to-day hybrid — the cloud component exists to guarantee continuity, not to handle routine access.

Strategic advantages

Hybrid deployments address the core tension between control and convenience. An organization subject to GDPR for EU employee credentials but also managing US-based SaaS accounts can route each credential type to the appropriate storage environment.

Mixed regulatory environments — common in multinational enterprises — become manageable when the deployment model can be segmented by data classification, geography, or sensitivity level.

The failover pattern specifically eliminates the single point of failure that both pure cloud (vendor outage) and pure self-hosted (on-premise infrastructure failure) deployments carry. For organizations with high availability requirements and the IT maturity to manage complexity, hybrid architecture can deliver better resilience than either model alone.

Risks and limitations

Hybrid deployments are the most architecturally complex option. Every boundary between cloud and on-premise components is a potential security gap: synchronization channels must be encrypted and authenticated, access policies must be consistent across both environments, and audit logs must be aggregated from multiple sources to provide a coherent picture of credential access.

Inconsistent policy enforcement at the boundary — for example, MFA required on-premise but not enforced for cloud-synced credentials — can create exploitable gaps that neither environment would have in isolation.

The operational overhead is also additive. The team must maintain both the on-premise infrastructure and the cloud integration, and incidents may span both environments, complicating diagnosis and response.

Compliance and data residency requirements

Regulatory frameworks don't prescribe deployment models — they prescribe controls. But certain controls are significantly easier to demonstrate with specific deployment architectures.

GDPR

GDPR (Regulation (EU) 2016/679) treats credentials as personal data and requires that cross-border transfers to third countries meet adequacy standards or use approved transfer mechanisms such as Standard Contractual Clauses.

Storing credentials in an EU-region cloud or on-premise within the EU eliminates the transfer question entirely. Organizations using US-based cloud vendors must verify that the vendor's data processing agreement covers credential storage and that the relevant data center region is contractually guaranteed.

NIS2

NIS2 (Directive (EU) 2022/2555) applies to essential and important entities across critical infrastructure sectors. It requires organizations to implement access control measures and secure authentication practices as part of their cybersecurity risk management obligations.

Self-hosted or hybrid deployments give organizations direct control over these controls and the evidence needed to demonstrate them to national competent authorities.

Password managers with built-in audit logs and role-based access control — such as Passwork — simplify the process of producing that evidence during assessments.

See how Passwork handles access control and audit logging — try Passwork free

Migration and vendor lock-in considerations

Migrating between deployment models is operationally straightforward in principle and genuinely complex in practice. Most password managers support vault export in CSV or JSON format. The process involves exporting the existing vault, importing it into the new system, verifying credential integrity, and decommissioning the old environment.

The critical security step — one that is frequently skipped — is rotating all credentials after migration. Any credential that existed in the old environment should be treated as potentially exposed during the migration window, particularly if the old deployment was cloud-based and the organization is moving to self-hosted for security reasons. Password rotation for privileged accounts and shared credentials should happen before the old vault is decommissioned.

Vendor lock-in risk varies significantly by export format. Vendors that use proprietary formats — or that limit export to specific tiers — create real migration friction. Before committing to a platform, verify that the export format is open (CSV or JSON), that the export includes all credential fields (including TOTP secrets and custom fields), and that the process can be completed without vendor assistance. This is a contractual and technical due diligence item, not an afterthought.

Conclusion

The password manager deployment model decision carries the same weight as the software selection itself.

• Cloud deployment delivers speed, operational simplicity, and vendor-managed compliance certifications — at the cost of data control and shared breach exposure.
• Self-hosted deployment provides complete data sovereignty and air-gap capability — at the cost of significant IT overhead and full responsibility for security maintenance.
• Hybrid deployment offers a configurable balance between the two, at the cost of architectural complexity.

The right choice depends on three factors: your compliance obligations (which regulations apply, and what data residency requirements do they impose), your IT resources (do you have the infrastructure and expertise to run a self-hosted environment reliably), and your risk tolerance (how do you weigh vendor breach risk against misconfiguration risk).

Passwork supports all three deployment models — cloud, on-premise, and hybrid — so the architecture decision doesn't constrain your software choice.

• The on-premise version delivers full data sovereignty, LDAP/AD integration, and role-based access control for regulated environments.
• The cloud version provides the same feature set with vendor-managed infrastructure for teams that prioritize deployment speed.
• Hybrid configurations are available for organizations that need to segment credential storage across environments.

Ready to take the first step? Start with your compliance requirements, map them to the deployment model that satisfies them with the least operational risk, and try Passwork free to see how it fits your environment.

Frequently asked questions

Five ways to make users love password security

Users don’t resist security — they resist friction. Five evidence-based strategies to update your password policy, drive password manager adoption, and build a security culture employees actually follow.

Passwork BlogAlex Muntyan

What is a passkey? Guide to passwordless authentication

A passkey is a phishing-resistant credential stored on your device. Sign in with a biometric tap — no password to remember or steal. This guide covers the technical mechanics, platform setup, real-world performance data, and what the transition means for enterprise teams.

Passwork BlogAlex Muntyan

Enterprise password management: The B2B Guide to Deployment, Security & Implementation (2026)

A comprehensive guide for B2B leaders on enterprise password management. Explore deployment options (cloud, on-premise, hybrid), security architecture, and implementation best practices.

Passwork BlogAlex Muntyan

Ein Passkey ist ein phishing-resistentes, passwortloses Authentifizierungs-Credential, das auf Public-Key-Kryptographie basiert. Bei der Erstellung eines Passkeys generiert Ihr Gerät ein einzigartiges kryptographisches Schlüsselpaar: einen öffentlichen Schlüssel, der auf dem Server der Website gespeichert wird, und einen privaten Schlüssel, der Ihr Gerät niemals verlässt. Sie melden sich an, indem Sie Ihre Identität mit Biometrie oder einer PIN verifizieren.

Dieser Ansatz, standardisiert von der FIDO Alliance und zentral für die passwortlose Authentifizierung, verhindert Phishing und Credential-Diebstahl, da der private Schlüssel Ihr Gerät niemals verlässt. Das Modell entspricht den Richtlinien von NIST SP 800-63B-4 und den DSGVO-Datenschutzanforderungen.

In der Praxis betreiben die meisten Organisationen gemischte Umgebungen — einige Dienste unterstützen bereits Passkeys, andere werden dies erst in Jahren tun. Ein strukturierter Ansatz für das Credential-Management deckt beides ab.

Dieser Leitfaden behandelt alles: wie Passkeys technisch funktionieren, den Unterschied zwischen synchronisierten und gerätegebundenen Passkeys, wie sie auf iPhone, Android und Windows eingerichtet werden, und was die neuesten Daten von 2025–2026 über die reale Leistung aussagen.

Wichtigste Erkenntnisse

• Passkeys nutzen Public-Key-Kryptographie: der private Schlüssel bleibt auf Ihrem Gerät; der Server speichert nur den öffentlichen Schlüssel.
• Passkeys sind konstruktionsbedingt phishing-resistent — eine gefälschte Website kann keine Passkey-Signatur anfordern.
• Passkey-Anmeldungen erreichen eine Erfolgsquote von 93 %, verglichen mit 63 % bei anderen Authentifizierungsmethoden (FIDO Alliance Passkey Index, Oktober 2025).
• Bei Verlust Ihres Geräts sind synchronisierte Passkeys über iCloud Keychain oder die Google-Kontowiederherstellung wiederherstellbar.
• Ende 2024 unterstützen über 15 Milliarden Konten Passkeys, und die Akzeptanz hat sich im Laufe des Jahres verdoppelt (FIDO Alliance, Dezember 2024).

Was ist ein Passkey?

Ein Passkey ist ein kryptographisches Schlüsselpaar, das auf Ihrem Gerät gespeichert ist. Die FIDO Alliance — das Branchenkonsortium hinter dem Standard — definiert Passkeys als Credentials, die „Passwörter durch kryptographische Schlüsselpaare für phishing-resistente Anmeldesicherheit und eine verbesserte Benutzererfahrung ersetzen".

Passkeys implementieren den FIDO2-Standard, wobei WebAuthn die Browser-Gerät-Kommunikation handhabt. Wenn Sie einen Passkey erstellen, generiert Ihr Gerät zwei mathematisch verknüpfte Schlüssel: einer bleibt auf Ihrem Gerät (privat), einer geht an die Website (öffentlich).

Zum Anmelden beweisen Sie, dass Sie den privaten Schlüssel besitzen, indem Sie eine kryptographische Challenge lösen — mit Ihrem Gesicht, Fingerabdruck oder einer PIN. Die Website verifiziert Ihre Antwort mit dem öffentlichen Schlüssel, den sie bereits hat.

Der private Schlüssel verlässt niemals Ihr Gerät. Der Server sieht ihn nie. Es gibt nichts auf der Serverseite, das es zu stehlen lohnt.

Passkeys einfach erklärt

Ein Passkey ist etwas, das Sie haben (Ihr Gerät) plus etwas, das Sie sind (Ihr Fingerabdruck oder Gesicht). Ihr Telefon generiert den Passkey, und Sie entsperren ihn mit Biometrie. 

Der Dienst sieht niemals Ihren Fingerabdruck oder Ihr Gesicht, nur dass Sie den Schlüssel entsperrt haben. Stellen Sie es sich wie eine Hotelschlüsselkarte vor: Sie haben die Karte, und die Tür öffnet sich, wenn Sie sie antippen. Kein Code zum Merken, nichts zum Eintippen, nichts, das aus der Ferne gestohlen werden kann.

Das Problem mit traditionellen Passwörtern

Passwörter haben einen fundamentalen Fehler: Sie sind Geheimnisse, die geteilt werden müssen. Jedes Mal, wenn Sie eines eingeben, wird es über Netzwerke übertragen und auf Servern gespeichert. Der 2025 Verizon DBIR stellte fest, dass über 53 % der Datenschutzverletzungen gestohlene oder per Brute-Force erratene Anmeldedaten beinhalten.

Benutzer verschärfen das Problem. Die Wiederverwendung von Passwörtern ist weit verbreitet, eine Verletzung bei einem Dienst führt zu kompromittierten Konten überall. Phishing nutzt dies weiter aus: gefälschte Anmeldeseiten bringen Benutzer dazu, Anmeldedaten einzugeben und geben Angreifern direkten Zugriff. Hinzu kommt Passwort-Müdigkeit, und Sie erhalten Haftnotizen oder „Firma2024"-Varianten.

Häufige Passwortprobleme:

• Wiederverwendung — eine Verletzung entsperrt mehrere Konten.
• Schwache Passwörter — „123456" dominiert immer noch.
• Phishing-Anfälligkeit — gefälschte Seiten erfassen eingetippte Anmeldedaten.
• Serverseitige Exposition — geleakte Datenbanken werden geknackt.
• Gedächtnisbelastung — Benutzer setzen zurück, schreiben auf oder vereinfachen.

Mit Passkeys gibt es kein Passwort zum Merken, kein Passwort zum Stehlen und keine Serverdatenbank, die verletzt werden kann.

Wie Passkeys tatsächlich funktionieren

Passkeys verwenden Public-Key-Kryptographie anstelle von geteilten Geheimnissen. Stellen Sie es sich wie einen physischen Briefkasten vor: der öffentliche Schlüssel ist der Schlitz, durch den jeder eine Nachricht einwerfen kann, und der private Schlüssel ist der Schlüssel, der den Kasten öffnet. Nur die Person mit dem privaten Schlüssel kann lesen, was drin ist.

Wenn Sie sich mit einem Passkey anmelden, sendet der Dienst oder die Website eine Challenge — eine einzigartige, zufällige Datenzeichenfolge. Ihr Gerät verwendet den privaten Schlüssel, um diese Challenge mathematisch zu signieren. Die Website überprüft dann die Signatur gegen den öffentlichen Schlüssel, den sie während der Registrierung gespeichert hat. Wenn die Signatur gültig ist, sind Sie drin.

Die FIDO Alliance standardisiert dies durch FIDO2. WebAuthn handhabt die Browser-Gerät-Kommunikation. NIST erkennt dieses Modell als phishing-resistent an.

Schritt für Schritt:

1. Gerät erstellt Schlüsselpaar
2. Privater Schlüssel bleibt auf dem Gerät
3. Öffentlicher Schlüssel wird an den Dienst gesendet
4. Dienst sendet Challenge
5. Sie genehmigen mit Biometrie
6. Gerät signiert Challenge
7. Dienst validiert Signatur
8. Sie sind angemeldet

Schritt 1: Der Registrierungsprozess

Der Prozess der Erstellung eines Passkeys wird in der WebAuthn-Spezifikation als Registrierungszeremonie bezeichnet — die W3C-Web-API, die FIDO2 in Browsern implementiert.

Folgendes passiert:

1. Sie besuchen eine Website und wählen, einen Passkey zu erstellen.
2. Die Website sendet eine Registrierungsanfrage über die WebAuthn-API an Ihren Browser.
3. Ihr Browser fordert Sie auf, Ihre Identität zu verifizieren — Face ID, Fingerabdruck oder PIN.
4. Ihr Gerät generiert ein einzigartiges öffentliches/privates Schlüsselpaar speziell für diese Website.
5. Der öffentliche Schlüssel wird an den Server der Website gesendet und gespeichert. Der private Schlüssel wird in der sicheren Hardware Ihres Geräts gespeichert — dem Secure Enclave auf Apple-Geräten oder dem TPM (Trusted Platform Module)-Chip unter Windows.

Apple, Google und Microsoft implementieren dies jeweils über plattformspezifische APIs (iCloud Keychain, Google Password Manager, Windows Hello), aber alle folgen den FIDO2- und WebAuthn-Standards. Ihre biometrischen Daten verlassen niemals Ihr Gerät, nur der kryptographische Nachweis, dass Sie die Schlüsselerstellung autorisiert haben.

Schritt 2: Der Authentifizierungsprozess

Die Anmeldung mit einem Passkey — die Authentifizierungszeremonie — ist ebenso unkompliziert:

1. Sie besuchen die Website und klicken auf „Mit Passkey anmelden".
2. Die Website sendet eine einzigartige, zufällige Challenge an Ihren Browser.
3. Ihr Browser fordert Sie auf, Ihre Identität zu verifizieren (Biometrie oder PIN).
4. Ihr Gerät verwendet den privaten Schlüssel, um die Challenge kryptographisch zu signieren.
5. Die signierte Challenge geht zurück an den Server. Der Server verifiziert die Signatur mit dem gespeicherten öffentlichen Schlüssel. Bei Übereinstimmung wird der Zugriff gewährt.

WebAuthn standardisiert diesen Ablauf über Browser und Plattformen hinweg. Der private Schlüssel verlässt niemals Ihr Gerät, und der Challenge-Response-Mechanismus verhindert Replay-Angriffe.

Die Challenge ist jedes Mal einzigartig. Selbst wenn ein Angreifer die signierte Antwort abfängt, kann er sie nicht wiederverwenden — sie ist mathematisch an diese einzelne Sitzung gebunden.

Geräteübergreifende Authentifizierung: QR-Codes und Bluetooth

Hier ist ein Szenario, das viele Benutzer verwirrt: Sie sind an einem Windows-Laptop, aber Ihr Passkey ist auf Ihrem iPhone gespeichert. Was passiert?

Der Browser zeigt einen QR-Code an. Sie scannen ihn mit Ihrem Telefon. Das Telefon und der Laptop stellen dann eine Bluetooth-Nahbereichsverbindung her, um die physische Nähe zu verifizieren — dies ist der Hybrid-Transport-Mechanismus, der im FIDO2 CTAP2-Protokoll definiert ist.

Die Bluetooth-Näheprüfung ist der kritische Sicherheitsschritt. Sie verhindert, dass ein entfernter Angreifer den QR-Code von einem anderen Standort aus verwendet. Ihr Telefon führt die biometrische Verifizierung lokal durch und sendet dann die signierte Challenge über den sicheren Bluetooth-Kanal zurück an den Laptop.

Bluetooth überträgt nicht Ihren Passkey. Es bestätigt, dass Ihr Telefon sich physisch neben dem Computer befindet — was die geräteübergreifende Authentifizierung auch bei Verwendung eines zweiten Geräts phishing-resistent macht.

Passkeys vs. Passwörter: Wichtige Unterschiede

Ein Passwort ist eine geheime Zeichenfolge, die Sie erstellen und an einen Server senden, um Ihre Identität zu verifizieren. Passwörter haben einen fundamentalen strukturellen Fehler: Sie sind geteilte Geheimnisse. Die Website speichert Ihr Passwort (oder einen Hash davon), was bedeutet, dass eine Serververletzung es offenlegt. Passkeys sind kryptographische Nachweise. Ihr Gerät hält den privaten Schlüssel; Dienste halten nur nutzlose öffentliche Schlüssel.

Cloudflares Daten vom März 2025 ergaben, dass ungefähr 41 % der erfolgreichen menschlichen Authentifizierungsversuche geleakte Anmeldedaten beinhalten. Diese Zahl spiegelt Jahre der Passwort-Wiederverwendung über verletzte Datenbanken wider.

Arten von Passkeys: Synchronisiert vs. gerätegebunden

Nicht alle Passkeys sind gleich. Die Unterscheidung zwischen synchronisierten und gerätegebundenen Passkeys ist sowohl für die Sicherheit als auch für die Compliance wichtig — und die meisten Leitfäden überspringen sie vollständig.

Synchronisierte Passkeys (Multi-Device FIDO Credentials)

Synchronisierte Passkeys werden in einem cloudbasierten Credential-Manager gespeichert und automatisch über alle Geräte in Ihrem Ökosystem synchronisiert. Erstellen Sie einen Passkey auf Ihrem iPhone, und er ist sofort auf Ihrem iPad und Mac verfügbar.

Diese Passkeys sind Ende-zu-Ende-verschlüsselt. Der Cloud-Anbieter kann sie nicht lesen. Gemäß NIST SP 800-63B-4 (veröffentlicht 2025) qualifizieren sich synchronisierte Passkeys als AAL2 (Authentication Assurance Level 2)-Authentifikatoren — geeignet für die meisten Verbraucher- und Unternehmensanwendungen.

Am besten für: Allgemeine Verbraucher, die meisten Unternehmensanwendungen, Dienste, bei denen geräteübergreifende Bequemlichkeit wichtig ist.

Gerätegebundene Passkeys

Gerätegebundene Passkeys werden auf einer bestimmten Hardware gespeichert — einem Hardware-Sicherheitsschlüssel wie einem YubiKey oder dem TPM-Chip in einem Windows-Gerät — und können nicht kopiert oder synchronisiert werden. Sie existieren nur auf diesem einen Gerät.

Gemäß NIST SP 800-63B-4 qualifizieren sich gerätegebundene Passkeys als AAL3 — das höchste Authentifizierungssicherheitsniveau, erforderlich für Regierungssysteme, Finanzinstitute und hochsichere Unternehmensumgebungen.

Am besten für: Privileged Access Management, regulierte Branchen, Regierungssysteme.

Sind Passkeys sicher?

Ja. Passkeys sind deutlich sicherer als Passwörter. Passkeys eliminieren konstruktionsbedingt ganze Kategorien von Angriffen. Sie sind konstruktionsbedingt phishing-resistent und immun gegen Credential Stuffing. Der private Schlüssel verlässt niemals das Gerät des Benutzers.

Diese Architektur, basierend auf Public-Key-Kryptographie, neutralisiert auch Serververletzungen. Dienste speichern nur öffentliche Schlüssel, die für Angreifer nutzlos sind. Selbst wenn eine Datenbank geleakt wird, bleiben die Anmeldedaten sicher.

Der 2025 Verizon DBIR zeigt, dass Credential-Diebstahl 88 % der Webanwendungsverletzungen antreibt. Passkeys machen diesen Vektor irrelevant. NIST SP 800-63B klassifiziert dieses Modell als phishing-resistent, das höchste Authentifizierungssicherheitsniveau.

Sicherheitsvorteile:

• Phishing unmöglich — kryptographisch an bestimmte Websites gebunden
• Kein Credential-Diebstahl — private Schlüssel verlassen niemals die Geräte
• Serververletzungen neutralisiert — nur öffentliche Schlüssel, nutzlos für Angreifer
• Keine Replay-Angriffe — Challenge-Response verhindert Wiederverwendung
• Biometrische Bindung — lokale Verifizierung, Biometrie wird niemals übertragen

Konstruktionsbedingt sicher

Passkeys bauen Sicherheit in die Architektur ein, nicht in das Benutzerverhalten. Mit Public-Key-Kryptographie verlässt der private Schlüssel niemals Ihr Gerät. Er bleibt in sicherer Hardware (TPM, Secure Enclave), die selbst dann unzugänglich ist, wenn Ihr Gerät kompromittiert wird. Der Dienst speichert nur den öffentlichen Schlüssel, der für Angreifer nutzlos ist.

Diese strukturelle Trennung ändert alles. Wenn Server verletzt werden, finden Angreifer nichts Nützliches.

WebAuthn fügt eine weitere Schicht hinzu: Website-Bindung. Während der Registrierung bindet sich der Passkey kryptographisch an die Domain. Wenn eine Phishing-Seite versucht, den Passkey zu verwenden, schlägt die Authentifizierung fehl; die kryptographische Signatur stimmt nicht mit der falschen Domain überein. NIST SP 800-63B erkennt dies als Verifier-Impersonation-Resistenz an, das höchste Sicherheitsniveau.

Sicherheit wird automatisch. Sie können nicht dazu gebracht werden, Anmeldedaten einzutippen, die nicht existieren. Sie können Passwörter nicht über Websites hinweg wiederverwenden. Sie können nicht auf gefälschte Anmeldeseiten hereinfallen. Die Kryptographie kooperiert einfach nicht.

Warum Passkeys phishing-resistent sind

Passkeys sind kryptographisch an die spezifische Domain gebunden, auf der sie erstellt wurden — zum Beispiel google.com. Wenn Ihr Browser die Challenge des Servers signiert, enthält er den Domainnamen in den signierten Daten. Wenn Sie auf einer gefälschten Seite landen (g00gle.com), funktioniert der Passkey für google.com einfach nicht — die Domain stimmt nicht überein. Es gibt kein Passwort, das Sie auf einer gefälschten Seite eintippen könnten.

Dies ist eine Eigenschaft, die SMS-basierte 2FA und sogar TOTP-Codes nicht bieten können. Diese können bei Echtzeit-Phishing-Angriffen abgefangen werden. Ein Passkey kann das nicht.

Können Passkeys gestohlen oder gehackt werden?

Der private Schlüssel befindet sich im Secure Enclave (Apple) oder TPM (Windows) des Geräts — hardware-isolierten Chips, die manipulationssicher konzipiert sind. Selbst wenn Malware das Gerät infiziert, kann sie den privaten Schlüssel nicht aus dem Secure Enclave extrahieren. Ein Angreifer müsste auch die biometrische Verifizierung bestehen, um den Passkey zu verwenden.

Konstruktionsbedingt privat

Passkeys schützen die Privatsphäre so grundlegend wie die Sicherheit. Ihr Fingerabdruck- oder Gesichtsscan verlässt niemals Ihr Gerät. Die biometrische Authentifizierung findet lokal statt. Der Dienst sieht niemals Ihre biometrischen Daten, nur dass Sie den Schlüssel entsperrt haben.

Public-Key-Kryptographie verhindert auch Tracking. Jeder Dienst erhält einen anderen öffentlichen Schlüssel. Anders als Passwörter (gleiche Anmeldedaten überall) oder Cookies können Passkeys Ihre Aktivitäten nicht über Websites hinweg verknüpfen. Google kann nicht sehen, was Sie bei Microsoft tun.

Dies entspricht den DSGVO-Prinzipien: minimale Datenerfassung, lokale Verarbeitung, Benutzerkontrolle. NIST-Richtlinien betonen ebenfalls datenschutzbewahrende Authentifizierung. Mit Passkeys beweisen Sie, wer Sie sind, ohne zu offenbaren, wer Sie sind.

Was passiert, wenn Sie Ihr Gerät verlieren?

Dies ist die Frage, die die meisten Menschen vom Wechsel abhält. Hier ist das vollständige Bild:

• Synchronisierte Passkeys — iCloud Keychain: Ihre Passkeys werden in iCloud Keychain gesichert, das Ende-zu-Ende-verschlüsselt ist. Apple bestätigt, dass Apple selbst Ihre Passkeys nicht lesen kann. Richten Sie ein neues iPhone ein, melden Sie sich mit Ihrer Apple ID an, und Ihre Passkeys werden automatisch wiederhergestellt. Apples iCloud Keychain Escrow-System erzwingt eine 10-Versuche-Grenze — nach 10 fehlgeschlagenen Wiederherstellungsversuchen wird der Datensatz dauerhaft zerstört. Zwei-Faktor-Authentifizierung ist für die Apple ID erforderlich.
• Synchronisierte Passkeys — Google Password Manager: Melden Sie sich mit Ihrem Google-Konto auf einem neuen Android-Gerät an, und Ihre Passkeys werden automatisch wiederhergestellt.
• Gerätegebundene Passkeys: Wenn Sie einen Hardware-Sicherheitsschlüssel verlieren, benötigen Sie ein Backup. Best Practice ist, zwei Hardware-Schlüssel für jedes Konto zu registrieren — halten Sie einen als Backup an einem sicheren Ort bereit.
• Kontowiederherstellungskontakte: Apple, Google und Microsoft unterstützen alle Wiederherstellungskontakte und Wiederherstellungscodes. Richten Sie diese ein, bevor Sie sie benötigen.

Die realen Vorteile von Passkeys: Daten 2025–2026

Der FIDO Alliance Passkey Index (Oktober 2025) aggregiert Leistungsdaten von Amazon, Google, Microsoft, PayPal, TikTok und fünf anderen großen Plattformen. Die Zahlen sind beeindruckend.

Passkey-Anmeldungen erreichen eine Erfolgsquote von 93 %, verglichen mit nur 63 % bei anderen Authentifizierungsmethoden — ein Unterschied von 30 Prozentpunkten. In Bezug auf Geschwindigkeit benötigen Passkeys durchschnittlich 8,5 Sekunden pro Anmeldung, verglichen mit 31,2 Sekunden für traditionelle MFA — eine Reduktion der Anmeldezeit um 73 %. Organisationen berichten von einer Reduktion der anmeldebezogenen Helpdesk-Vorfälle um bis zu 81 %, hauptsächlich Passwortzurücksetzungsanfragen.

Praxisbeispiele von der Authenticate 2025-Konferenz bestätigen diese Zahlen. Roblox erreichte eine 15%ige Reduktion von Kontoübernahmen nach der Implementierung von Passkeys in seinem Anmeldeablauf (Corbado, 2025). TikTok berichtete von einer 97%igen Passkey-Authentifizierungs-Erfolgsquote. VicRoads in Australien rollte Passkeys an 5 Millionen Benutzer mit einem schrittweisen, datengesteuerten Ansatz aus.

Die Akzeptanz durch Verbraucher beschleunigt sich ebenfalls. Die FIDO Alliance World Passkey Day Verbraucherumfrage (April 2025) ergab, dass 69 % der Verbraucher Passkeys auf mindestens einem Konto aktiviert haben und 74 % Passkeys kennen. Dieselbe Umfrage ergab, dass 47 % der Verbraucher einen Kauf abbrechen, wenn sie ihr Passwort vergessen — ein Konversionsproblem, das Passkeys eliminieren.

Einschränkungen und Nachteile von Passkeys

Passkeys lösen grundlegende Sicherheitsprobleme, sind aber noch nicht reibungslos. Die geräteübergreifende Synchronisation ist der größte Reibungspunkt. Apple synchronisiert über iCloud Keychain, Google über Password Manager, Microsoft über Windows Hello, und diese Ökosysteme kommunizieren nicht miteinander. iPhone-zu-Windows erfordert umständliche QR-Codes.

Die Kontowiederherstellung wird schwieriger. Verlieren Sie Ihr Telefon ohne Backups, und Sie könnten sich aussperren. Plattformanbieter bieten Wiederherstellungsoptionen an, aber Benutzer müssen diese proaktiv aktivieren.

Die Unterstützung von Legacy-Systemen bleibt unvollständig. Viele interne Apps, VPNs und ältere Websites akzeptieren keine Passkeys. Passwörter verschwinden nicht über Nacht.

Aktuelle Einschränkungen

• Das Schwachstellen-Problem. Die meisten Websites, die Passkeys unterstützen, erlauben immer noch Passwort-Login als Fallback. Das bedeutet, dass die Sicherheit des Kontos nur so stark ist wie die schwächste verfügbare Authentifizierungsmethode. Ein Angreifer, der den „Passwort vergessen"-Ablauf auslösen kann, kann den Passkey immer noch komplett umgehen. Bis Dienste den Passwort-Fallback entfernen, fügen Passkeys eine stärkere Option hinzu — sie eliminieren nicht die Passwort-Angriffsfläche.
• Ökosystemübergreifende Reibung. In iCloud Keychain gespeicherte Passkeys sind nicht automatisch auf Android verfügbar und umgekehrt. Ein Benutzer, der von iPhone zu Android wechselt, muss Passkeys auf der neuen Plattform neu registrieren. Passwort-Manager lösen dies, indem sie Passkeys in einem plattformunabhängigen Tresor speichern, was sie zur besseren Wahl für Benutzer macht, die über mehrere Ökosysteme hinweg arbeiten.
• Das Bootstrapping-Paradoxon. Um einen Passkey zu verwenden, benötigen Sie ein passkey-fähiges Gerät. Die Einrichtung eines neuen Geräts von Grund auf erfordert immer noch eine andere Möglichkeit zur Authentifizierung zuerst — typischerweise ein Passwort oder einen Wiederherstellungscode. Für Unternehmens-IT-Teams, die groß angelegte Rollouts verwalten, entsteht ein Henne-Ei-Problem: Passwörter können nicht vollständig eliminiert werden, bis jeder Benutzer einen Passkey registriert hat, aber die Registrierung erfordert die alten Anmeldedaten.
• Begrenzte Akzeptanz. Stand Anfang 2026 unterstützen 48 % der Top-100-Websites Passkeys. Die Mehrheit des Internets erfordert immer noch Passwörter. Passkeys und Passwörter werden jahrelang koexistieren — was bedeutet, dass Passwort-Management während der Übergangszeit ein echter operativer Bedarf bleibt.

Plattform-Credential-Manager — iCloud Keychain, Google Password Manager, Windows Hello — sind für einzelne Benutzer konzipiert, nicht für Organisationen. Sie bieten keine geteilten Tresore, rollenbasierten Zugriffskontrollen oder Audit-Logs. Wenn ein Mitarbeiter das Unternehmen verlässt, gibt es keine zentrale Möglichkeit, seine Passkeys zu widerrufen oder geteilte Anmeldedaten zu rotieren.

Für IT-Teams, die Dutzende von Systemen verwalten, ist das eine operative Lücke, keine geringfügige Unannehmlichkeit. Diese Koexistenz zu verwalten — Passkeys, wo unterstützt, starke Passwörter, wo nicht — ist genau das, wofür Passwork entwickelt wurde. Strukturierte Tresore, granulare Zugriffskontrollen und vollständige Audit-Trails halten Legacy-Anmeldedaten sicher, während Ihr Team Passkeys in seinem eigenen Tempo ausrollt.

Warum Organisationen immer noch einen Passwort-Manager benötigen

Passkeys lösen das Authentifizierungsproblem für unterstützte Dienste. Sie lösen nicht das Credential-Management-Problem für alles andere.

Betrachten Sie, was eine typische Unternehmensumgebung tatsächlich enthält: Dutzende von internen Tools, die Passkeys erst in Jahren unterstützen werden, geteilte Dienstkonten, die nicht an ein einzelnes Gerät gebunden werden können, API-Schlüssel und SSH-Anmeldedaten, die kein Passkey-Äquivalent haben, und Legacy-Systeme, bei denen das Authentifizierungsmodell festgelegt ist. Nichts davon verschwindet, wenn Sie Passkeys für Microsoft 365 und Google Workspace ausrollen.

Ein Unternehmens-Passwort-Manager handhabt, was Passkeys nicht können:

• Geteilte Anmeldedaten — Dienstkonten, Admin-Logins und Team-Passwörter benötigen kontrollierten Zugriff mit klarer Eigentümerschaft. Plattform-Keychains sind konstruktionsbedingt persönlich; sie haben kein Konzept für geteilte Tresore oder rollenbasierte Berechtigungen.
• Nicht-menschliche Identitäten — API-Schlüssel, SSH-Schlüssel, Datenbank-Anmeldedaten und CI/CD-Secrets lassen sich nicht auf die Biometrie eines Benutzers abbilden. Sie benötigen einen sicheren Ort mit Zugriffskontrollen und Rotationsrichtlinien.
• Legacy-Systeme — interne Tools, On-Premise-Anwendungen und ältere SaaS-Produkte werden jahrelang Passwörter erfordern. Diese Anmeldedaten benötigen dieselbe Sicherheitsdisziplin wie alles andere.
• Offboarding — wenn ein Mitarbeiter das Unternehmen verlässt, muss die IT den Zugriff widerrufen und geteilte Anmeldedaten sofort rotieren. Es gibt keine zentrale Möglichkeit, dies über iCloud Keychains oder Google-Konten hinweg zu tun.
• Audit-Trails — SOC 2, ISO 27001 und ähnliche Frameworks erfordern Nachweise darüber, wer wann auf was zugegriffen hat. Plattform-Credential-Manager erstellen dieses Protokoll nicht.
• Plattformübergreifende Umgebungen — Organisationen, die gleichzeitig Windows, macOS, Android und Linux betreiben, können sich nicht auf die native Synchronisation einer einzelnen Plattform verlassen. Ein herstellerneutraler Tresor deckt den gesamten Stack ab.

Die beiden Tools adressieren unterschiedliche Schichten desselben Problems. Passkeys handhaben die Benutzerauthentifizierung, wo der Standard unterstützt wird. Ein Passwort-Manager deckt den Rest ab — und hält die gesamte Credential-Oberfläche auditierbar.

Welche Dienste und Plattformen unterstützen derzeit Passkeys?

Alle großen Plattformen unterstützen jetzt Passkeys, obwohl die Implementierungsdetails variieren.

Apple speichert Passkeys in iCloud Keychain und synchronisiert sie Ende-zu-Ende-verschlüsselt über iPhones, iPads und Macs. Benutzer können sich mit Face ID oder Touch ID anmelden und ihr iPhone als Authentifikator für Nicht-Apple-Geräte über QR-Code verwenden.

Google integriert Passkeys über Google Password Manager auf Android und Chrome. Passkeys werden über Geräte synchronisiert, die im selben Google-Konto angemeldet sind, geschützt durch eine dedizierte PIN oder biometrische Entsperrung.

Microsoft unterstützt Passkeys über Windows Hello, Microsoft Authenticator und Entra ID. Windows 10/11-Geräte verwenden Biometrie oder PIN; die Authenticator-App speichert gerätegebundene Passkeys für Unternehmenskonten mit optionaler Cloud-Synchronisation für persönliche Konten.

Die FIDO Alliance zertifiziert Implementierungen und gewährleistet plattformübergreifende Interoperabilität. Die meisten modernen Browser (Chrome, Safari, Edge, Firefox) unterstützen WebAuthn, was Passkeys über Betriebssysteme hinweg nutzbar macht.

Geräte und Browser, die Passkeys unterstützen

Passkeys funktionieren auf modernen Plattformen, aber Versionsanforderungen sind wichtig. Hier ist die aktuelle Kompatibilitätslandschaft basierend auf unseren Tests über Gerätekombinationen hinweg.

Wichtige Erkenntnisse aus den Tests:

• Apples Ökosystem synchronisiert nahtlos über Apple-Geräte hinweg, benötigt aber QR-Codes für Nicht-Apple-Hardware.
• Android-Passkeys werden über Google-Konten synchronisiert, benötigen aber Geräte-Entsperrung für den Zugriff.
• Windows Hello bietet gerätegebundene Passkeys; Cloud-Synchronisation wird noch für persönliche Konten ausgerollt.
• Plattformübergreifende Abläufe funktionieren, fühlen sich aber weniger ausgereift an als die Synchronisation innerhalb eines Ökosystems.

WebAuthn ermöglicht diese plattformübergreifende Kompatibilität. Browser implementieren den Standard, sodass Passkeys trotz unterschiedlicher Synchronisations-Backends über Betriebssysteme hinweg funktionieren.

So beginnen Sie heute mit der Nutzung von Passkeys

Der Einstieg mit Passkeys dauert fünf Minuten. Hier ist der praktische Ablauf basierend auf der Einrichtung über Geräte hinweg.

Apple-Ökosystem (iPhone, iPad, Mac)

Passkeys auf Apple-Geräten werden in iCloud Keychain gespeichert und automatisch über alle Apple-Geräte synchronisiert, die mit derselben Apple ID angemeldet sind. Die Zwei-Faktor-Authentifizierung muss für die Apple ID aktiviert sein.

1. Besuchen Sie eine unterstützte Website und gehen Sie zu den Kontoeinstellungen oder der Registrierungsseite.
2. Suchen Sie nach der Option „Passkey erstellen" oder „Passkey hinzufügen".
3. Tippen Sie auf die Option. Der Browser fordert Sie auf, Face ID, Touch ID oder Ihren Geräte-Passcode zu verwenden.
4. Authentifizieren Sie sich mit Ihrer Biometrie. Der Passkey wird automatisch in iCloud Keychain gespeichert.
5. Bei zukünftigen Anmeldungen tippen Sie auf „Mit Passkey anmelden" und authentifizieren sich mit Face ID oder Touch ID.

Android (Google Password Manager)

Passkeys auf Android werden im Google Password Manager gespeichert und über Android-Geräte synchronisiert, die mit demselben Google-Konto angemeldet sind. Wenn eine Website anbietet, einen Passkey zu erstellen, fordert Android Sie auf, ihn im Google Password Manager zu speichern. Authentifizieren Sie sich mit Fingerabdruck, Gesichtserkennung oder Ihrer Bildschirmsperre-PIN.

Windows (Windows Hello / Microsoft Authenticator)

Unter Windows 11 können Passkeys in Windows Hello gespeichert werden — unter Verwendung des TPM-Chips des Geräts — oder in der Microsoft Authenticator-App. Windows Hello-Passkeys sind standardmäßig gerätegebunden, was bedeutet, dass sie gemäß NIST SP 800-63B-4 als AAL3 qualifiziert sind.

Wenn eine Website anbietet, einen Passkey zu erstellen, fordert Windows Sie auf, ihn mit Windows Hello zu speichern. Authentifizieren Sie sich mit Ihrer Windows Hello-PIN, Fingerabdruck oder Gesichtserkennung.

Passwort-Manager

Für Organisationen, die Anmeldedaten in großem Maßstab verwalten, bietet ein Unternehmens-Passwort-Manager wie Passwork die Infrastruktur, um sowohl Legacy-Passwörter als auch den Übergang zu Passkeys zu handhaben — und hält Anmeldedaten während der gesamten Migration sicher und auditierbar.

Tipps aus den Tests:

• Beginnen Sie mit Diensten, die Sie täglich nutzen, aber nicht geschäftskritisch sind.
• Behalten Sie ein Gerät als Backup, bevor Sie Passwörter entfernen.
• Testen Sie die Wiederherstellung, bevor Sie sie benötigen.
• Unternehmensbenutzer sollten die Kompatibilität mit bestehendem SSO überprüfen.

Welche Websites und Apps unterstützen Passkeys?

Stand Anfang 2026 unterstützen die wichtigsten Plattformen Passkeys, darunter: Google, Apple ID, Microsoft, Amazon, PayPal, GitHub, Shopify, Adobe, Uber, TikTok, eBay, Roblox, Coinbase, Best Buy und viele andere.

Das von der Community gepflegte Verzeichnis unter passkeys.directory bietet eine aktuelle, durchsuchbare Liste aller Websites und Apps, die Passkeys unterstützen.

Fazit

Passwörter verschwinden dieses Jahr nicht. Aber die Richtung ist klar: Über 15 Milliarden Konten unterstützen bereits Passkeys, 87 % der Unternehmen setzen sie ein, und die Lücke bei der Authentifizierungserfolgsquote — 93 % vs. 63 % — macht den Fall besser als jede Marketing-Behauptung es könnte.

Passkeys sind jetzt verfügbar, auf Geräten, die Menschen bereits besitzen, für Dienste, die sie bereits nutzen. Die Technologie ist ausgereift. Die Standards sind festgelegt. Die verbleibende Reibung ist Akzeptanz, nicht Fähigkeit.

Der Übergang von Passwörtern zu Passkeys wird Jahre dauern, nicht Monate. Während dieser Zeit werden die meisten Organisationen hybride Umgebungen betreiben: Passkeys für einige Dienste, Passwörter für andere, Dienstkonten, die in keines der beiden Modelle passen. Die Sicherheitslage des Ganzen hängt davon ab, wie gut Sie die Teile verwalten, die sich noch nicht bewegt haben.

Passwork ist für diese Zeit entwickelt — strukturierte Tresore, Zugriffskontrollen und Audit-Trails, die Legacy-Anmeldedaten unter Kontrolle halten, während die Passkey-Registrierung in Ihrem Team skaliert.

Der Wechsel von Passwörtern zu Passkeys ist ein Prozess, kein Schalter. Die Organisationen, die ihn bewusst verwalten, werden zu einer bedeutend stärkeren Sicherheitslage gelangen — mit weniger Reibung für Benutzer und weniger Vorfällen für IT-Teams.

Häufig gestellte Fragen

Social Engineering vs. Phishing-Angriffe: Wichtige Unterschiede & Verteidigungsstrategien | Expertenleitfaden

Phishing ist Social Engineering — aber Social Engineering ist viel mehr als Phishing. Erfahren Sie den Unterschied, sehen Sie, wie KI beide Bedrohungen verändert, und bauen Sie Abwehrmaßnahmen auf, die die gesamte Angriffsfläche abdecken.

Passwork BlogAlex Muntyan

Was ist Privileged Access Management? Ein vollständiger Leitfaden

Privilegierte Konten sind die wertvollsten Ziele für Angreifer. Ein kompromittiertes Admin-Credential gibt volle Kontrolle über Infrastruktur, Daten und Anwendungen. PAM adressiert dies durch Credential-Vaulting, Sitzungsüberwachung und Durchsetzung des Prinzips der geringsten Privilegien. So funktioniert es in der Praxis.

Passwork BlogAlex Muntyan

Enterprise Passwort-Management Best Practices: Der Sicherheitsleitfaden 2026

Wenn Ihre Passwortrichtlinie immer noch 90-Tage-Rotationen und acht Zeichen Minimum vorschreibt, ist sie veraltet. Dieser Leitfaden behandelt Enterprise Passwort-Management Best Practices für 2026: Richtlinien, privilegierte Konten, nicht-menschliche Identitäten, MFA und Compliance.

Passwork BlogAlex Muntyan

Una passkey es una credencial de autenticación sin contraseñas y resistente al phishing, basada en criptografía de clave pública. Cuando crea una passkey, su dispositivo genera un par de claves criptográficas único: una clave pública almacenada en el servidor del sitio web y una clave privada que nunca abandona su dispositivo. Inicia sesión verificando su identidad con biometría o un PIN.

Este enfoque, estandarizado por la FIDO Alliance y fundamental para la autenticación sin contraseñas, previene el phishing y el robo de credenciales porque la clave privada nunca abandona su dispositivo. El modelo se alinea con las directrices NIST SP 800-63B-4 y los requisitos de privacidad del GDPR.

En la práctica, la mayoría de las organizaciones operan en entornos mixtos — algunos servicios ya admiten passkeys, otros no lo harán durante años. Un enfoque estructurado de gestión de credenciales abarca ambos casos.

Esta guía cubre todo: cómo funcionan las passkeys técnicamente, la diferencia entre passkeys sincronizadas y vinculadas al dispositivo, cómo configurarlas en iPhone, Android y Windows, y qué dicen los datos más recientes de 2025–2026 sobre el rendimiento en el mundo real.

Puntos clave

• Las passkeys utilizan criptografía de clave pública: la clave privada permanece en su dispositivo; el servidor solo almacena la clave pública.
• Las passkeys son resistentes al phishing por diseño — un sitio web falso no puede solicitar la firma de su passkey.
• Los inicios de sesión con passkey logran una tasa de éxito del 93%, comparado con el 63% de otros métodos de autenticación (FIDO Alliance Passkey Index, octubre de 2025).
• Si pierde su dispositivo, las passkeys sincronizadas son recuperables a través de iCloud Keychain o la recuperación de cuenta de Google.
• A finales de 2024, más de 15 mil millones de cuentas admiten passkeys, y la adopción se duplicó durante ese año (FIDO Alliance, diciembre de 2024).

¿Qué es una passkey?

Una passkey es un par de claves criptográficas almacenado en su dispositivo. La FIDO Alliance — el consorcio de la industria detrás del estándar — define las passkeys como credenciales que «reemplazan las contraseñas con pares de claves criptográficas para seguridad de inicio de sesión resistente al phishing y una experiencia de usuario mejorada».

Las passkeys implementan el estándar FIDO2, con WebAuthn gestionando la comunicación entre el navegador y el dispositivo. Cuando crea una passkey, su dispositivo genera dos claves matemáticamente vinculadas: una permanece en su dispositivo (privada), otra va al sitio web (pública).

Para iniciar sesión, demuestra que posee la clave privada resolviendo un desafío criptográfico — utilizando su rostro, huella dactilar o PIN. El sitio web verifica su respuesta utilizando la clave pública que ya tiene.

La clave privada nunca abandona su dispositivo. El servidor nunca la ve. No hay nada en el lado del servidor que valga la pena robar.

Las passkeys en términos simples

Una passkey es algo que tiene (su dispositivo) más algo que es (su huella dactilar o rostro). Su teléfono genera la passkey, y usted la desbloquea con biometría. 

El servicio nunca ve su huella dactilar o rostro, solo que usted desbloqueó la clave. Piense en ello como una tarjeta de hotel: tiene la tarjeta, y la puerta se abre cuando la toca. No hay código que recordar, nada que escribir, nada que robar de forma remota.

El problema con las contraseñas tradicionales

Las contraseñas tienen un defecto fundamental: son secretos que deben compartirse. Cada vez que escribe una, viaja a través de redes y se almacena en servidores. El 2025 Verizon DBIR encontró que más del 53% de las filtraciones de datos involucran credenciales robadas o descifradas por fuerza bruta.

Los usuarios agravan el problema. La reutilización de contraseñas es desenfrenada — una filtración en un servicio se propaga a cuentas comprometidas en todas partes. El phishing explota esto aún más: páginas de inicio de sesión falsas engañan a los usuarios para que escriban credenciales, dando a los atacantes acceso directo. Añada la fatiga de contraseñas, y obtendrá notas adhesivas o variantes de «Company2024».

Problemas comunes con las contraseñas:

• Reutilización — una filtración desbloquea múltiples cuentas.
• Contraseñas débiles — «123456» todavía domina.
• Vulnerabilidad al phishing — sitios falsos capturan credenciales escritas.
• Exposición del lado del servidor — las bases de datos filtradas se descifran.
• Carga de memoria — los usuarios restablecen, anotan o simplifican.

Con las passkeys, no hay contraseña que recordar, no hay contraseña que robar y no hay base de datos del servidor que vulnerar.

Cómo funcionan realmente las passkeys

Las passkeys utilizan criptografía de clave pública en lugar de secretos compartidos. Piense en ello como un buzón físico: la clave pública es la ranura por donde cualquiera puede dejar un mensaje, y la clave privada es la llave que abre el buzón. Solo la persona con la clave privada puede leer lo que hay dentro.

Cuando inicia sesión con una passkey, el servicio o sitio web envía un desafío — una cadena de datos única y aleatoria. Su dispositivo utiliza la clave privada para firmar ese desafío matemáticamente. El sitio web luego verifica la firma contra la clave pública que almacenó durante el registro. Si la firma es válida, tiene acceso.

La FIDO Alliance estandariza esto a través de FIDO2. WebAuthn gestiona la comunicación entre el navegador y el dispositivo. NIST reconoce este modelo como resistente al phishing.

Paso a paso:

1. El dispositivo crea el par de claves
2. La clave privada permanece en el dispositivo
3. La clave pública se envía al servicio
4. El servicio envía un desafío
5. Usted aprueba con biometría
6. El dispositivo firma el desafío
7. El servicio valida la firma
8. Tiene acceso

Paso 1. El proceso de registro

El proceso de crear una passkey se denomina ceremonia de registro en la especificación WebAuthn — la API web del W3C que implementa FIDO2 en navegadores.

Esto es lo que sucede:

1. Visita un sitio web y elige crear una passkey.
2. El sitio web envía una solicitud de registro a su navegador a través de la API WebAuthn.
3. Su navegador le solicita que verifique su identidad — Face ID, huella dactilar o PIN.
4. Su dispositivo genera un par de claves pública/privada único específicamente para este sitio web.
5. La clave pública se envía al servidor del sitio web y se almacena. La clave privada se guarda en el hardware seguro de su dispositivo — el Secure Enclave en dispositivos Apple, o el chip TPM (Trusted Platform Module) en Windows.

Apple, Google y Microsoft implementan esto a través de APIs específicas de la plataforma (iCloud Keychain, Google Password Manager, Windows Hello), pero todos siguen los estándares FIDO2 y WebAuthn. Sus datos biométricos nunca abandonan su dispositivo, solo la prueba criptográfica de que autorizó la creación de la clave.

Paso 2. El proceso de autenticación

Iniciar sesión con una passkey — la ceremonia de autenticación — es igualmente sencillo:

1. Visita el sitio web y hace clic en «Iniciar sesión con passkey».
2. El sitio web envía un desafío único y aleatorio a su navegador.
3. Su navegador le solicita que verifique su identidad (biometría o PIN).
4. Su dispositivo utiliza la clave privada para firmar criptográficamente el desafío.
5. El desafío firmado vuelve al servidor. El servidor verifica la firma utilizando la clave pública almacenada. Si coincide, se concede el acceso.

WebAuthn estandariza este flujo en navegadores y plataformas. La clave privada nunca abandona su dispositivo, y el mecanismo de desafío-respuesta previene ataques de repetición.

El desafío es único cada vez. Incluso si un atacante intercepta la respuesta firmada, no puede reutilizarla — está matemáticamente vinculada a esa única sesión.

Autenticación entre dispositivos: códigos QR y Bluetooth

Aquí hay un escenario que confunde a muchos usuarios: está en un portátil Windows, pero su passkey está almacenada en su iPhone. ¿Qué sucede?

El navegador muestra un código QR. Lo escanea con su teléfono. El teléfono y el portátil luego establecen una conexión Bluetooth de corto alcance para verificar la proximidad física — este es el mecanismo de transporte híbrido definido en el protocolo FIDO2 CTAP2.

La verificación de proximidad por Bluetooth es el paso de seguridad crítico. Evita que un atacante remoto utilice el código QR desde una ubicación diferente. Su teléfono realiza la verificación biométrica localmente, luego envía el desafío firmado de vuelta al portátil a través del canal Bluetooth seguro.

Bluetooth no está transmitiendo su passkey. Está confirmando que su teléfono está físicamente junto a la computadora — lo que hace que la autenticación entre dispositivos sea resistente al phishing incluso cuando se utiliza un segundo dispositivo.

Passkeys vs. contraseñas: diferencias clave

Una contraseña es una cadena secreta de caracteres que usted crea y envía a un servidor para verificar su identidad. Las contraseñas tienen un defecto estructural fundamental: son secretos compartidos. El sitio web almacena su contraseña (o un hash de ella), lo que significa que una filtración del servidor la expone. Las passkeys son pruebas criptográficas — su dispositivo guarda la clave privada; los servicios solo guardan claves públicas inútiles.

Los datos de Cloudflare de marzo de 2025 encontraron que aproximadamente el 41% de los intentos exitosos de autenticación humana involucran credenciales filtradas. Ese número refleja años de reutilización de contraseñas en bases de datos vulneradas.

Tipos de passkeys: sincronizadas vs. vinculadas al dispositivo

No todas las passkeys son iguales. La distinción entre passkeys sincronizadas y vinculadas al dispositivo importa tanto para la seguridad como para el cumplimiento — y la mayoría de las guías la omiten por completo.

Passkeys sincronizadas (credenciales FIDO multidispositivo)

Las passkeys sincronizadas se almacenan en un gestor de credenciales basado en la nube y se sincronizan automáticamente en todos los dispositivos de su ecosistema. Cree una passkey en su iPhone, y estará inmediatamente disponible en su iPad y Mac.

Estas passkeys están cifradas de extremo a extremo. El proveedor de la nube no puede leerlas. A partir de NIST SP 800-63B-4 (publicado en 2025), las passkeys sincronizadas califican como autenticadores AAL2 (Nivel de Garantía de Autenticación 2) — apropiadas para la mayoría de los casos de uso de consumidores y empresas.

Ideal para: Consumidores en general, la mayoría de las aplicaciones empresariales, servicios donde la comodidad entre dispositivos importa.

Passkeys vinculadas al dispositivo

Las passkeys vinculadas al dispositivo se almacenan en una pieza específica de hardware — una llave de seguridad de hardware como un YubiKey, o el chip TPM en un dispositivo Windows — y no pueden copiarse ni sincronizarse. Existen solo en ese único dispositivo.

Según NIST SP 800-63B-4, las passkeys vinculadas al dispositivo califican como AAL3 — el nivel más alto de garantía de autenticación, requerido para sistemas gubernamentales, instituciones financieras y entornos empresariales de alta seguridad.

Ideal para: Gestión de acceso privilegiado, industrias reguladas, sistemas gubernamentales.

¿Son seguras las passkeys?

Sí. Las passkeys son significativamente más seguras que las contraseñas. Las passkeys eliminan categorías enteras de ataques por diseño. Son resistentes al phishing por diseño e inmunes al credential stuffing. La clave privada nunca abandona el dispositivo del usuario.

Esta arquitectura, construida sobre criptografía de clave pública, también neutraliza las filtraciones de servidores. Los servicios almacenan solo claves públicas, inútiles para los atacantes. Incluso si una base de datos se filtra, las credenciales permanecen seguras.

El 2025 Verizon DBIR muestra que el robo de credenciales impulsa el 88% de las filtraciones de aplicaciones web. Las passkeys hacen que ese vector sea irrelevante. NIST SP 800-63B clasifica este modelo como resistente al phishing, el nivel más alto de garantía de autenticación.

Beneficios de seguridad:

• Phishing imposible — vinculadas criptográficamente a sitios específicos
• Sin robo de credenciales — las claves privadas nunca abandonan los dispositivos
• Filtraciones de servidores neutralizadas — solo claves públicas, inútiles para los atacantes
• Sin ataques de repetición — el desafío-respuesta previene la reutilización
• Vinculación biométrica — verificación local, la biometría nunca se transmite

Segura por diseño

Las passkeys incorporan la seguridad en la arquitectura, no en el comportamiento del usuario. Con criptografía de clave pública, la clave privada nunca abandona su dispositivo. Permanece en hardware seguro (TPM, Secure Enclave) inaccesible incluso si su dispositivo está comprometido. El servicio almacena solo la clave pública, inútil para los atacantes.

Esta separación estructural lo cambia todo. Cuando los servidores son vulnerados, los atacantes no encuentran nada útil.

WebAuthn añade otra capa: vinculación al sitio. Durante el registro, la passkey se vincula criptográficamente al dominio. Si un sitio de phishing intenta usar la passkey, la autenticación falla; la firma criptográfica no coincidirá con el dominio incorrecto. NIST SP 800-63B reconoce esto como resistencia a la suplantación del verificador, el nivel más alto de garantía.

La seguridad se vuelve automática. No se le puede engañar para que escriba credenciales que no existen. No puede reutilizar contraseñas entre sitios. No puede caer en páginas de inicio de sesión falsas. La criptografía simplemente no cooperará.

Por qué las passkeys son resistentes al phishing

Las passkeys están vinculadas criptográficamente al dominio específico donde fueron creadas — por ejemplo, google.com. Cuando su navegador firma el desafío del servidor, incluye el nombre del dominio en los datos firmados. Si llega a un sitio falso (g00gle.com), la passkey para google.com simplemente no funcionará — el dominio no coincide. No hay contraseña para engañarle y que la escriba en una página falsa.

Esta es una propiedad que 2FA basado en SMS e incluso códigos TOTP no pueden ofrecer. Estos pueden ser interceptados en ataques de phishing en tiempo real. Una passkey no puede serlo.

¿Pueden las passkeys ser robadas o hackeadas?

La clave privada reside en el Secure Enclave del dispositivo (Apple) o TPM (Windows) — chips aislados por hardware diseñados para ser resistentes a manipulaciones. Incluso si un malware infecta el dispositivo, no puede extraer la clave privada del Secure Enclave. Un atacante también necesitaría pasar la verificación biométrica para usar la passkey.

Privada por diseño

Las passkeys protegen la privacidad tan fundamentalmente como la seguridad. Su escaneo de huella dactilar o rostro nunca abandona su dispositivo. La autenticación biométrica ocurre localmente. El servicio nunca ve sus datos biométricos, solo que usted desbloqueó la clave.

La criptografía de clave pública también previene el rastreo. Cada servicio obtiene una clave pública diferente. A diferencia de las contraseñas (la misma credencial en todas partes) o las cookies, las passkeys no pueden vincular su actividad entre sitios. Google no puede ver lo que hace en Microsoft.

Esto se alinea con los principios del GDPR: recopilación mínima de datos, procesamiento local, control del usuario. Las directrices de NIST igualmente enfatizan la autenticación que preserva la privacidad. Con las passkeys, demuestra quién es sin revelar quién es.

¿Qué sucede si pierde su dispositivo?

Esta es la pregunta que detiene a la mayoría de las personas de cambiar. Aquí está el panorama completo:

• Passkeys sincronizadas — iCloud Keychain: Sus passkeys están respaldadas en iCloud Keychain, que está cifrado de extremo a extremo. Apple confirma que Apple misma no puede leer sus passkeys. Configure un nuevo iPhone, inicie sesión en su Apple ID, y sus passkeys se restauran automáticamente. El sistema de custodia de iCloud Keychain de Apple aplica un límite de 10 intentos — después de 10 intentos de recuperación fallidos, el registro se destruye permanentemente. Se requiere autenticación de dos factores en el Apple ID.
• Passkeys sincronizadas — Google Password Manager: Inicie sesión en su cuenta de Google en un nuevo dispositivo Android y sus passkeys se restauran automáticamente.
• Passkeys vinculadas al dispositivo: Si pierde una llave de seguridad de hardware, necesita una copia de seguridad. La mejor práctica es registrar dos llaves de hardware para cada cuenta — mantenga una como copia de seguridad en una ubicación segura.
• Contactos de recuperación de cuenta: Apple, Google y Microsoft admiten contactos de recuperación y códigos de recuperación. Configúrelos antes de necesitarlos.

Los beneficios reales de las passkeys: datos 2025–2026

El FIDO Alliance Passkey Index (octubre de 2025) agrega datos de rendimiento de Amazon, Google, Microsoft, PayPal, TikTok y otras cinco plataformas principales. Los números son sorprendentes.

Los inicios de sesión con passkey logran una tasa de éxito del 93%, comparado con solo el 63% para otros métodos de autenticación — una diferencia de 30 puntos porcentuales. En términos de velocidad, las passkeys toman un promedio de 8,5 segundos por inicio de sesión, comparado con 31,2 segundos para MFA tradicional — una reducción del 73% en el tiempo de inicio de sesión. Las organizaciones reportan hasta un 81% de reducción en incidentes de soporte técnico relacionados con el inicio de sesión, principalmente solicitudes de restablecimiento de contraseña.

Los casos de estudio del mundo real de la conferencia Authenticate 2025 refuerzan estas cifras. Roblox logró una reducción del 15% en la apropiación de cuentas después de implementar passkeys en su flujo de registro (Corbado, 2025). TikTok reportó una tasa de éxito de autenticación con passkey del 97%. VicRoads en Australia implementó passkeys para 5 millones de usuarios utilizando un enfoque gradual basado en datos.

La adopción por parte de los consumidores también se está acelerando. La Encuesta de Consumidores del Día Mundial de la Passkey de FIDO Alliance (abril de 2025) encontró que el 69% de los consumidores han habilitado passkeys en al menos una cuenta, y el 74% conocen las passkeys. La misma encuesta encontró que el 47% de los consumidores abandonarán una compra si olvidan su contraseña — un problema de conversión que las passkeys eliminan.

Limitaciones y desventajas de las passkeys

Las passkeys resuelven problemas de seguridad fundamentales pero aún no son completamente fluidas. La sincronización entre dispositivos es el mayor punto de fricción. Apple sincroniza a través de iCloud Keychain, Google a través de Password Manager, Microsoft a través de Windows Hello, y estos ecosistemas no se comunican. iPhone a Windows necesita códigos QR poco prácticos.

La recuperación de cuentas se vuelve más complicada. Pierda su teléfono sin copias de seguridad, y podría quedarse bloqueado. Los proveedores de plataformas ofrecen opciones de recuperación, pero los usuarios deben habilitarlas proactivamente.

El soporte para sistemas heredados sigue siendo incompleto. Muchas aplicaciones internas, VPNs y sitios más antiguos no aceptan passkeys. Las contraseñas no van a desaparecer de la noche a la mañana.

Limitaciones actuales

• El problema del eslabón más débil. La mayoría de los sitios web que admiten passkeys todavía permiten el inicio de sesión con contraseña como respaldo. Esto significa que la seguridad de la cuenta es solo tan fuerte como el método de autenticación más débil disponible. Un atacante que pueda activar el flujo «olvidé mi contraseña» todavía puede eludir la passkey por completo. Hasta que los servicios eliminen el respaldo de contraseña, las passkeys añaden una opción más fuerte — no eliminan la superficie de ataque de contraseñas.
• Fricción entre ecosistemas. Las passkeys almacenadas en iCloud Keychain no están automáticamente disponibles en Android, y viceversa. Un usuario que cambia de iPhone a Android debe volver a registrar las passkeys en la nueva plataforma. Los gestores de contraseñas resuelven esto almacenando passkeys en una bóveda agnóstica de plataforma, haciéndolos la mejor opción para usuarios que trabajan en múltiples ecosistemas.
• La paradoja del arranque. Para usar una passkey, necesita un dispositivo compatible con passkeys. Configurar un nuevo dispositivo desde cero todavía requiere otra forma de autenticarse primero — típicamente una contraseña o un código de recuperación. Para equipos de TI empresarial que gestionan implementaciones a gran escala, esto crea un problema del huevo y la gallina: no se pueden eliminar completamente las contraseñas hasta que cada usuario haya registrado una passkey, pero el registro requiere las credenciales antiguas.
• Adopción limitada. A principios de 2026, el 48% de los 100 principales sitios web admiten passkeys. La mayoría de internet todavía requiere contraseñas. Las passkeys y las contraseñas coexistirán durante años — lo que significa que la gestión de contraseñas sigue siendo una necesidad operativa real durante la transición.

Los gestores de credenciales de plataforma — iCloud Keychain, Google Password Manager, Windows Hello — están diseñados para usuarios individuales, no para organizaciones. No ofrecen bóvedas compartidas, controles de acceso basados en roles ni registros de auditoría. Cuando un empleado se va, no hay forma centralizada de revocar sus passkeys o rotar credenciales compartidas.

Para equipos de TI que gestionan docenas de sistemas, esa es una brecha operativa, no un inconveniente menor. Gestionar esa coexistencia — passkeys donde estén soportadas, contraseñas fuertes donde no — es exactamente para lo que Passwork está diseñado. Bóvedas estructuradas, controles de acceso granulares y registros de auditoría completos mantienen las credenciales heredadas seguras mientras su equipo implementa passkeys a su propio ritmo.

Por qué las organizaciones todavía necesitan un gestor de contraseñas

Las passkeys resuelven el problema de autenticación para los servicios soportados. No resuelven el problema de gestión de credenciales para todo lo demás.

Considere lo que un entorno empresarial típico realmente contiene: docenas de herramientas internas que no soportarán passkeys durante años, cuentas de servicio compartidas que no pueden vincularse a un solo dispositivo, claves API y credenciales SSH que no tienen equivalente en passkey, y sistemas heredados donde el modelo de autenticación es fijo. Nada de eso desaparece cuando implementa passkeys para Microsoft 365 y Google Workspace.

Un gestor de contraseñas corporativo maneja lo que las passkeys no pueden:

• Credenciales compartidas — las cuentas de servicio, inicios de sesión de administrador y contraseñas de equipo necesitan acceso controlado con propiedad clara. Los llaveros de plataforma son personales por diseño; no tienen concepto de bóvedas compartidas o permisos basados en roles.
• Identidades no humanas — las claves API, claves SSH, credenciales de bases de datos y secretos de CI/CD no se mapean a la biometría de un usuario. Necesitan un hogar seguro con controles de acceso y políticas de rotación.
• Sistemas heredados — las herramientas internas, aplicaciones on-premise y productos SaaS más antiguos seguirán requiriendo contraseñas durante años. Esas credenciales necesitan la misma disciplina de seguridad que todo lo demás.
• Desvinculación — cuando un empleado se va, TI necesita revocar el acceso y rotar las credenciales compartidas inmediatamente. No hay forma centralizada de hacer eso a través de iCloud Keychains o cuentas de Google.
• Registros de auditoría — SOC 2, ISO 27001 y marcos similares requieren evidencia de quién accedió a qué y cuándo. Los gestores de credenciales de plataforma no producen ese registro.
• Entornos multiplataforma — las organizaciones que ejecutan Windows, macOS, Android y Linux simultáneamente no pueden depender de la sincronización nativa de ninguna plataforma individual. Una bóveda agnóstica de proveedor cubre toda la pila.

Las dos herramientas abordan diferentes capas del mismo problema. Las passkeys manejan la autenticación de usuario donde el estándar es soportado. Un gestor de contraseñas cubre el resto — y mantiene toda la superficie de credenciales auditable.

¿Qué servicios y plataformas admiten actualmente passkeys?

Todas las principales plataformas ahora admiten passkeys, aunque los detalles de implementación varían.

Apple almacena las passkeys en iCloud Keychain, sincronizando cifrado de extremo a extremo a través de iPhones, iPads y Macs. Los usuarios pueden iniciar sesión con Face ID o Touch ID, y usar su iPhone como autenticador para dispositivos que no son Apple mediante código QR.

Google integra las passkeys a través de Google Password Manager en Android y Chrome. Las passkeys se sincronizan entre dispositivos conectados a la misma cuenta de Google, protegidas por un PIN dedicado o desbloqueo biométrico.

Microsoft admite passkeys a través de Windows Hello, Microsoft Authenticator y Entra ID. Los dispositivos Windows 10/11 usan biometría o PIN; la aplicación Authenticator almacena passkeys vinculadas al dispositivo para cuentas empresariales, con sincronización en la nube opcional para cuentas personales.

La FIDO Alliance certifica las implementaciones, asegurando la interoperabilidad entre plataformas. La mayoría de los navegadores modernos (Chrome, Safari, Edge, Firefox) admiten WebAuthn, haciendo que las passkeys sean utilizables en todos los sistemas operativos.

Dispositivos y navegadores que admiten passkeys

Las passkeys funcionan en plataformas modernas, pero los requisitos de versión importan. Aquí está el panorama actual de compatibilidad basado en nuestras pruebas en combinaciones de dispositivos.

Hallazgos clave de las pruebas:

• El ecosistema de Apple sincroniza sin problemas entre dispositivos Apple pero necesita códigos QR para hardware que no es Apple.
• Las passkeys de Android se sincronizan a través de cuentas de Google pero necesitan desbloqueo del dispositivo para acceder.
• Windows Hello ofrece passkeys vinculadas al dispositivo; la sincronización en la nube todavía se está implementando para cuentas personales.
• Los flujos entre plataformas funcionan pero se sienten menos pulidos que la sincronización dentro del ecosistema.

WebAuthn habilita esta compatibilidad entre plataformas — los navegadores implementan el estándar, así que las passkeys funcionan en todos los sistemas operativos a pesar de los diferentes backends de sincronización.

Cómo empezar a usar passkeys hoy

Comenzar con passkeys toma cinco minutos. Aquí está el flujo práctico basado en configurarlas en diferentes dispositivos.

Ecosistema Apple (iPhone, iPad, Mac)

Las passkeys en dispositivos Apple se almacenan en iCloud Keychain y se sincronizan automáticamente en todos los dispositivos Apple conectados al mismo Apple ID. La autenticación de dos factores debe estar habilitada en el Apple ID.

1. Visite un sitio web compatible y vaya a la configuración de la cuenta o la página de registro.
2. Busque una opción «Crear una passkey» o «Añadir una passkey».
3. Toque la opción. El navegador le solicita usar Face ID, Touch ID o el código de su dispositivo.
4. Autentíquese con su biometría. La passkey se guarda en iCloud Keychain automáticamente.
5. En futuros inicios de sesión, toque «Iniciar sesión con passkey» y autentíquese con Face ID o Touch ID.

Android (Google Password Manager)

Las passkeys en Android se almacenan en Google Password Manager y se sincronizan entre dispositivos Android conectados a la misma cuenta de Google. Cuando un sitio web ofrece crear una passkey, Android le solicita guardarla en Google Password Manager. Autentíquese con huella dactilar, reconocimiento facial o el PIN de bloqueo de pantalla.

Windows (Windows Hello / Microsoft Authenticator)

En Windows 11, las passkeys pueden almacenarse en Windows Hello — usando el chip TPM del dispositivo — o en la aplicación Microsoft Authenticator. Las passkeys de Windows Hello están vinculadas al dispositivo por defecto, lo que significa que califican como AAL3 bajo NIST SP 800-63B-4.

Cuando un sitio web ofrece crear una passkey, Windows le solicita guardarla con Windows Hello. Autentíquese con su PIN de Windows Hello, huella dactilar o reconocimiento facial.

Gestor de contraseñas

Para organizaciones que gestionan credenciales a escala, un gestor de contraseñas corporativo como Passwork proporciona la infraestructura para manejar tanto contraseñas heredadas como la transición a passkeys — manteniendo las credenciales seguras y auditables durante toda la migración.

Consejos de las pruebas:

• Comience con servicios que usa diariamente pero que no son críticos para el negocio.
• Mantenga un dispositivo como copia de seguridad antes de eliminar contraseñas.
• Pruebe la recuperación antes de necesitarla.
• Los usuarios empresariales deben verificar la compatibilidad con el SSO existente.

¿Qué sitios web y aplicaciones admiten passkeys?

A principios de 2026, las principales plataformas que admiten passkeys incluyen: Google, Apple ID, Microsoft, Amazon, PayPal, GitHub, Shopify, Adobe, Uber, TikTok, eBay, Roblox, Coinbase, Best Buy y muchos otros.

El directorio mantenido por la comunidad en passkeys.directory proporciona una lista actual y consultable de cada sitio web y aplicación que admite passkeys.

Conclusión

Las contraseñas no van a desaparecer este año. Pero la dirección es clara: más de 15 mil millones de cuentas ya admiten passkeys, el 87% de las empresas las están implementando, y la diferencia en la tasa de éxito de autenticación — 93% vs. 63% — hace el caso mejor de lo que cualquier afirmación de marketing podría.

Las passkeys están disponibles ahora, en dispositivos que las personas ya poseen, para servicios que ya usan. La tecnología está madura. Los estándares están establecidos. La fricción restante es la adopción, no la capacidad.

La transición de contraseñas a passkeys tomará años, no meses. Durante ese período, la mayoría de las organizaciones operarán entornos híbridos: passkeys para algunos servicios, contraseñas para otros, cuentas de servicio que no encajan en ningún modelo. La postura de seguridad del conjunto depende de qué tan bien gestione las partes que aún no se han movido.

Passwork está diseñado para este período — bóvedas estructuradas, controles de acceso y registros de auditoría que mantienen las credenciales heredadas bajo control mientras la inscripción de passkeys escala en su equipo.

El cambio de contraseñas a passkeys es un proceso, no un interruptor. Las organizaciones que lo gestionen deliberadamente llegarán a una postura de seguridad significativamente más fuerte — con menos fricción para los usuarios y menos incidentes para los equipos de TI.

Preguntas frecuentes

Ingeniería social vs. ataques de phishing: diferencias clave y estrategias de defensa | guía experta

El phishing es ingeniería social — pero la ingeniería social es mucho más que phishing. Conozca la diferencia, vea cómo la IA está transformando ambas amenazas y construya defensas que cubran toda la superficie de ataque.

Passwork BlogAlex Muntyan

¿Qué es la gestión de acceso privilegiado? Una guía completa

Las cuentas privilegiadas son los objetivos de mayor valor para los atacantes. Una credencial de administrador comprometida da control total sobre infraestructura, datos y aplicaciones. PAM aborda esto mediante bóveda de credenciales, monitoreo de sesiones y aplicación del principio de mínimo privilegio. Así es como funciona en la práctica.

Passwork BlogAlex Muntyan

Mejores prácticas de gestión de contraseñas empresariales: la guía de seguridad 2026

Si su política de contraseñas todavía exige rotaciones de 90 días y mínimos de ocho caracteres, está desactualizada. Esta guía cubre las mejores prácticas de gestión de contraseñas empresariales para 2026: política, cuentas privilegiadas, identidades no humanas, MFA y cumplimiento.

Passwork BlogAlex Muntyan

A passkey is a phishing-resistant, passwordless authentication credential based on public-key cryptography. When you create a passkey, your device generates a unique cryptographic key pair: a public key stored on the website's server and a private key that never leaves your device. You log in by verifying your identity with biometrics or a PIN.

This approach, standardized by the FIDO Alliance and central to passwordless authentication. It prevents phishing and credential theft because the private key never leaves your device. The model aligns with NIST SP 800-63B-4 guidelines and GDPR privacy requirements.

In practice, most organizations run mixed environments — some services already support passkeys, others won't for years. A structured approach to credential management covers both.

This guide covers everything: how passkeys work technically, the difference between synced and device-bound passkeys, how to set them up on iPhone, Android, and Windows, and what the latest 2025–2026 data says about real-world performance.

Key takeaways

• Passkeys use public-key cryptography: the private key stays on your device; the server only stores the public key.
• Passkeys are phishing-resistant by design — a fake website cannot request your passkey signature.
• Passkey sign-ins achieve a 93% success rate, compared to 63% for other authentication methods (FIDO Alliance Passkey Index, October 2025).
• If you lose your device, synced passkeys are recoverable via iCloud Keychain or Google account recovery.
• As of end 2024, 15+ billion accounts support passkeys, and adoption doubled over the course of that year (FIDO Alliance, December 2024).

What is a passkey?

A passkey is a cryptographic key pair stored on your device. The FIDO Alliance — the industry consortium behind the standard — defines passkeys as credentials that "replace passwords with cryptographic key pairs for phishing-resistant sign-in security and an improved user experience."

Passkeys implement the FIDO2 standard, with WebAuthn handling browser-device communication. When you create a passkey, your device generates two mathematically linked keys: one stays on your device (private), one goes to the website (public).

To log in, you prove you hold the private key by solving a cryptographic challenge — using your face, fingerprint, or PIN. The website verifies your answer using the public key it already has.

The private key never leaves your device. The server never sees it. There's nothing on the server side worth stealing.

Passkeys in simple terms

A passkey is something you have (your device) plus something you are (your fingerprint or face). Your phone generates the passkey, and you unlock it with biometrics. 

The service never sees your fingerprint or face, only that you unlocked the key. Think of it like a hotel key card: you have the card, and the door unlocks when you tap it. No code to remember, nothing to type, nothing to steal remotely.

The problem with traditional passwords

Passwords have a fundamental flaw: they're secrets that must be shared. Every time you type one, it travels across networks and sits on servers. The 2025 Verizon DBIR found over 53% of data breaches involve stolen or brute-forced credentials.

Users compound the problem. Password reuse is rampant, a breach at one service cascades into compromised accounts everywhere. Phishing exploits this further: fake login pages trick users into typing credentials, handing attackers direct access. Add password fatigue, and you get sticky notes or "Company2024" variants.

Common password problems:

• Reuse — one breach unlocks multiple accounts.
• Weak passwords — "123456" still dominates.
• Phishing vulnerability — fake sites capture typed credentials.
• Server-side exposure — leaked databases get cracked.
• Memory burden — users reset, write down, or simplify.

With passkeys, there's no password to remember, no password to steal, and no server database to breach.

How passkeys actually work

Passkeys use public-key cryptography instead of shared secrets. Think of it like a physical mailbox: the public key is the slot anyone can drop a message through, and the private key is the key that opens the box. Only the person with the private key can read what's inside.

When you log in with a passkey, the service or website sends a challenge — a unique, random string of data. Your device uses the private key to sign that challenge mathematically. The website then checks the signature against the public key it stored during registration. If the signature is valid, you're in.

The FIDO Alliance standardizes this through FIDO2. WebAuthn handles browser-device communication. NIST recognizes this model as phishing-resistant.

Step by step:

1. Device creates key pair
2. Private key stays on device
3. Public key sent to service
4. Service sends challenge
5. You approve with biometrics
6. Device signs challenge
7. Service validates signature
8. You're logged in

Step 1. The registration process

The process of creating a passkey is called the registration ceremony in the WebAuthn specification — the W3C web API that implements FIDO2 in browsers.

Here's what happens:

1. You visit a website and choose to create a passkey.
2. The website sends a registration request to your browser via the WebAuthn API.
3. Your browser prompts you to verify your identity — Face ID, fingerprint, or PIN.
4. Your device generates a unique public/private key pair specifically for this website.
5. The public key is sent to the website's server and stored. The private key is saved in your device's secure hardware — the Secure Enclave on Apple devices, or the TPM (Trusted Platform Module) chip on Windows.

Apple, Google, and Microsoft each implement this through platform-specific APIs (iCloud Keychain, Google Password Manager, Windows Hello), but all follow FIDO2 and WebAuthn standards. Your biometric data never leaves your device, only the cryptographic proof that you authorized key creation.

Step 2. The authentication process

Signing in with a passkey — the authentication ceremony — is equally straightforward:

1. You visit the website and click "Sign in with passkey."
2. The website sends a unique, random challenge to your browser.
3. Your browser prompts you to verify your identity (biometrics or PIN).
4. Your device uses the private key to cryptographically sign the challenge.
5. The signed challenge goes back to the server. The server verifies the signature using the stored public key. If it matches, access is granted.

WebAuthn standardizes this flow across browsers and platforms. The private key never leaves your device, and the challenge-response mechanism prevents replay attacks.

The challenge is unique every time. Even if an attacker intercepts the signed response, they can't reuse it — it's mathematically bound to that single session.

Cross-device authentication: QR codes and Bluetooth

Here's a scenario that confuses many users: you're on a Windows laptop, but your passkey is stored on your iPhone. What happens?

The browser displays a QR code. You scan it with your phone. The phone and laptop then establish a short-range Bluetooth connection to verify physical proximity — this is the hybrid transport mechanism defined in the FIDO2 CTAP2 protocol.

The Bluetooth proximity check is the critical security step. It prevents a remote attacker from using the QR code from a different location. Your phone performs the biometric verification locally, then sends the signed challenge back to the laptop through the secure Bluetooth channel.

Bluetooth isn't transmitting your passkey. It's confirming that your phone is physically next to the computer — which is what makes cross-device authentication phishing-resistant even when using a second device.

Passkeys vs. passwords: Key differences

A password is a secret string of characters you create and submit to a server to verify your identity. Passwords have a fundamental structural flaw: they're shared secrets. The website stores your password (or a hash of it), which means a server breach exposes it. Passkeys are cryptographic proofs, your device holds the private key; services hold only useless public keys.

Cloudflare's March 2025 data found that approximately 41% of successful human authentication attempts involve leaked credentials. That number reflects years of password reuse across breached databases.

Types of passkeys: Synced vs. device-bound

Not all passkeys are the same. The distinction between synced and device-bound passkeys matters for both security and compliance — and most guides skip it entirely.

Synced passkeys (multi-device FIDO credentials)

Synced passkeys are stored in a cloud-based credential manager and automatically synchronize across all devices in your ecosystem. Create a passkey on your iPhone, and it's immediately available on your iPad and Mac.

These passkeys are end-to-end encrypted. The cloud provider cannot read them. As of NIST SP 800-63B-4 (published 2025), synced passkeys qualify as AAL2 (Authentication Assurance Level 2) authenticators — appropriate for most consumer and enterprise use cases.

Best for: General consumers, most enterprise applications, services where cross-device convenience matters.

Device-bound passkeys

Device-bound passkeys are stored on a specific piece of hardware — a hardware security key such as a YubiKey, or the TPM chip in a Windows device — and cannot be copied or synchronized. They exist only on that one device.

Under NIST SP 800-63B-4, device-bound passkeys qualify as AAL3 — the highest authentication assurance level, required for government systems, financial institutions, and high-security enterprise environments.

Best for: Privileged access management, regulated industries, government systems.

Are passkeys secure?

Yes. Passkeys are significantly more secure than passwords. Passkeys eliminate entire categories of attacks by design. They're phishing-resistant by design and immune to credential stuffing. The private key never leaves the user's device.

This architecture, built on public-key cryptography, also neutralizes server breaches. Services store only public keys, useless to attackers. Even if a database leaks, credentials remain safe.

The 2025 Verizon DBIR shows credential theft driving 88% of web application breaches. Passkeys make that vector irrelevant. NIST SP 800-63B classifies this model as phishing-resistant, the highest authentication assurance level.

Security benefits:

• Phishing impossible — cryptographically bound to specific sites
• No credential theft — private keys never leave devices
• Server breaches neutralized — public keys only, useless to attackers
• No replay attacks — challenge-response prevents reuse
• Biometric binding — local verification, biometrics never transmitted

Secure by design

Passkeys build security into the architecture, not user behavior. With public-key cryptography, the private key never leaves your device. It stays in secure hardware (TPM, Secure Enclave) inaccessible even if your device is compromised. The service stores only the public key, useless to attackers.

This structural separation changes everything. When servers get breached, attackers find nothing useful.

WebAuthn adds another layer: site binding. During registration, the passkey binds cryptographically to the domain. If a phishing site tries to use the passkey, authentication fails; the cryptographic signature won't match the wrong domain. NIST SP 800-63B recognizes this as verifier impersonation resistance, the highest assurance level.

Security becomes automatic. You can't be tricked into typing credentials that don't exist. You can't reuse passwords across sites. You can't fall for fake login pages. The cryptography simply won't cooperate.

Why passkeys are phishing-resistant

Passkeys are cryptographically bound to the specific domain where they were created — for example, google.com. When your browser signs the server's challenge, it includes the domain name in the signed data. If you land on a fake site (g00gle.com), the passkey for google.com simply won't work — the domain doesn't match. There's no password to trick you into typing on a fake page.

This is a property that SMS-based 2FA and even TOTP codes can't offer. Those can be intercepted in real-time phishing attacks. A passkey can't be.

Can passkeys be stolen or hacked?

The private key lives in the device's Secure Enclave (Apple) or TPM (Windows) — hardware-isolated chips designed to be tamper-resistant. Even if malware infects the device, it can't extract the private key from the Secure Enclave. An attacker would also need to pass biometric verification to use the passkey.

Private by design

Passkeys protect privacy as fundamentally as security. Your fingerprint or face scan never leaves your device. Biometric authentication happens locally. The service never sees your biometric data, only that you unlocked the key.

Public-key cryptography also prevents tracking. Each service gets a different public key. Unlike passwords (same credential everywhere) or cookies, passkeys can't link your activity across sites. Google can't see what you do on Microsoft.

This aligns with GDPR principles: minimal data collection, local processing, user control. NIST guidelines similarly emphasize privacy-preserving authentication. With passkeys, you prove who you are without revealing who you are.

What happens if you lose your device?

This is the question that stops most people from switching. Here's the full picture:

• Synced passkeys — iCloud Keychain: Your passkeys are backed up in iCloud Keychain, which is end-to-end encrypted. Apple confirms that Apple itself cannot read your passkeys. Set up a new iPhone, sign in to your Apple ID, and your passkeys restore automatically. Apple's iCloud Keychain escrow system enforces a 10-attempt limit — after 10 failed recovery attempts, the record is permanently destroyed. Two-factor authentication is required on the Apple ID.
• Synced passkeys — Google Password Manager: Sign in to your Google account on a new Android device and your passkeys restore automatically.
• Device-bound passkeys: If you lose a hardware security key, you need a backup. Best practice is to register two hardware keys for every account — keep one as a backup in a secure location.
• Account recovery contacts: Apple, Google, and Microsoft all support recovery contacts and recovery codes. Set these up before you need them.

The real-world benefits of passkeys: 2025–2026 data

The FIDO Alliance Passkey Index (October 2025) aggregates performance data from Amazon, Google, Microsoft, PayPal, TikTok, and five other major platforms. The numbers are striking.

Passkey sign-ins achieve a 93% success rate, compared to just 63% for other authentication methods — a 30-percentage-point gap. In terms of speed, passkeys take an average of 8.5 seconds per sign-in, compared to 31.2 seconds for traditional MFA — a 73% reduction in login time. Organizations report up to an 81% reduction in sign-in-related help desk incidents, primarily password reset requests.

Real-world case studies from the Authenticate 2025 conference reinforce these figures. Roblox achieved a 15% reduction in account takeovers after implementing passkeys in its sign-up flow (Corbado, 2025). TikTok reported a 97% passkey authentication success rate. VicRoads in Australia rolled out passkeys to 5 million users using a phased, data-driven approach.

Consumer adoption is accelerating too. The FIDO Alliance World Passkey Day Consumer Survey (April 2025) found that 69% of consumers have enabled passkeys on at least one account, and 74% are aware of passkeys. The same survey found that 47% of consumers will abandon a purchase if they forget their password — a conversion problem that passkeys eliminate.

Limitations and drawbacks of passkeys

Passkeys solve fundamental security problems but aren't frictionless yet. Cross-device sync is the biggest friction point. Apple syncs through iCloud Keychain, Google through Password Manager, Microsoft through Windows Hello, and these ecosystems don't talk. iPhone-to-Windows needs clunky QR codes.

Account recovery gets trickier. Lose your phone without backups, and you could lock yourself out. Platform providers offer recovery options, but users must enable them proactively.

Legacy system support remains incomplete. Many internal apps, VPNs, and older sites don't accept passkeys. Passwords aren't disappearing overnight.

Current limitations

• The weakest-link problem. Most websites that support passkeys still allow password login as a fallback. This means the account's security is only as strong as the weakest authentication method available. An attacker who can trigger the "forgot password" flow can still bypass the passkey entirely. Until services remove the password fallback, passkeys add a stronger option — they don't eliminate the password attack surface.
• Cross-ecosystem friction. Passkeys stored in iCloud Keychain aren't automatically available on Android, and vice versa. A user switching from iPhone to Android must re-enroll passkeys on the new platform. Password managers solve this by storing passkeys in a platform-agnostic vault, making them the better choice for users who work across multiple ecosystems.
• The bootstrapping paradox. To use a passkey, you need a passkey-capable device. Setting up a new device from scratch still requires another way to authenticate first — typically a password or a recovery code. For enterprise IT teams managing large-scale rollouts, this creates a chicken-and-egg problem: you can't fully eliminate passwords until every user has enrolled a passkey, but enrollment requires the old credentials.
• Limited adoption. As of early 2026, 48% of the top 100 websites support passkeys. The majority of the internet still requires passwords. Passkeys and passwords will coexist for years — which means password management remains a real operational need during the transition.

Platform credential managers — iCloud Keychain, Google Password Manager, Windows Hello — are designed for individual users, not organizations. They don't offer shared vaults, role-based access controls, or audit logs. When an employee leaves, there's no centralized way to revoke their passkeys or rotate shared credentials.

For IT teams managing dozens of systems, that's an operational gap, not a minor inconvenience. Managing that coexistence — passkeys where supported, strong passwords where not — is exactly what Passwork is built for. Structured vaults, granular access controls, and full audit trails keep legacy credentials secure while your team rolls out passkeys at its own pace.

Why organizations still need a password manager

Passkeys solve the authentication problem for supported services. They don't solve the credential management problem for everything else.

Consider what a typical enterprise environment actually contains: dozens of internal tools that won't support passkeys for years, shared service accounts that can't be tied to a single device, API keys and SSH credentials that have no passkey equivalent, and legacy systems where the authentication model is fixed. None of that disappears when you roll out passkeys for Microsoft 365 and Google Workspace.

A corporate password manager handles what passkeys can't:

• Shared credentials — service accounts, admin logins, and team passwords need controlled access with clear ownership. Platform keychains are personal by design; they have no concept of shared vaults or role-based permissions.
• Non-human identities — API keys, SSH keys, database credentials, and CI/CD secrets don't map to a user's biometric. They need a secure home with access controls and rotation policies.
• Legacy systems — internal tools, on-premise applications, and older SaaS products will keep requiring passwords for years. Those credentials need the same security discipline as everything else.
• Offboarding — when an employee leaves, IT needs to revoke access and rotate shared credentials immediately. There's no centralized way to do that across iCloud Keychains or Google accounts.
• Audit trails — SOC 2, ISO 27001, and similar frameworks require evidence of who accessed what and when. Platform credential managers don't produce that log.
• Cross-platform environments — organizations running Windows, macOS, Android, and Linux simultaneously can't rely on any single platform's native sync. A vendor-neutral vault covers the full stack.

The two tools address different layers of the same problem. Passkeys handle user authentication where the standard is supported. A password manager covers the rest — and keeps the whole credential surface auditable.

Which services and platforms currently support passkeys?

All major platforms now support passkeys, though implementation details vary.

Apple stores passkeys in iCloud Keychain, syncing end-to-end encrypted across iPhones, iPads, and Macs. Users can sign in with Face ID or Touch ID, and use their iPhone as an authenticator for non-Apple devices via QR code.

Google integrates passkeys through Google Password Manager on Android and Chrome. Passkeys sync across devices signed into the same Google account, protected by a dedicated PIN or biometric unlock.

Microsoft supports passkeys through Windows Hello, Microsoft Authenticator, and Entra ID. Windows 10/11 devices use biometrics or PIN; the Authenticator app stores device-bound passkeys for enterprise accounts, with optional cloud sync for personal accounts.

The FIDO Alliance certifies implementations, ensuring cross-platform interoperability. Most modern browsers (Chrome, Safari, Edge, Firefox) support WebAuthn, making passkeys usable across operating systems.

Devices and browsers that support passkeys

Passkeys work across modern platforms, but version requirements matter. Here is the current compatibility landscape based on our testing across device combinations.

Key findings from testing:

• Apple's ecosystem syncs seamlessly across Apple devices but needs QR codes for non-Apple hardware.
• Android passkeys sync through Google accounts but need device unlock for access.
• Windows Hello offers device-bound passkeys; cloud sync is still rolling out for personal accounts.
• Cross-platform flows work but feel less polished than within-ecosystem sync.

WebAuthn enables this cross-platform compatibility, browsers implement the standard, so passkeys work across operating systems despite different sync backends.

How to start using passkeys today

Getting started with passkeys takes five minutes. Here is the practical flow based on setting them up across devices.

Apple ecosystem (iPhone, iPad, Mac)

Passkeys on Apple devices are stored in iCloud Keychain and sync automatically across all Apple devices signed in to the same Apple ID. Two-factor authentication must be enabled on the Apple ID.

1. Visit a supported website and go to account settings or the sign-up page.
2. Look for a "Create a passkey" or "Add a passkey" option.
3. Tap the option. The browser prompts you to use Face ID, Touch ID, or your device passcode.
4. Authenticate with your biometric. The passkey saves to iCloud Keychain automatically.
5. On future logins, tap "Sign in with passkey" and authenticate with Face ID or Touch ID.

Android (Google Password Manager)

Passkeys on Android are stored in Google Password Manager and sync across Android devices signed in to the same Google account. When a website offers to create a passkey, Android prompts you to save it to Google Password Manager. Authenticate with fingerprint, face recognition, or your screen lock PIN.

Windows (Windows Hello / Microsoft Authenticator)

On Windows 11, passkeys can be stored in Windows Hello — using the device's TPM chip — or in the Microsoft Authenticator app. Windows Hello passkeys are device-bound by default, which means they qualify as AAL3 under NIST SP 800-63B-4.

When a website offers to create a passkey, Windows prompts you to save it with Windows Hello. Authenticate with your Windows Hello PIN, fingerprint, or face recognition.

Password manager

For organizations managing credentials at scale, a corporate password manager like Passwork provides the infrastructure to handle both legacy passwords and the transition to passkeys — keeping credentials secure and auditable throughout the migration.

Tips from testing:

• Start with services you use daily but aren't business-critical.
• Keep one device as backup before removing passwords.
• Test recovery before you need it.
• Enterprise users should verify compatibility with existing SSO.

Which websites and apps support passkeys?

As of early 2026, major platforms supporting passkeys include: Google, Apple ID, Microsoft, Amazon, PayPal, GitHub, Shopify, Adobe, Uber, TikTok, eBay, Roblox, Coinbase, Best Buy, and many others.

The community-maintained directory at passkeys.directory provides a current, searchable list of every website and app that supports passkeys.

Conclusion

Passwords aren't going away this year. But the direction is clear: 15+ billion accounts already support passkeys, 87% of enterprises are deploying them, and the authentication success rate gap — 93% vs. 63% — makes the case better than any marketing claim could.

Passkeys are available now, on devices people already own, for services they already use. The technology is mature. The standards are settled. The remaining friction is adoption, not capability.

The transition from passwords to passkeys will take years, not months. During that period, most organizations will run hybrid environments: passkeys for some services, passwords for others, service accounts that don't fit either model. The security posture of the whole depends on how well you manage the parts that haven't moved yet.

Passwork is built for this period — structured vaults, access controls, and audit trails that keep legacy credentials under control while passkey enrollment scales across your team.

The shift from passwords to passkeys is a process, not a switch. The organizations that manage it deliberately will arrive at a meaningfully stronger security posture — with less friction for users and fewer incidents for IT teams.

Frequently Asked Questions

Social engineering vs. phishing attacks: Key differences & defense strategies | expert guide

Phishing is social engineering — but social engineering is much more than phishing. Learn the difference, see how AI is reshaping both threats, and build defenses that cover the full attack surface.

Passwork BlogAlex Muntyan

What is Privileged Access Management? A Complete Guide

Privileged accounts are the highest-value targets for attackers. One compromised admin credential gives full control over infrastructure, data, and applications. PAM addresses this through credential vaulting, session monitoring, and least privilege enforcement. Here’s how it works in practice.

Passwork BlogAlex Muntyan

Enterprise Password Management Best Practices: The 2026 Security Guide

If your password policy still mandates 90-day rotations and eight-character minimums, it’s out of date. This guide covers enterprise password management best practices for 2026: policy, privileged accounts, non-human identities, MFA, and compliance.

Passwork BlogAlex Muntyan

La seguridad de las contraseñas constituye su primera línea de defensa contra las ciberamenazas. Un enfoque integral combina la creación de contraseñas robustas, el almacenamiento cifrado mediante gestores de contraseñas y la autenticación multifactor para contrarrestar ataques cada vez más sofisticados dirigidos a su identidad digital.

El verdadero coste de las contraseñas débiles

Las filtraciones de datos cuestan a las organizaciones un promedio de 4,35 millones de dólares por incidente, según el Informe de Costes de Filtraciones de Datos de IBM. Según el Informe DBIR 2025 de Verizon, las credenciales comprometidas son la causa principal de los incidentes de seguridad: el 22% de las brechas relacionadas con hackeos aprovechan contraseñas robadas o débiles.

Más allá de las pérdidas financieras, las organizaciones enfrentan sanciones regulatorias, interrupciones operativas y daños reputacionales. El robo de identidad afecta a millones de personas anualmente, con atacantes explotando contraseñas débiles para acceder a sistemas bancarios, registros sanitarios y redes corporativas. Los efectos en cascada se extienden mucho más allá de la brecha inicial: la confianza del cliente se erosiona, las responsabilidades legales se acumulan y los esfuerzos de recuperación consumen meses de recursos.

Las empresas luchan diariamente con incidentes de seguridad relacionados con contraseñas, donde las debilidades básicas de credenciales provocan interrupciones significativas del negocio. La arquitectura de cifrado Zero-knowledge de Passwork y la documentación transparente de criptografía ayudan a las organizaciones a comprender exactamente cómo se protegen sus contraseñas, eliminando las conjeturas que a menudo conducen a compromisos de seguridad.

Vulnerabilidades comunes de contraseñas y métodos de ataque

El credential stuffing explota la reutilización de contraseñas en múltiples cuentas. Los atacantes obtienen credenciales de una filtración y las prueban sistemáticamente contra otros servicios, teniendo éxito cuando los usuarios reciclan contraseñas. Los ataques de diccionario prueban rápidamente contraseñas comunes y patrones predecibles contra cuentas objetivo.

El phishing sigue siendo devastadoramente efectivo. Los hackers elaboran correos electrónicos convincentes que engañan a los usuarios para que revelen sus credenciales directamente. Los ataques de fuerza bruta prueban combinaciones de caracteres, con contraseñas débiles cayendo en minutos. Las herramientas de descifrado de contraseñas aprovechan el procesamiento GPU para probar miles de millones de combinaciones por segundo.

Las vulnerabilidades más explotadas provienen del comportamiento humano: usar «password123» o «qwerty», incorporar información personal fácilmente descubrible como fechas de cumpleaños, y reutilizar la misma contraseña durante años. Have I Been Pwned documenta más de 12.000 millones de cuentas comprometidas, demostrando la escala de exposición de credenciales. Los verificadores de contraseñas revelan que la mayoría de las contraseñas creadas por usuarios se descifrarían en menos de una hora usando herramientas estándar.

Creación de contraseñas seguras y estrategias de gestión

La fortaleza de una contraseña depende fundamentalmente de la longitud más que de la complejidad. Las directrices NIST recomiendan un mínimo de 12 caracteres, con cada carácter adicional aumentando exponencialmente el tiempo de descifrado. Una frase de contraseña de 16 caracteres como «correct-horse-battery-staple» proporciona una seguridad superior en comparación con «P@ssw0rd!» mientras resulta más fácil de recordar.

Combinar mayúsculas, minúsculas, números y símbolos crea complejidad, pero una frase de 20 caracteres de palabras aleatorias derrota a los atacantes más efectivamente que una mezcla de 8 caracteres con caracteres especiales. Las matemáticas de la entropía de contraseñas favorecen claramente la longitud.

Las frases de contraseña más largas proporcionan mejor seguridad que las combinaciones complejas de caracteres. El generador de contraseñas integrado de Passwork sigue las directrices NIST, mientras que su capacidad dual combina gestión de contraseñas de nivel empresarial con gestión de secretos para equipos DevOps — algo que la mayoría de los gestores de contraseñas tradicionales no pueden ofrecer. Obtenga más información sobre las opciones de implementación empresarial de Passwork.

El almacenamiento seguro se vuelve esencial cuando se gestionan docenas de contraseñas únicas. Escribir contraseñas en papel crea riesgos de seguridad física. Almacenarlas en documentos sin cifrar o en el almacenamiento del navegador expone las credenciales al malware. Los gestores de contraseñas resuelven este problema proporcionando bóvedas cifradas protegidas por una única contraseña maestra. Esto permite crear y mantener contraseñas únicas y complejas para cada cuenta sin necesidad de recordarlas todas.

Guía de selección y configuración de gestores de contraseñas

La gestión empresarial de contraseñas requiere evaluar modelos de implementación, arquitectura de seguridad y capacidades operativas. 1Password enfatiza las funciones de compartición empresarial y la accesibilidad multiplataforma. KeePass proporciona flexibilidad de código abierto con control de base de datos local. LastPass ofrece la comodidad de la nube pero ha enfrentado incidentes de seguridad que plantean preocupaciones sobre la implementación.

Tabla comparativa de características de gestores de contraseñas:

Mientras que 1Password ofrece sólidas funciones empresariales y KeePass proporciona flexibilidad de código abierto, las empresas necesitan tanto gestión de contraseñas como gestión de secretos en una sola plataforma. La infraestructura moderna incluye no solo contraseñas humanas, sino también claves API, tokens y certificados. Passwork proporciona implementación on-premises, mientras que Bitwarden está basado en la nube. Para las empresas, la relación coste-eficiencia sin funciones innecesarias es importante.

La configuración comienza con la creación de la contraseña maestra. Esta única credencial protege toda su bóveda, requiriendo máxima fortaleza: un mínimo de 16 caracteres combinando palabras aleatorias o una frase memorable con complejidad añadida. Active el cifrado en reposo y verifique que el gestor de contraseñas utilice cifrado AES-256 o estándares equivalentes.

La migración requiere un enfoque sistemático: inventariar las credenciales existentes, priorizar las cuentas críticas y transferir gradualmente las contraseñas mientras se actualizan las credenciales débiles. Configure las extensiones del navegador para la comodidad del autocompletado, pero verifique que requieran autenticación antes de rellenar las credenciales. Establezca procedimientos de copia de seguridad para los datos cifrados de la bóveda, asegurando opciones de recuperación si se pierde el acceso a la contraseña maestra.

Autenticación multifactor y seguridad futura

La autenticación multifactor (MFA) transforma la seguridad de contraseñas de un punto único de fallo a una defensa por capas. Incluso cuando los atacantes obtienen contraseñas mediante phishing o filtraciones, MFA bloquea el acceso no autorizado al requerir verificación adicional. Esta capa de defensa secundaria reduce el riesgo de compromiso de cuentas en un 99,9%, según la investigación de seguridad de Microsoft.

MFA combina algo que usted sabe (contraseña), algo que usted tiene (teléfono o llave de seguridad), y algo que usted es (datos biométricos). Este enfoque garantiza que el robo de credenciales por sí solo resulte insuficiente para el acceso a la cuenta. Las organizaciones que implementan MFA en sistemas críticos reducen drásticamente los intentos exitosos de brecha, ya que los atacantes raramente poseen múltiples factores de autenticación.

El panorama de la autenticación evoluciona hacia sistemas sin contraseña. La biometría aprovecha huellas dactilares, reconocimiento facial o patrones de comportamiento para la verificación. Las passkeys, construidas sobre estándares WebAuthn, permiten la autenticación criptográfica sin contraseñas tradicionales. Estas tecnologías prometen mayor seguridad mientras reducen la fricción del usuario.

Passwork se integra perfectamente con los sistemas MFA existentes a través de conexiones SSO y LDAP, asegurando que se convierta en parte de su infraestructura de seguridad existente en lugar de crear otro silo de autenticación. Este enfoque de integración reduce la fricción del usuario mientras mantiene los beneficios de seguridad de la autenticación multicapa.

Métodos MFA y tecnologías emergentes de autenticación

Las aplicaciones de autenticación como Google Authenticator o Microsoft Authenticator generan códigos basados en tiempo, proporcionando una seguridad sólida sin las vulnerabilidades de los SMS. Las llaves de seguridad de hardware ofrecen máxima protección contra el phishing mediante protocolos criptográficos de desafío-respuesta. Los códigos basados en SMS siguen siendo comunes pero enfrentan riesgos de interceptación mediante ataques de SIM swapping.

La autenticación biométrica ofrece comodidad y seguridad cuando se implementa correctamente. Los sensores de huellas dactilares y los sistemas de reconocimiento facial verifican la identidad sin requisitos de memorización. Sin embargo, los datos biométricos no pueden cambiarse si se comprometen, requiriendo una implementación cuidadosa con opciones alternativas.

Las passkeys representan el futuro de la autenticación. WebAuthn habilita la criptografía de clave pública donde las claves privadas nunca abandonan su dispositivo. Las passkeys previenen el phishing utilizando verificación criptográfica en lugar de secretos compartidos para la autenticación. Las principales plataformas ahora soportan la implementación de passkeys, con una adopción acelerándose en entornos de consumidor y empresariales. El hardware biométrico funciona perfectamente con WebAuthn, combinando la seguridad de las claves criptográficas con la comodidad de la verificación por huella dactilar o facial.

Conclusión

La seguridad efectiva de contraseñas equilibra la protección con la usabilidad. Implemente contraseñas únicas y largas para cada cuenta. Almacene las credenciales en gestores de contraseñas cifrados en lugar de en la memoria o documentos inseguros. Active la autenticación multifactor en sistemas críticos. Monitorice la exposición de credenciales a través de servicios de notificación de filtraciones.

Passwork está diseñado para ser tanto seguro a nivel empresarial como genuinamente usable: el mejor sistema de seguridad es aquel que las personas realmente utilizan de manera consistente.

Preguntas frecuentes

Caso de estudio: Ciudad de Melle y Passwork

Passwork ha mejorado la seguridad interna en la Ciudad de Melle creando un sistema fiable para la gestión de contraseñas.

Passwork BlogAna Moore

Passwork gana el premio al Mejor Soporte al Cliente 2026 de Software Advice

Nos complace compartir que el soporte al cliente de Passwork ha sido reconocido como el mejor en la categoría de Gestores de Contraseñas por Software Advice.

Passwork BlogMike Shikun

Guía del Estándar de Cifrado Avanzado (AES)

Descubra cómo funciona el cifrado AES, por qué es el estándar para la seguridad de datos, y cómo AES-256 protege todo, desde contraseñas hasta datos TOP SECRET.

Passwork BlogEirik Salmi

Passwortsicherheit bildet Ihre erste Verteidigungslinie gegen Cyberbedrohungen. Ein umfassender Ansatz kombiniert die Erstellung starker Passwörter, verschlüsselte Speicherung durch Passwort-Manager und Multi-Faktor-Authentifizierung, um zunehmend ausgefeilten Angriffen auf Ihre digitale Identität entgegenzuwirken.

Die wahren Kosten schwacher Passwörter

Datenschutzverletzungen kosten Organisationen durchschnittlich 4,35 Millionen US-Dollar pro Vorfall, laut IBMs Cost of Data Breach Report. Laut dem Verizon DBIR 2025 Report sind kompromittierte Anmeldedaten die häufigste Ursache für Sicherheitsvorfälle: 22 % der Hacking-bezogenen Sicherheitsverletzungen nutzen gestohlene oder schwache Passwörter aus.

Neben finanziellen Verlusten drohen Organisationen regulatorische Strafen, Betriebsunterbrechungen und Reputationsschäden. Identitätsdiebstahl betrifft jährlich Millionen von Menschen, wobei Angreifer schwache Passwörter ausnutzen, um auf Bankensysteme, Gesundheitsdaten und Unternehmensnetzwerke zuzugreifen. Die Kaskadeneffekte reichen weit über die ursprüngliche Sicherheitsverletzung hinaus — das Kundenvertrauen schwindet, rechtliche Haftungen häufen sich und Wiederherstellungsmaßnahmen beanspruchen monatelange Ressourcen.

Unternehmen kämpfen täglich mit passwortbezogenen Sicherheitsvorfällen, bei denen grundlegende Schwachstellen bei Anmeldedaten zu erheblichen Geschäftsunterbrechungen führen. Die Zero-Knowledge-Verschlüsselungsarchitektur und transparente Kryptographie-Dokumentation von Passwork helfen Organisationen, genau zu verstehen, wie ihre Passwörter geschützt werden, und eliminieren das Rätselraten, das oft zu Sicherheitskompromissen führt.

Häufige Passwortschwachstellen und Angriffsmethoden

Credential Stuffing nutzt die Wiederverwendung von Passwörtern über mehrere Konten hinweg aus. Angreifer erhalten Anmeldedaten aus einer Sicherheitsverletzung und testen sie systematisch bei anderen Diensten — mit Erfolg, wenn Benutzer Passwörter wiederverwenden. Wörterbuchangriffe testen schnell häufige Passwörter und vorhersagbare Muster gegen Zielkonten.

Phishing bleibt verheerend effektiv. Hacker erstellen überzeugende E-Mails, die Benutzer dazu verleiten, ihre Anmeldedaten direkt preiszugeben. Brute-Force-Angriffe testen Zeichenkombinationen, wobei schwache Passwörter innerhalb von Minuten geknackt werden. Passwort-Cracking-Tools nutzen GPU-Verarbeitung, um Milliarden von Kombinationen pro Sekunde zu testen.

Die am häufigsten ausgenutzten Schwachstellen resultieren aus menschlichem Verhalten: die Verwendung von „password123" oder „qwerty", die Einbeziehung leicht auffindbarer persönlicher Informationen wie Geburtstage und die jahrelange Wiederverwendung desselben Passworts. Have I Been Pwned dokumentiert über 12 Milliarden kompromittierte Konten und zeigt damit das Ausmaß der Exposition von Anmeldedaten. Passwortprüfer zeigen, dass die meisten von Benutzern erstellten Passwörter mit Standardtools in weniger als einer Stunde geknackt werden könnten.

Sichere Passwörter erstellen und Verwaltungsstrategien

Die Passwortstärke hängt grundlegend von der Länge ab, nicht von der Komplexität. NIST-Richtlinien empfehlen ein Minimum von 12 Zeichen, wobei jedes zusätzliche Zeichen die Knackzeit exponentiell erhöht. Eine 16-stellige Passphrase wie „correct-horse-battery-staple" bietet überlegene Sicherheit im Vergleich zu „P@ssw0rd!" und ist dabei leichter zu merken.

Die Kombination von Groß- und Kleinbuchstaben, Zahlen und Symbolen schafft Komplexität, aber eine 20-stellige Phrase aus zufälligen Wörtern besiegt Angreifer effektiver als ein 8-stelliges Durcheinander von Sonderzeichen. Die Mathematik der Passwort-Entropie begünstigt eindeutig die Länge.

Längere Passphrasen bieten bessere Sicherheit als komplexe Zeichenkombinationen. Der integrierte Passwortgenerator von Passwork folgt den NIST-Richtlinien, während die duale Fähigkeit Passwortverwaltung auf Enterprise-Niveau mit Secrets Management für DevOps-Teams kombiniert — etwas, das die meisten traditionellen Passwort-Manager nicht bieten können. Erfahren Sie mehr über die Enterprise-Bereitstellungsoptionen von Passwork.

Sichere Speicherung wird essenziell, wenn Dutzende einzigartiger Passwörter verwaltet werden müssen. Das Aufschreiben von Passwörtern auf Papier schafft physische Sicherheitsrisiken. Die Speicherung in unverschlüsselten Dokumenten oder im Browser-Speicher setzt Anmeldedaten Malware aus. Passwort-Manager lösen dieses Problem, indem sie verschlüsselte Tresore bereitstellen, die durch ein einziges Masterpasswort geschützt sind. Dies ermöglicht es Ihnen, einzigartige und komplexe Passwörter für jedes Ihrer Konten zu erstellen und zu pflegen, ohne sich alle merken zu müssen.

Auswahl und Einrichtung eines Passwort-Managers

Enterprise-Passwortverwaltung erfordert die Bewertung von Bereitstellungsmodellen, Sicherheitsarchitektur und operativen Fähigkeiten. 1Password betont Business-Sharing-Funktionen und plattformübergreifende Zugänglichkeit. KeePass bietet Open-Source-Flexibilität mit lokaler Datenbankkontrolle. LastPass bietet Cloud-Komfort, hat aber Sicherheitsvorfälle erlebt, die Bedenken hinsichtlich der Bereitstellung aufwerfen.

Vergleichstabelle der Passwort-Manager-Funktionen:

Während 1Password starke Business-Funktionen bietet und KeePass Open-Source-Flexibilität bereitstellt, benötigen Unternehmen sowohl Passwortverwaltung als auch Secrets Management in einer Plattform. Moderne Infrastruktur umfasst nicht nur menschliche Passwörter, sondern auch API-Schlüssel, Tokens und Zertifikate. Passwork bietet On-Premises-Bereitstellung, während Bitwarden cloudbasiert ist. Für Unternehmen ist Kosteneffizienz ohne Funktionsüberladung wichtig.

Die Einrichtung beginnt mit der Erstellung des Masterpassworts. Diese einzelne Anmeldeinformation schützt Ihren gesamten Tresor und erfordert maximale Stärke — mindestens 16 Zeichen, die zufällige Wörter oder eine einprägsame Phrase mit zusätzlicher Komplexität kombinieren. Aktivieren Sie die Verschlüsselung im Ruhezustand und überprüfen Sie, ob der Passwort-Manager AES-256 oder gleichwertige Verschlüsselungsstandards verwendet.

Die Migration erfordert einen systematischen Ansatz: Inventarisieren Sie vorhandene Anmeldedaten, priorisieren Sie kritische Konten und übertragen Sie Passwörter schrittweise, während Sie schwache Anmeldedaten aktualisieren. Konfigurieren Sie Browser-Erweiterungen für automatisches Ausfüllen, aber überprüfen Sie, dass diese eine Authentifizierung erfordern, bevor Anmeldedaten eingefügt werden. Richten Sie Backup-Verfahren für verschlüsselte Tresor-Daten ein, um Wiederherstellungsoptionen sicherzustellen, falls der Zugang zum Masterpasswort verloren geht.

Multi-Faktor-Authentifizierung und zukünftige Sicherheit

Multi-Faktor-Authentifizierung (MFA) verwandelt Passwortsicherheit von einem Single-Point-of-Failure in eine mehrschichtige Verteidigung. Selbst wenn Angreifer Passwörter durch Phishing oder Sicherheitsverletzungen erlangen, blockiert MFA unbefugten Zugriff, indem zusätzliche Verifizierung erforderlich ist. Diese sekundäre Verteidigungsschicht reduziert das Risiko einer Kontokompromittierung um 99,9 %, laut Microsoft-Sicherheitsforschung.

MFA kombiniert etwas, das Sie wissen (Passwort), etwas, das Sie haben (Telefon oder Sicherheitsschlüssel), und etwas, das Sie sind (biometrische Daten). Dieser Ansatz stellt sicher, dass Anmeldedatendiebstahl allein für den Kontozugriff nicht ausreicht. Organisationen, die MFA über kritische Systeme hinweg implementieren, reduzieren erfolgreiche Einbruchsversuche drastisch, da Angreifer selten mehrere Authentifizierungsfaktoren besitzen.

Die Authentifizierungslandschaft entwickelt sich in Richtung passwortloser Systeme. Biometrie nutzt Fingerabdrücke, Gesichtserkennung oder Verhaltensmuster zur Verifizierung. Passkeys, basierend auf WebAuthn-Standards, ermöglichen kryptographische Authentifizierung ohne traditionelle Passwörter. Diese Technologien versprechen verbesserte Sicherheit bei gleichzeitiger Reduzierung der Benutzerreibung.

Passwork integriert sich nahtlos in bestehende MFA-Systeme über SSO- und LDAP-Verbindungen und stellt sicher, dass es Teil Ihrer bestehenden Sicherheitsinfrastruktur wird, anstatt ein weiteres Authentifizierungssilo zu schaffen. Dieser Integrationsansatz reduziert die Benutzerreibung, während die Sicherheitsvorteile der mehrschichtigen Authentifizierung erhalten bleiben.

MFA-Methoden und aufkommende Authentifizierungstechnologien

Authenticator-Apps wie Google Authenticator oder Microsoft Authenticator generieren zeitbasierte Codes und bieten starke Sicherheit ohne SMS-Schwachstellen. Hardware-Sicherheitsschlüssel bieten maximalen Schutz gegen Phishing durch kryptographische Challenge-Response-Protokolle. SMS-basierte Codes bleiben verbreitet, sind aber durch SIM-Swapping-Angriffe anfällig für Abfangung.

Biometrische Authentifizierung bietet Komfort und Sicherheit bei ordnungsgemäßer Implementierung. Fingerabdrucksensoren und Gesichtserkennungssysteme verifizieren die Identität ohne Memorierungsanforderungen. Allerdings können biometrische Daten nicht geändert werden, wenn sie kompromittiert werden, was eine sorgfältige Implementierung mit Fallback-Optionen erfordert.

Passkeys repräsentieren die Zukunft der Authentifizierung. WebAuthn ermöglicht Public-Key-Kryptographie, bei der private Schlüssel Ihr Gerät niemals verlassen. Passkeys verhindern Phishing, indem sie kryptographische Verifizierung anstelle von geteilten Geheimnissen zur Authentifizierung verwenden. Große Plattformen unterstützen jetzt die Passkey-Implementierung, wobei die Akzeptanz sowohl in Verbraucher- als auch in Unternehmensumgebungen beschleunigt wird. Biometrische Hardware funktioniert nahtlos mit WebAuthn und kombiniert die Sicherheit kryptographischer Schlüssel mit dem Komfort der Fingerabdruck- oder Gesichtsverifizierung.

Fazit

Effektive Passwortsicherheit balanciert Schutz mit Benutzerfreundlichkeit. Implementieren Sie einzigartige, lange Passwörter für jedes Konto. Speichern Sie Anmeldedaten in verschlüsselten Passwort-Managern statt im Gedächtnis oder unsicheren Dokumenten. Aktivieren Sie Multi-Faktor-Authentifizierung auf kritischen Systemen. Überwachen Sie die Exposition von Anmeldedaten durch Breach-Benachrichtigungsdienste.

Passwork ist so konzipiert, dass es sowohl auf Enterprise-Niveau sicher als auch wirklich benutzerfreundlich ist — das beste Sicherheitssystem ist dasjenige, das Menschen tatsächlich konsequent nutzen.

Häufig gestellte Fragen

Fallstudie: Stadt Melle und Passwork

Passwork hat die interne Sicherheit der Stadt Melle verbessert, indem ein zuverlässiges System für die Passwortverwaltung geschaffen wurde.

Passwork BlogAna Moore

Passwork gewinnt Best Customer Support 2026 von Software Advice

Wir freuen uns mitzuteilen, dass der Kundensupport von Passwork in der Kategorie Passwort-Manager von Software Advice als bester ausgezeichnet wurde.

Passwork BlogMike Shikun

Leitfaden zum Advanced Encryption Standard (AES)

Erfahren Sie, wie AES-Verschlüsselung funktioniert, warum sie der Standard für Datensicherheit ist und wie AES-256 alles von Passwörtern bis zu TOP SECRET-Daten schützt.

Passwork BlogEirik Salmi

La mayoría de las filtraciones de datos comienzan de la misma manera: con credenciales débiles o mal gestionadas. Solo en ataques básicos a aplicaciones web, el informe DBIR 2025 de Verizon rastreó el 88% de los incidentes hasta contraseñas robadas. Para cualquier organización que maneje datos sensibles, la seguridad informática comienza con el control de credenciales. Y la seguridad de contraseñas ha pasado de ser una recomendación a convertirse en un requisito básico.

Un gestor de contraseñas aborda este riesgo. Para cada cuenta, genera, almacena y completa automáticamente credenciales únicas — todo protegido por una contraseña maestra. En lugar de hojas de cálculo, notas adhesivas y restablecimientos de contraseña repetidos, los equipos obtienen un proceso controlado y auditable en todo el flujo de trabajo.

Puntos principales:

• Una contraseña maestra reemplaza cientos de credenciales débiles y reutilizadas
• El cifrado AES-256 y la arquitectura de conocimiento cero mantienen su bóveda ilegible, incluso para el proveedor
• La configuración requiere planificación, pero la recompensa son menos tickets de soporte, mayor cumplimiento normativo y menor riesgo de filtraciones

Comprender los gestores de contraseñas

Un gestor de contraseñas funciona como una bóveda cifrada — una caja fuerte digital que almacena credenciales de inicio de sesión, notas seguras y otros datos sensibles. Cuando inicia sesión en algún lugar, el gestor recupera la contraseña correcta y completa el formulario automáticamente. Detrás de esa bóveda hay dos tecnologías: cifrado y arquitectura de conocimiento cero.

Cómo los gestores de contraseñas protegen su identidad digital

Antes de que los datos salgan de su dispositivo, el cifrado AES-256 (Estándar de Cifrado Avanzado con una clave de 256 bits) los convierte en texto cifrado ilegible. El mismo algoritmo es utilizado por gobiernos e instituciones financieras.

La arquitectura de conocimiento cero añade una segunda capa. Bajo este modelo, el proveedor no puede descifrar sus datos. Debido a que todas las operaciones criptográficas ocurren localmente, incluso el acceso completo al servidor solo revelaría bloques cifrados. Publicamos nuestra documentación de criptografía abiertamente para que los equipos puedan verificar exactamente cómo funciona.

Qué pueden y qué no pueden hacer los gestores de contraseñas

Un gestor de contraseñas es una capa de defensa confiable, aunque no cubre todas las amenazas por sí solo. Conocer sus limitaciones ayuda a planificar salvaguardas adicionales.

La autenticación multifactor (MFA) añade un segundo paso de verificación, como una contraseña de un solo uso basada en tiempo (TOTP), y aborda brechas que un gestor de contraseñas por sí solo no puede cubrir. Juntos, forman una defensa mucho más sólida.

Crear su contraseña maestra

Su contraseña maestra es la única credencial que desbloquea toda la bóveda — una débil socava todas las demás medidas de seguridad.

Publicado en agosto de 2025, NIST SP 800-63B-4 establece una longitud mínima de 15 caracteres para contraseñas utilizadas como autenticador de factor único. La misma revisión indica que los verificadores no deben imponer reglas de composición de contraseñas (por ejemplo, requerir letras mayúsculas, números o símbolos) y en su lugar deben comparar las contraseñas con listas de valores comúnmente usados o comprometidos. Una contraseña como "P@ssw0rd123" no pasaría dicha verificación.

En lugar de requisitos aleatorios de caracteres, el método de frase de contraseña funciona mejor: elija cuatro o cinco palabras no relacionadas y combínelas. Un generador de contraseñas puede producir combinaciones de palabras aleatorias, pero muchos usuarios prefieren la selección manual. "correct-horse-battery-staple" es un ejemplo clásico — alta entropía.

Creación de contraseña maestra paso a paso:

1. Elija 4-5 palabras aleatorias y no relacionadas (evite letras de canciones o citas famosas)
2. Añada un separador entre palabras (guiones, puntos o espacios)
3. Opcionalmente inserte un número o símbolo en una posición aleatoria — no al final
4. Pruebe: ¿puede escribirla de memoria tres veces seguidas?
5. Escríbala una vez, guarde ese papel en un lugar físicamente seguro, luego memorícela en una semana

Mejores prácticas para la contraseña maestra

Haga:

• Memorícela, nunca la almacene digitalmente en texto plano
• Mantenga una copia de seguridad física en un lugar seguro (un sobre sellado en una caja fuerte, por ejemplo)
• Practique escribirla regularmente durante la primera semana

No haga:

• Reutilizar su contraseña maestra para cualquier otra cuenta
• Compartirla con nadie, incluido el personal de TI
• Cambiarla en un horario fijo sin razón: según NIST SP 800-63B-4, las contraseñas solo deben cambiarse cuando existe evidencia de compromiso

Las opciones de recuperación son limitadas por diseño. Con una arquitectura de conocimiento cero, el proveedor no puede restablecer su contraseña maestra porque nunca tuvo acceso a ella.

Elegir el gestor de contraseñas adecuado para sus necesidades

Antes de comprometerse con cualquier software de gestión de contraseñas, defina lo que su organización realmente necesita. El modelo de implementación, los estándares de cifrado y la integración con la infraestructura existente deben ser factores en la decisión.

Cuando la flexibilidad de implementación y la arquitectura de seguridad importan, deben estar disponibles tanto las opciones locales como en la nube. Passwork admite ambos modelos, para que pueda elegir dónde residen sus datos. La plataforma cuenta con una interfaz fácil de usar que los equipos pueden adoptar rápidamente. Combina la gestión de contraseñas con la gestión de secretos de DevOps, claves API, tokens y certificados en un solo sistema.

Si está evaluando múltiples soluciones, vea cómo funcionamos en un escenario de implementación real. Obtenga un entorno de demostración y pruebe junto con otros gestores de contraseñas empresariales. No se requiere tarjeta de crédito.

Gestores de contraseñas basados en navegador vs. dedicados

Los gestores de contraseñas integrados en el navegador (como los de Chrome o Edge) son convenientes, pero carecen de funciones empresariales. Dentro de un único perfil de navegador, las credenciales permanecen aisladas — el uso compartido, el acceso basado en roles y el registro de auditoría están ausentes o limitados.

Con un gestor de contraseñas dedicado, el cifrado ocurre independientemente del navegador, junto con controles de acceso granulares y sincronización multiplataforma. El autocompletado y la captura de credenciales aún se ejecutan a través de una extensión del navegador, pero la bóveda se encuentra en un entorno más controlado.

Comenzar con su gestor de contraseñas

Con la contraseña maestra lista y la solución seleccionada, comienza la configuración. El proceso sigue un camino predecible.

1. Instale la aplicación principal: cliente de escritorio, interfaz web o instancia autoalojada
2. Cree su cuenta con la contraseña maestra que preparó
3. Habilite MFA inmediatamente antes de añadir cualquier credencial a la bóveda
4. Instale extensiones del navegador para Chrome, Firefox, Edge o Safari
5. Instale aplicaciones móviles para iOS y Android si necesita acceso remoto
6. Configure la estructura de la bóveda: cree bóvedas compartidas y personales por departamento, proyecto o nivel de acceso

Configurar extensiones del navegador y aplicaciones móviles

Después de instalar la extensión, ajuste algunos parámetros:

• Habilite el bloqueo automático después de inactividad — cinco minutos es un valor predeterminado razonable
• Active el bloqueo por PIN o biométrico para la aplicación móvil
• Confirme que la extensión se conecta a la URL correcta del servidor (requerido para implementaciones locales)
• Desactive el autocompletado en dispositivos públicos o compartidos

Una contraseña guardada en su portátil aparece en su teléfono en segundos a través de la sincronización multiplataforma. Todos los datos viajan cifrados, por lo que incluso un paquete de sincronización interceptado es inútil sin la contraseña maestra.

Configurar la autenticación de dos factores para su gestor de contraseñas

MFA añade un segundo bloqueo a su bóveda a través de un paso adicional de verificación de seguridad. Incluso si alguien descubre su contraseña maestra, el acceso aún requiere ese segundo factor.

Las aplicaciones de autenticación (Google Authenticator, Authy) generan códigos TOTP de seis dígitos que se actualizan cada 30 segundos. Durante la configuración, escanee el código QR, verifique el primer código y guarde los códigos de recuperación de respaldo en un lugar físicamente seguro. Sin esos códigos, perder su teléfono podría significar perder el acceso a la bóveda.

Importar y organizar sus contraseñas existentes

La migración desde navegadores, hojas de cálculo u otro gestor de contraseñas a su bóveda de almacenamiento de contraseñas generalmente comienza con una exportación CSV (valores separados por comas). La mayoría de los gestores aceptan este formato y mapean campos (URL, nombre de usuario, contraseña) automáticamente.

Antes de importar, audite lo que tiene. Cuentas antiguas, entradas duplicadas y credenciales reutilizadas en varios servicios necesitan atención. La etapa de importación es el momento ideal para reemplazar contraseñas débiles por otras generadas.

Las herramientas de administración permiten configurar estructuras de bóveda que reflejan la organización de su equipo. Con acceso basado en roles, el equipo de finanzas ve solo las credenciales de finanzas, mientras que los administradores de TI mantienen supervisión de todo. Esta combinación con un enfoque rentable le proporciona control de nivel empresarial sin pagar por funciones que no necesita.

Para equipos que implementan gestión de contraseñas por primera vez, configurar la estructura correcta desde el principio previene futuros problemas de acceso. Reserve una consulta para definir su modelo de acceso, enfoque de implementación y plan de despliegue.

Priorizar sus cuentas más críticas

No todas las cuentas conllevan el mismo riesgo. Comience la migración con las credenciales que causarían más daño si se vieran comprometidas:

1. Cuentas de correo electrónico principales (a menudo el método de recuperación para todo lo demás)
2. Servicios financieros y plataformas de pago
3. Infraestructura en la nube y paneles de administración
4. Herramientas de comunicación empresarial (Slack, Teams, servidores de correo)
5. Redes sociales y cuentas públicas

Según el Informe del Costo de una Filtración de Datos 2025 de IBM, el costo promedio global de una filtración alcanzó los 4,44 millones de dólares, y el tiempo promedio para identificar y contener un incidente fue de 241 días. La migración temprana de cuentas de alto valor reduce esa ventana de exposición.

Usar herramientas de salud de contraseñas y filtraciones de datos

Una vez que las credenciales están en la bóveda, ejecute un informe de salud de la bóveda de contraseñas — una verificación rutinaria de seguridad informática. El monitoreo integrado de filtraciones de datos escanea sus entradas contra bases de datos de filtraciones conocidas, mientras que la detección de contraseñas comprometidas marca credenciales reutilizadas o débiles. Aborde primero los hallazgos críticos, especialmente cualquier cuenta donde la misma contraseña proteja múltiples servicios.

Generar y gestionar contraseñas seguras

Para cada nueva cuenta o reemplazo de contraseña, use el generador de contraseñas integrado. Una configuración sólida para cuentas de alta seguridad: más de 20 caracteres, mayúsculas y minúsculas mezcladas, números y símbolos. Donde los servicios impongan límites de caracteres, ajuste — pero nunca baje de 15 caracteres.

Una contraseña generada como "g7#Kp!2xVmNqR9bW" no tiene estructura predecible, lo que hace que los ataques de fuerza bruta sean impracticables. El gestor de contraseñas la recuerda, por lo que la complejidad no cuesta nada en usabilidad.

Usar las funciones de autocompletado de forma segura

El autocompletado acelera el llenado de formularios, pero requiere atención. Antes de dejar que la extensión complete un inicio de sesión, verifique estos indicadores:

• La URL en la barra de direcciones coincide exactamente con el dominio esperado
• La conexión usa HTTPS (busque el icono del candado)
• El gestor de contraseñas reconoce el sitio; si no ofrece autocompletado, el dominio puede estar falsificado
• No ocurrieron redirecciones inesperadas antes de que cargara la página de inicio de sesión

Una página de phishing en g00gle.com parece convincente, pero el gestor de contraseñas coincide con dominios exactos y no autocompletará en un sitio falso. En dispositivos personales y de trabajo, mantenga la extensión bloqueada cuando no esté en uso activo.

Compartir contraseñas de forma segura con otros

Para cuentas conjuntas, paneles de administración y servicios de terceros, los equipos necesitan compartir credenciales. Enviar contraseñas por correo electrónico, Slack o mensajes de texto es el enfoque incorrecto. A través de las funciones de uso compartido integradas, el cifrado permanece intacto — las credenciales permanecen protegidas en tránsito.

Los controles de acceso basados en roles están diseñados para gestionar credenciales específicas de departamento y acceso temporal de contratistas. Con la implementación local, los secretos compartidos nunca transitan a través de servidores externos. Obtenga más información sobre el enfoque de gestión de contraseñas empresariales.

Gestionar el acceso familiar y de equipo

Las bóvedas de contraseñas compartidas funcionan como carpetas compartidas: cada bóveda tiene sus propios permisos de acceso. Un administrador de TI podría tener acceso completo, mientras que un miembro del equipo de marketing ve solo la bóveda de credenciales de redes sociales. Según el GDPR, las organizaciones deben tanto proteger los datos personales del acceso no autorizado como demostrar que esa protección está implementada. Los controles de acceso granulares y los registros de auditoría abordan ambos requisitos a la vez.

Funciones avanzadas que vale la pena usar

Más allá de almacenar contraseñas, la mayoría de los gestores de contraseñas empresariales incluyen funciones que los equipos a menudo pasan por alto. Las notas seguras permiten almacenar credenciales Wi-Fi, detalles del servidor, claves de licencia de software o códigos de recuperación — todo protegido por cifrado AES-256.

A través de la integración SSO (Single Sign-On), el gestor de contraseñas se conecta con su proveedor de identidad, reduciendo la fricción para usuarios que ya se autentican a través de AD o LDAP. Los registros de auditoría rastrean cada acción: quién accedió a qué credencial, cuándo y desde qué dispositivo — esto simplifica los informes de GDPR y PCI-DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago).

Notas seguras y almacenamiento de documentos

Claves Secure Shell (SSH), tokens API, frases de recuperación o procedimientos internos — todo esto pertenece a las notas seguras en lugar de estar disperso en hilos de correo electrónico o unidades compartidas. El cifrado los protege de manera idéntica a las contraseñas, y los controles de acceso determinan quién ve qué.

Sincronización de dispositivos y gestión de acceso

Cuando un miembro del equipo actualiza una contraseña en su portátil, cada dispositivo autorizado refleja ese cambio en segundos. Cifrados en tránsito, los datos viajan al servidor (o su instancia local) y llegan a otros dispositivos aún protegidos. El descifrado ocurre solo localmente.

La gestión adecuada de dispositivos requiere verificación MFA antes de que cualquier dispositivo nuevo obtenga acceso a la bóveda. Sin este paso, un atacante que clone un token de sesión podría alcanzar silenciosamente las credenciales almacenadas.

Solución de problemas comunes del gestor de contraseñas

Mantener su seguridad de contraseñas a largo plazo

La seguridad no es una configuración única. Las revisiones trimestrales mantienen su bóveda en buen estado:

1. Ejecute la auditoría de seguridad de la bóveda para identificar contraseñas débiles, reutilizadas o antiguas
2. Reemplace cualquier credencial marcada usando el generador de contraseñas integrado
3. Revise el acceso a la bóveda compartida — elimine exempleados o contratistas
4. Verifique que MFA siga activo y que los códigos de respaldo sean accesibles
5. Compruebe si hay cuentas en bases de datos de filtraciones conocidas y rote esas contraseñas inmediatamente

Qué hacer si su gestor de contraseñas se ve comprometido

Si sospecha que su contraseña maestra ha sido expuesta, el control de daños inmediato es crítico para su seguridad informática:

1. Cambie la contraseña maestra inmediatamente desde un dispositivo de confianza
2. Habilite o vuelva a verificar MFA en la cuenta de la bóveda
3. Rote las contraseñas de sus cuentas de mayor prioridad (correo electrónico, financieras, infraestructura)
4. Revise el registro de auditoría de la bóveda en busca de accesos no autorizados
5. Notifique a su equipo de seguridad y comience una respuesta a incidentes según el protocolo de su organización

Conclusión: sus próximos pasos hacia la seguridad de contraseñas

Un gestor de contraseñas reemplaza las conjeturas con estructura, una mejora directa a la protección digital de su organización. En lugar de esperar que los empleados elijan contraseñas seguras, les proporciona una herramienta que lo hace automáticamente y mantiene cada credencial cifrada, auditable y bajo control.

El primer paso es el más simple: elija una solución, cree una contraseña maestra fuerte y comience a migrar sus cuentas más críticas hoy.

Preguntas frecuentes

Passwork: Gestión de secretos y automatización para DevOps

Introducción En el entorno corporativo, el número de contraseñas, claves y certificados digitales está aumentando rápidamente, y la gestión de secretos se está convirtiendo en una de las tareas críticas para los equipos de TI. La gestión de secretos aborda el ciclo de vida completo de los datos sensibles: desde la generación segura y el almacenamiento cifrado hasta la rotación automatizada y los registros de auditoría. A medida que

Passwork BlogEirik Salmi

¿Qué es la gestión de contraseñas?

Aprenda qué es la gestión de contraseñas, por qué es importante y cómo protege sus cuentas con cifrado, almacenamiento seguro y control de acceso.

Passwork BlogEirik Salmi

Passwork 7.1: Tipos de bóvedas

Tipos de bóvedas Passwork 7.1 introduce una arquitectura robusta de tipos de bóvedas, proporcionando control de acceso de nivel empresarial para mayor seguridad y gestión. Los tipos de bóvedas abordan un desafío clave para los administradores: controlar el acceso a datos y delegar la gestión de bóvedas en grandes organizaciones. Anteriormente, la elección estaba limitada a dos tipos. Ahora, puede crear

Passwork BlogEirik Salmi

Die meisten Datenschutzverletzungen beginnen auf dieselbe Weise: mit schwachen oder schlecht verwalteten Anmeldedaten. Allein bei einfachen Angriffen auf Webanwendungen führte der 2025 Verizon DBIR 88 % der Vorfälle auf gestohlene Passwörter zurück. Für jede Organisation, die mit sensiblen Daten umgeht, beginnt Computersicherheit mit der Kontrolle von Anmeldedaten. Und Passwortsicherheit ist über eine Empfehlung hinausgegangen und zu einer grundlegenden Anforderung geworden.

Ein Passwort-Manager adressiert dieses Risiko. Für jedes Konto generiert, speichert und füllt er automatisch einzigartige Anmeldedaten aus — alles geschützt durch ein Masterpasswort. Anstelle von Tabellen, Haftnotizen und wiederholten Passwort-Zurücksetzungen erhalten Teams einen kontrollierten und auditierbaren Prozess über den gesamten Arbeitsablauf.

Wichtigste Punkte:

• Ein Masterpasswort ersetzt Hunderte von schwachen, wiederverwendeten Anmeldedaten
• AES-256-Verschlüsselung und Zero-Knowledge-Architektur halten Ihren Tresor unlesbar — selbst für den Anbieter
• Die Einrichtung erfordert Planung, aber der Nutzen sind weniger Support-Tickets, stärkere Compliance und reduziertes Risiko von Datenschutzverletzungen

Passwort-Manager verstehen

Ein Passwort-Manager funktioniert als verschlüsselter Tresor — ein digitaler Safe, der Anmeldedaten, sichere Notizen und andere sensible Daten speichert. Wenn Sie sich irgendwo anmelden, ruft der Manager das richtige Passwort ab und füllt das Formular automatisch aus. Hinter diesem Tresor stehen zwei Technologien: Verschlüsselung und Zero-Knowledge-Architektur.

Wie Passwort-Manager Ihre digitale Identität schützen

Bevor Daten Ihr Gerät verlassen, verschlüsselt die AES-256-Verschlüsselung (Advanced Encryption Standard mit einem 256-Bit-Schlüssel) sie in unlesbaren Chiffretext. Der gleiche Algorithmus wird von Regierungen und Finanzinstitutionen verwendet.

Zero-Knowledge-Architektur fügt eine zweite Schicht hinzu. Unter diesem Modell kann der Anbieter Ihre Daten nicht entschlüsseln. Da alle kryptografischen Operationen lokal stattfinden, würde selbst voller Serverzugriff nur verschlüsselte Blobs offenbaren. Wir veröffentlichen unsere Kryptografie-Dokumentation offen, damit Teams genau überprüfen können, wie dies funktioniert.

Was Passwort-Manager können und was nicht

Ein Passwort-Manager ist eine zuverlässige Verteidigungsschicht, deckt aber nicht jede Bedrohung allein ab. Das Wissen um seine Grenzen hilft Ihnen, zusätzliche Schutzmaßnahmen zu planen.

Multi-Faktor-Authentifizierung (MFA) fügt einen zweiten Verifizierungsschritt hinzu, wie ein zeitbasiertes Einmalpasswort (TOTP), und adressiert Lücken, die ein Passwort-Manager allein nicht abdecken kann. Zusammen bilden sie eine wesentlich stärkere Verteidigung.

Ihr Masterpasswort erstellen

Ihr Masterpasswort ist die einzige Anmeldeinformation, die den gesamten Tresor entsperrt — ein schwaches untergräbt jede andere Sicherheitsmaßnahme.

Im August 2025 veröffentlicht, legt NIST SP 800-63B-4 eine Mindestlänge von 15 Zeichen für Passwörter fest, die als Einzelfaktor-Authentifikator verwendet werden. Die gleiche Überarbeitung besagt, dass Prüfer keine Passwort-Zusammensetzungsregeln auferlegen sollen (z. B. Großbuchstaben, Zahlen oder Symbole erforderlich) und stattdessen Passwörter gegen Listen häufig verwendeter oder kompromittierter Werte prüfen müssen. Ein Passwort wie „P@ssw0rd123" würde eine solche Prüfung nicht bestehen.

Anstelle zufälliger Zeichenanforderungen funktioniert die Passphrasen-Methode besser: Wählen Sie vier oder fünf unzusammenhängende Wörter und kombinieren Sie diese. Ein Passwort-Generator kann zufällige Wortkombinationen erzeugen, aber viele Benutzer bevorzugen manuelle Auswahl. „correct-horse-battery-staple" ist ein klassisches Beispiel — hohe Entropie.

Schritt-für-Schritt-Anleitung zur Masterpasswort-Erstellung:

1. Wählen Sie 4–5 zufällige, unzusammenhängende Wörter (vermeiden Sie Songtexte oder berühmte Zitate)
2. Fügen Sie ein Trennzeichen zwischen den Wörtern hinzu (Bindestriche, Punkte oder Leerzeichen)
3. Fügen Sie optional eine Zahl oder ein Symbol an einer zufälligen Position ein — nicht am Ende
4. Test: Können Sie es dreimal hintereinander aus dem Gedächtnis eingeben?
5. Schreiben Sie es einmal auf, bewahren Sie das Papier an einem physisch sicheren Ort auf, dann prägen Sie es sich innerhalb einer Woche ein

Best Practices für Masterpasswörter

Tun Sie:

• Prägen Sie es sich ein, speichern Sie es niemals digital im Klartext
• Bewahren Sie eine physische Sicherungskopie an einem sicheren Ort auf (z. B. ein versiegelter Umschlag in einem Safe)
• Üben Sie das Eintippen regelmäßig in der ersten Woche

Vermeiden Sie:

• Ihr Masterpasswort für ein anderes Konto wiederzuverwenden
• Es mit jemandem zu teilen, einschließlich IT-Personal
• Es nach festem Zeitplan ohne Grund zu ändern: Laut NIST SP 800-63B-4 sollten Passwörter nur geändert werden, wenn Hinweise auf eine Kompromittierung vorliegen

Wiederherstellungsoptionen sind konstruktionsbedingt begrenzt. Bei einer Zero-Knowledge-Architektur kann der Anbieter Ihr Masterpasswort nicht zurücksetzen, weil er niemals Zugang dazu hatte.

Den richtigen Passwort-Manager für Ihre Anforderungen wählen

Bevor Sie sich für eine Passwortverwaltungs-Software entscheiden, definieren Sie, was Ihre Organisation tatsächlich benötigt. Bereitstellungsmodell, Verschlüsselungsstandards und Integration in die bestehende Infrastruktur sollten alle in die Entscheidung einfließen.

Wenn Bereitstellungsflexibilität und Sicherheitsarchitektur wichtig sind, sollten sowohl On-Premise- als auch Cloud-Optionen verfügbar sein. Passwork unterstützt beide Modelle, sodass Sie wählen können, wo Ihre Daten liegen. Die Plattform verfügt über eine benutzerfreundliche Oberfläche, die Teams schnell übernehmen können. Sie kombiniert Passwortverwaltung mit DevOps-Secrets-Management, API-Schlüsseln, Tokens und Zertifikaten in einem System.

Wenn Sie mehrere Lösungen evaluieren, sehen Sie, wie wir in einem realen Bereitstellungsszenario abschneiden. Holen Sie sich eine Demo-Umgebung und testen Sie neben anderen Enterprise-Passwort-Managern. Keine Kreditkarte erforderlich.

Browserbasierte vs. dedizierte Passwort-Manager

In Browser integrierte Passwort-Manager (wie die in Chrome oder Edge) sind praktisch, aber es fehlen ihnen Enterprise-Funktionen. Innerhalb eines einzelnen Browserprofils bleiben Anmeldedaten isoliert — Teilen, rollenbasierter Zugriff und Audit-Protokollierung sind entweder nicht vorhanden oder begrenzt.

Mit einem dedizierten Passwort-Manager erfolgt die Verschlüsselung unabhängig vom Browser, zusammen mit granularen Zugriffskontrollen und plattformübergreifender Synchronisierung. Automatisches Ausfüllen und Erfassen von Anmeldedaten laufen weiterhin über eine Browser-Erweiterung, aber der Tresor befindet sich in einer kontrollierteren Umgebung.

Erste Schritte mit Ihrem Passwort-Manager

Mit dem vorbereiteten Masterpasswort und der ausgewählten Lösung beginnt die Einrichtung. Der Prozess folgt einem vorhersehbaren Ablauf.

1. Installieren Sie die Kernanwendung: Desktop-Client, Web-Oberfläche oder selbst gehostete Instanz
2. Erstellen Sie Ihr Konto mit dem Masterpasswort, das Sie vorbereitet haben
3. Aktivieren Sie MFA sofort, bevor Sie Anmeldedaten zum Tresor hinzufügen
4. Installieren Sie Browser-Erweiterungen für Chrome, Firefox, Edge oder Safari
5. Installieren Sie mobile Apps für iOS und Android, wenn Fernzugriff benötigt wird
6. Konfigurieren Sie die Tresor-Struktur: Erstellen Sie geteilte und persönliche Tresore nach Abteilung, Projekt oder Zugangslevel

Browser-Erweiterungen und mobile Apps einrichten

Nach der Installation der Erweiterung passen Sie einige Einstellungen an:

• Aktivieren Sie die automatische Sperre nach Inaktivität — fünf Minuten ist ein vernünftiger Standard
• Aktivieren Sie PIN- oder biometrische Sperre für die mobile App
• Bestätigen Sie, dass die Erweiterung mit der richtigen Server-URL verbunden ist (erforderlich für On-Premise-Bereitstellungen)
• Deaktivieren Sie das automatische Ausfüllen auf öffentlichen oder gemeinsam genutzten Geräten

Ein auf Ihrem Laptop gespeichertes Passwort erscheint durch plattformübergreifende Synchronisierung innerhalb von Sekunden auf Ihrem Telefon. Alle Daten werden verschlüsselt übertragen, sodass selbst ein abgefangenes Sync-Paket ohne das Masterpasswort nutzlos ist.

Zwei-Faktor-Authentifizierung für Ihren Passwort-Manager einrichten

MFA fügt Ihrem Tresor durch einen zusätzlichen Sicherheitsverifizierungsschritt ein zweites Schloss hinzu. Selbst wenn jemand Ihr Masterpasswort erfährt, erfordert der Zugang immer noch diesen zweiten Faktor.

Authenticator-Apps (Google Authenticator, Authy) generieren sechsstellige TOTP-Codes, die alle 30 Sekunden aktualisiert werden. Scannen Sie während der Einrichtung den QR-Code, verifizieren Sie den ersten Code und speichern Sie die Backup-Wiederherstellungscodes an einem physisch sicheren Ort. Ohne diese Codes könnte der Verlust Ihres Telefons den Verlust des Tresorzugangs bedeuten.

Importieren und Organisieren Ihrer vorhandenen Passwörter

Die Migration von Browsern, Tabellen oder einem anderen Passwort-Manager in Ihren Passwortspeicher-Tresor beginnt normalerweise mit einem CSV-Export (Comma-Separated Values). Die meisten Manager akzeptieren dieses Format und ordnen Felder (URL, Benutzername, Passwort) automatisch zu.

Vor dem Import prüfen Sie, was Sie haben. Alte Konten, doppelte Einträge und über Dienste hinweg wiederverwendete Anmeldedaten erfordern alle Aufmerksamkeit. Die Importphase ist der ideale Zeitpunkt, um schwache Passwörter durch generierte zu ersetzen.

Unsere Admin-Tools ermöglichen es Ihnen, Tresor-Strukturen zu konfigurieren, die die Organisation Ihres Teams widerspiegeln. Mit rollenbasiertem Zugriff sieht das Finanzteam nur Finanz-Anmeldedaten, während IT-Administratoren den Überblick über alles behalten. Diese Kombination mit einem kosteneffizienten Ansatz gibt Ihnen Enterprise-Grade-Kontrolle, ohne für Funktionen zu bezahlen, die Sie nicht benötigen.

Für Teams, die zum ersten Mal Passwortverwaltung implementieren, verhindert die frühzeitige Einrichtung der richtigen Struktur zukünftige Zugriffsprobleme. Buchen Sie eine Beratung, um Ihr Zugriffsmodell, Ihren Bereitstellungsansatz und Ihren Rollout-Plan zu definieren.

Ihre kritischsten Konten priorisieren

Nicht alle Konten tragen das gleiche Risiko. Beginnen Sie die Migration mit den Anmeldedaten, die bei Kompromittierung den größten Schaden verursachen würden:

1. Primäre E-Mail-Konten (oft die Wiederherstellungsmethode für alles andere)
2. Finanzdienstleistungen und Zahlungsplattformen
3. Cloud-Infrastruktur und Admin-Panels
4. Geschäftskommunikationstools (Slack, Teams, E-Mail-Server)
5. Soziale Medien und öffentlich zugängliche Konten

Laut IBMs 2025 Cost of a Data Breach Report erreichten die globalen durchschnittlichen Kosten einer Datenschutzverletzung 4,44 Millionen US-Dollar, und die durchschnittliche Zeit zur Identifizierung und Eindämmung eines Vorfalls betrug 241 Tage. Die frühzeitige Migration von hochwertigen Konten reduziert dieses Expositionsfenster.

Tools für Passwort-Gesundheit und Datenschutzverletzungen nutzen

Sobald die Anmeldedaten im Tresor sind, führen Sie einen Passwort-Tresor-Gesundheitsbericht durch — eine routinemäßige Computersicherheitsprüfung. Integrierte Überwachung von Datenschutzverletzungen scannt Ihre Einträge gegen bekannte Breach-Datenbanken, während die Erkennung kompromittierter Passwörter wiederverwendete oder schwache Anmeldedaten markiert. Beheben Sie kritische Befunde zuerst, insbesondere bei Konten, bei denen dasselbe Passwort mehrere Dienste schützt.

Starke Passwörter generieren und verwalten

Verwenden Sie für jedes neue Konto oder jeden Passwortersatz den integrierten Passwort-Generator. Eine starke Konfiguration für hochsichere Konten: 20+ Zeichen, Groß-/Kleinschreibung, Zahlen und Symbole. Wo Dienste Zeichenbeschränkungen auferlegen, passen Sie an — aber gehen Sie niemals unter 15 Zeichen.

Ein generiertes Passwort wie „g7#Kp!2xVmNqR9bW" hat keine vorhersehbare Struktur, was Brute-Force-Angriffe unpraktisch macht. Der Passwort-Manager merkt es sich, sodass Komplexität nichts an Benutzerfreundlichkeit kostet.

Autofill-Funktionen sicher nutzen

Automatisches Ausfüllen beschleunigt das Ausfüllen von Formularen, erfordert aber Aufmerksamkeit. Bevor Sie die Erweiterung ein Login vervollständigen lassen, überprüfen Sie diese Indikatoren:

• Die URL in der Adressleiste stimmt exakt mit der erwarteten Domain überein
• Die Verbindung verwendet HTTPS (achten Sie auf das Schlosssymbol)
• Der Passwort-Manager erkennt die Website; wenn er kein automatisches Ausfüllen anbietet, könnte die Domain gefälscht sein
• Vor dem Laden der Login-Seite erfolgten keine unerwarteten Weiterleitungen

Eine Phishing-Seite unter g00gle.com sieht überzeugend aus, doch der Passwort-Manager gleicht exakte Domains ab und füllt auf einer gefälschten Website nicht automatisch aus. Halten Sie die Erweiterung auf privaten und Arbeitsgeräten gesperrt, wenn sie nicht aktiv genutzt wird.

Passwörter sicher mit anderen teilen

Für gemeinsame Konten, Admin-Panels und Dienste von Drittanbietern müssen Teams Anmeldedaten teilen. Das Senden von Passwörtern über E-Mail, Slack oder Textnachrichten ist der falsche Ansatz. Durch integrierte Freigabefunktionen bleibt die Verschlüsselung intakt — Anmeldedaten bleiben während der Übertragung geschützt.

Wir haben unsere rollenbasierten Zugriffskontrollen entwickelt, um abteilungsspezifische Anmeldedaten und temporären Zugriff für Auftragnehmer zu verwalten. Mit On-Premise-Bereitstellung werden geteilte Geheimnisse niemals über externe Server übertragen. Erfahren Sie mehr über unseren Ansatz zur geschäftlichen Passwortverwaltung.

Familien- und Teamzugriff verwalten

Geteilte Passwort-Tresore funktionieren wie geteilte Ordner: Jeder Tresor hat seine eigenen Zugriffsberechtigungen. Ein IT-Administrator könnte vollen Zugriff haben, während ein Marketingteam-Mitglied nur den Tresor für Social-Media-Anmeldedaten sieht. Gemäß DSGVO müssen Organisationen personenbezogene Daten sowohl vor unbefugtem Zugriff schützen als auch nachweisen, dass dieser Schutz besteht. Granulare Zugriffskontrollen und Audit-Logs erfüllen beide Anforderungen gleichzeitig.

Erweiterte Funktionen, die sich lohnen

Über das Speichern von Passwörtern hinaus enthalten die meisten Enterprise-Passwort-Manager Funktionen, die Teams oft übersehen. Sichere Notizen ermöglichen das Speichern von WLAN-Anmeldedaten, Serverdetails, Software-Lizenzschlüsseln oder Wiederherstellungscodes — alle durch AES-256-Verschlüsselung geschützt.

Durch SSO-Integration (Single Sign-On) verbindet sich der Passwort-Manager mit Ihrem Identitätsanbieter und reduziert die Reibung für Benutzer, die sich bereits über AD oder LDAP authentifizieren. Audit-Logs verfolgen jede Aktion: Wer hat auf welche Anmeldedaten zugegriffen, wann und von welchem Gerät — dies vereinfacht die DSGVO- und PCI-DSS-Berichterstattung (Payment Card Industry Data Security Standard).

Sichere Notizen und Dokumentenspeicherung

Secure Shell-Schlüssel (SSH), API-Tokens, Wiederherstellungsphrasen oder interne Verfahren — all dies gehört in sichere Notizen und nicht verstreut über E-Mail-Threads oder geteilte Laufwerke. Die Verschlüsselung schützt sie identisch zu Passwörtern, und Zugriffskontrollen bestimmen, wer was sieht.

Gerätesynchronisierung und Zugriffsverwaltung

Wenn ein Teammitglied ein Passwort auf seinem Laptop aktualisiert, spiegelt jedes autorisierte Gerät diese Änderung innerhalb von Sekunden wider. Verschlüsselt während der Übertragung, gelangen die Daten zum Server (oder Ihrer On-Premise-Instanz) und kommen auf anderen Geräten weiterhin geschützt an. Die Entschlüsselung erfolgt nur lokal.

Ordnungsgemäße Geräteverwaltung erfordert MFA-Verifizierung, bevor ein neues Gerät Tresorzugang erhält. Ohne diesen Schritt könnte ein Angreifer, der ein Sitzungstoken klont, unbemerkt auf gespeicherte Anmeldedaten zugreifen.

Häufige Probleme mit Passwort-Managern beheben

Ihre Passwortsicherheit langfristig aufrechterhalten

Sicherheit ist keine einmalige Einrichtung. Vierteljährliche Überprüfungen halten Ihren Tresor in gutem Zustand:

1. Führen Sie das Sicherheitsaudit des Tresors durch, um schwache, wiederverwendete oder alte Passwörter zu identifizieren
2. Ersetzen Sie alle markierten Anmeldedaten mit dem integrierten Passwort-Generator
3. Überprüfen Sie den Zugriff auf geteilte Tresore — entfernen Sie ehemalige Mitarbeiter oder Auftragnehmer
4. Überprüfen Sie, ob MFA noch aktiv ist und Backup-Codes zugänglich sind
5. Prüfen Sie, ob Konten in bekannten Breach-Datenbanken vorhanden sind, und rotieren Sie diese Passwörter sofort

Was tun, wenn Ihr Passwort-Manager kompromittiert wird

Wenn Sie vermuten, dass Ihr Masterpasswort offengelegt wurde, ist sofortige Schadensbegrenzung entscheidend für Ihre Computersicherheit:

1. Ändern Sie das Masterpasswort sofort von einem vertrauenswürdigen Gerät aus
2. Aktivieren oder verifizieren Sie MFA auf dem Tresor-Konto erneut
3. Rotieren Sie Passwörter für Ihre höchstpriorisierten Konten (E-Mail, Finanzen, Infrastruktur)
4. Überprüfen Sie das Audit-Log des Tresors auf unbefugten Zugriff
5. Benachrichtigen Sie Ihr Sicherheitsteam und beginnen Sie mit der Incident Response gemäß dem Protokoll Ihrer Organisation

Fazit: Ihre nächsten Schritte zur Passwortsicherheit

Ein Passwort-Manager ersetzt Mutmaßungen durch Struktur — ein direktes Upgrade für den digitalen Schutz Ihrer Organisation. Anstatt zu hoffen, dass Mitarbeiter starke Passwörter wählen, geben Sie ihnen ein Werkzeug, das dies automatisch erledigt und jede Anmeldeinformation verschlüsselt, auditierbar und unter Kontrolle hält.

Der erste Schritt ist der einfachste: Wählen Sie eine Lösung, erstellen Sie ein starkes Masterpasswort und beginnen Sie noch heute mit der Migration Ihrer kritischsten Konten.

Häufig gestellte Fragen

Passwork: Secrets-Management und Automatisierung für DevOps

Introduction In corporate environment, the number of passwords, keys, and digital certificates is rapidly increasing, and secrets management is becoming one of the critical tasks for IT teams. Secrets management addresses the complete lifecycle of sensitive data: from secure generation and encrypted storage to automated rotation and audit trails. As

Passwork BlogEirik Salmi

Was ist Passwortverwaltung?

Learn what password management is, why it matters, and how it protects your accounts with encryption, secure storage, and access control.

Passwork BlogEirik Salmi

Passwork 7.1: Tresor-Typen

Vault types Passwork 7.1 introduces a robust vault types architecture, providing enterprise-grade access control for enhanced security and management. Vault types address a key challenge for administrators: controlling data access and delegating vault management across large organizations. Previously, the choice was limited to two types. Now, you can create

Passwork BlogEirik Salmi

Der IBM Cost of a Data Breach Report 2025 beziffert die durchschnittlichen globalen Kosten einer Datenpanne auf 4,4 Millionen US-Dollar — ein Rückgang von 9 % gegenüber dem Vorjahr, aber immer noch ein erhebliches finanzielles Risiko für Organisationen. Firewalls werden gepatcht. Systeme werden aktualisiert. Aber die Person, die zum Telefon greift, auf einen Link klickt oder einem Fremden die Tür aufhält — diese Angriffsfläche schrumpft nicht von selbst.

Zwei Begriffe dominieren jede Cybersicherheitsdiskussion über Angriffe auf Menschen: Social Engineering und Phishing. Sie werden oft synonym verwendet, was einen gefährlichen blinden Fleck erzeugt. Den Unterschied — und die Beziehung zwischen ihnen — zu verstehen, ist der erste Schritt zum Aufbau von Verteidigungsmaßnahmen, die tatsächlich standhalten.

Social Engineering ist die übergreifende psychologische Manipulationsstrategie. Phishing ist die häufigste digitale Übermittlungsmethode. Das eine ist das Spielbuch; das andere ist ein spezifischer Spielzug.

Kernpunkte:

• Social Engineering nutzt kognitive Abkürzungen aus, um Sicherheitskontrollen zu umgehen, ohne eine einzige Codezeile zu berühren.
• Phishing ist die skalierbarste Form von Social Engineering: digital, wiederholbar und zunehmend automatisiert. Sein Hauptziel ist der Diebstahl von Zugangsdaten, aber es liefert auch Malware, Ransomware und betrügerische Finanztransfers.
• Die beiden Begriffe sind nicht austauschbar. Jeder Phishing-Angriff ist Social Engineering — aber die meisten Social-Engineering-Angriffe sind kein Phishing. Verteidigungsmaßnahmen, die nur auf E-Mail-Filter ausgerichtet sind, lassen Telefonleitungen, physische Zugangspunkte und persönliche Manipulation völlig ungeschützt.
• Zugangsdatenkontrollen begrenzen den Schadensradius. Wenn Manipulation erfolgreich ist, bestimmen rollenbasierter Zugriff, eindeutige Passwörter pro System und vollständige Audit-Transparenz, wie weit sich ein Angreifer bewegen kann. Tools wie Passwork setzen diese Praktiken auf Infrastrukturebene durch.

Was ist Social Engineering?

Social Engineering ist die Praxis, menschliche Psychologie auszunutzen — anstatt technischer Schwachstellen — um unbefugten Zugang zu Systemen, Daten oder physischen Räumlichkeiten zu erlangen. Ein Angreifer muss kein Passwort knacken, wenn er jemanden überzeugen kann, es herauszugeben.

Die Disziplin ist älter als Computer. Betrüger, Spione und Hochstapler haben sich schon immer auf dieselben kognitiven Abkürzungen verlassen, die Menschen berechenbar machen. Was sich geändert hat, ist das Ausmaß und die Präzision, mit der diese Techniken heute eingesetzt werden können.

Die psychologischen Auslöser, die es funktionieren lassen

Jeder erfolgreiche Social-Engineering-Angriff zieht an einem oder mehreren der folgenden Hebel:

• Angst — „Ihr Konto wird gesperrt, wenn Sie nicht sofort handeln."
• Dringlichkeit — „Die Überweisung muss heute noch vor Geschäftsschluss rausgehen."
• Autorität — Sich als CEO, Prüfer oder IT-Administrator ausgeben.
• Neugierde — Ein USB-Stick mit der Aufschrift „Q4 Gehaltsüberprüfung", der auf einem Parkplatz liegt.
• Gier — Ein zu-gut-um-wahr-zu-sein Angebot, Preis oder Gelegenheit.

Dies sind keine Designfehler in der menschlichen Kognition — sie sind Funktionen. Angreifer nutzen einfach dieselben mentalen Abkürzungen als Waffe, die Menschen helfen, unter Druck effizient zu funktionieren.

Gängige Social-Engineering-Techniken

Social Engineers setzen auf mehrere bewährte Manipulationstechniken. Beim Pretexting erfinden sie glaubwürdige Szenarien, um sensible Informationen zu extrahieren. Ein anderer Ansatz, Baiting, lockt mit etwas Verführerischem — wie kostenloser Software — im Austausch für vertrauliche Details. Dann gibt es Impersonation: Angreifer geben sich als jemand aus, den das Opfer kennt, um Zugang zu Daten oder Systemen zu erhalten.

Diese Methoden nutzen psychologische Auslöser wie Vertrauen, Dringlichkeit und Autorität aus. Sie manipulieren Einzelpersonen dazu, zu handeln, ohne Sicherheitsrisiken zu berücksichtigen. Vertrauen lässt uns vermeintlichen Vorgesetzten gehorchen, Dringlichkeit schaltet kritisches Denken aus, Autorität nutzt unseren Instinkt aus, Machtpersonen zu gehorchen.

Diese Auslöser nutzen soziale Phänomene wie Gehorsam gegenüber Autorität (Milgram-Experimente) und Knappheit/Dringlichkeit (Cialdini) aus. Sie umgehen rationale Überlegungen durch Amygdala-gesteuerte Reaktionen. Wenn eine E-Mail „DRINGEND" schreit, überschreibt Angst rationales Denken — Opfer handeln, bevor sie hinterfragen.

Der Verizon 2025 DBIR stellt fest, dass 24 % der Sicherheitsverletzungen Social-Engineering-Taktiken beinhalteten. Dies demonstriert ihre Wirksamkeit bei der Ausnutzung menschlichen Verhaltens im Vergleich zu technischen Verteidigungsmaßnahmen. Andere Techniken wie Tailgating (physischen Zugang erlangen, indem man jemandem folgt) und Quid-pro-quo-Angriffe (etwas im Austausch für Informationen anbieten) umgehen ebenfalls rationales Denken und Sicherheitsprotokolle, was sie schwer erkennbar macht.

Was ist Phishing?

Phishing ist eine spezialisierte digitale Untergruppe von Social Engineering. Es nutzt hauptsächlich elektronische Kommunikation, um Einzelpersonen dazu zu verleiten, sensible Informationen wie Anmeldedaten preiszugeben. 

Im Gegensatz zu traditionellen Social-Engineering-Angriffen, die persönliche Interaktionen oder Telefonanrufe beinhalten können, wird Phishing überwiegend durch bösartige E-Mails, gefälschte Websites oder Textnachrichten durchgeführt. Diese Angriffe konzentrieren sich auf das Abfangen von Zugangsdaten und versuchen, Benutzernamen, Passwörter und andere wichtige Daten zu stehlen.

Phishing-Taktiken setzen stark auf täuschende Nachrichten. Oft sind sie so gestaltet, dass sie wie legitime Kommunikation von vertrauenswürdigen Quellen wie Banken oder IT-Abteilungen aussehen. Diese Angriffe werden mit technischen Methoden wie gefälschten URLs, bösartigen Links und Websites umgesetzt, die echte Seiten imitieren.

Arten von Phishing-Angriffen: einfach, gezielt und hochentwickelt

Phishing ist eine spezifische Untergruppe von Social Engineering, die täuschende digitale Nachrichten — E-Mail, SMS, Sprachanrufe oder Direktnachrichten — verwendet, um Zugangsdaten zu stehlen, Malware einzusetzen oder Ziele zu einer schädlichen Handlung zu manipulieren.

Wenn Social Engineering die Strategie ist, ist Phishing die skalierbarste Taktik darin. Es ist digital, wiederholbar und zunehmend automatisiert. Der IBM 2025 Cost of a Data Breach Report identifizierte Phishing als den führenden initialen Angriffsvektor, verantwortlich für 16 % der Sicherheitsverletzungen bei durchschnittlichen Kosten von 4,4 Millionen US-Dollar pro Vorfall.

Die Evolution von Phishing-Angriffen

• Spear-Phishing ist gezieltes Phishing. Anstatt ein weites Netz auszuwerfen, recherchieren Angreifer eine bestimmte Person — ihre Rolle, Kollegen, aktuelle Projekte — und erstellen eine Nachricht, die völlig legitim wirkt. Die Personalisierung erhöht die Erfolgsraten dramatisch.
• Whaling ist Spear-Phishing, das auf Führungskräfte der C-Suite abzielt. Die Einsätze sind höher (Zugangsdaten von Führungskräften erschließen mehr), und die Köder sind auf Anliegen von Führungskräften zugeschnitten: Vorstandskommunikation, M&A-Aktivitäten, regulatorische Einreichungen.
• Vishing (Voice-Phishing) nutzt Telefonanrufe, um Ziele zu manipulieren. Die Erkennung von Vishing-Angriffen stieg Ende 2024 und bis 2025 um 442 %. KI-Stimmenklonen hat diese Kategorie besonders gefährlich gemacht — mehr dazu weiter unten.
• Smishing (SMS-Phishing) nutzt die höheren Öffnungsraten von Textnachrichten und den relativen Mangel an Sicherheitstools auf mobilen Geräten aus. Gefälschte Lieferbenachrichtigungen, Bankwarnungen und Zwei-Faktor-Authentifizierungsaufforderungen sind häufige Köder.

Die folgende Tabelle vergleicht verschiedene Phishing-Typen:

Gängige Phishing-Taktiken und Warnzeichen

KI ermöglicht die Generierung personalisierter Inhalte. Angreifer passen ihre Ansätze an spezifische Ziele an und fliegen unter dem Radar traditioneller Sicherheitstools. Angreifer manipulieren nun visuelle und akustische Elemente, um betrügerische Kommunikation zu erstellen, die völlig legitim erscheint — ein Trend, den der IBM Cost of Data Breach Report als zunehmend schwer erkennbar kennzeichnet. Für Cybersicherheitsteams bedeutet diese wachsende Raffinesse, sich gegen Bedrohungen zu verteidigen, die echt aussehen und klingen.

Social Engineering vs. Phishing: Unterschiede und Beziehung

Phishing ist eine spezifische Form von Social Engineering, die sich auf den Diebstahl von Zugangsdaten durch täuschende digitale Kommunikation konzentriert. Während Social Engineering eine breite Palette manipulativer Taktiken wie Pretexting und Baiting umfasst, zielt Phishing hauptsächlich darauf ab, Anmeldeinformationen zu stehlen, oft über E-Mail, SMS oder Sprachkanäle. 

Der Hauptunterschied liegt in Medium und Fokus: Social Engineering umfasst physische/digitale Taktiken (z. B. persönliches Pretexting, Tailgating), während Phishing digital-zentriert ist (E-Mail, SMS, Sprache über gefälschte Kanäle) und immer eine Untergruppe von Social Engineering darstellt.

Die Beziehung ist hierarchisch, nicht konkurrierend. Phishing ist ein Werkzeug innerhalb des breiteren Social-Engineering-Werkzeugkastens.

Ist Phishing eine Art von Social Engineering? Ja, definitiv. Jeder Phishing-Angriff ist Social Engineering, aber die meisten Social-Engineering-Angriffe sind kein Phishing. Diese Hierarchie zu erkennen ist wichtig, weil Verteidigungsmaßnahmen, die nur darauf ausgelegt sind, Phishing-E-Mails abzufangen, Pretexting-Anrufe, Baiting-Versuche und physische Eindringlinge komplett verfehlen werden.

Die Bedrohungslandschaft 2025: Wie KI das Spiel verändert

Der Rat, der Phishing-Awareness-Trainings ein Jahrzehnt lang definierte — „Achten Sie auf schlechte Grammatik und Rechtschreibfehler" — ist heute weitgehend überholt. Generative KI hat die sprachlichen Merkmale eliminiert, die Phishing-E-Mails einst erkennbar machten.

KI-generiertes Phishing in großem Maßstab

Große Sprachmodelle können grammatisch einwandfreie, kontextuell akkurate und tief personalisierte Phishing-Köder in Sekunden produzieren. Was früher einen erfahrenen Angreifer mit Sprachkenntnissen und stundenlanger Recherche erforderte, kann jetzt im industriellen Maßstab automatisiert werden. Der IBM-Bericht 2025 stellte fest, dass KI-generiertes Phishing die häufigste Verwendung von KI bei Angriffen war und in 37 % der KI-involvierten Sicherheitsverletzungen auftrat.

Die Implikation ist direkt: Volumen ist für Angreifer keine Einschränkung mehr. Kampagnen, die einst Tausende anvisierten, können jetzt Millionen mit demselben Grad an scheinbarer Personalisierung anvisieren.

Deepfake-Vishing: Wenn Sie der Stimme nicht mehr vertrauen können

Anfang 2024 verlor das Ingenieurbüro Arup 25,6 Millionen US-Dollar, nachdem ein Mitarbeiter durch einen Deepfake-Videoanruf getäuscht wurde, der den CFO des Unternehmens und andere Kollegen imitierte. Der Angreifer verwendete KI-geklonte Stimmen und Video, um ein legitimes internes Meeting zu simulieren. Der Mitarbeiter überwies das Geld in dem Glauben, direkte Anweisungen von der Geschäftsleitung erhalten zu haben.

Dies ist kein Einzelfall — es ist eine Vorschau auf das Standardverfahren. Tools zum Stimmenklonen sind weit verbreitet, benötigen nur wenige Sekunden Audio, um eine überzeugende Kopie zu generieren, und sind ohne technische Verifizierung zunehmend nicht vom Original zu unterscheiden.

MFA-Umgehung: Warum Multi-Faktor-Authentifizierung allein nicht ausreicht

Multi-Faktor-Authentifizierung (MFA) bleibt eine der effektivsten Kontrollen gegen Zugangsdatendiebstahl. Aber Social Engineering hat sich angepasst.

• Prompt Bombing (auch MFA-Fatigue genannt) beinhaltet das Überfluten eines Ziels mit Authentifizierungs-Push-Benachrichtigungen, bis es eine aus Frustration oder Verwirrung genehmigt. Angreifer nutzen dann die genehmigte Sitzung, um Zugang zu erlangen.
• Adversary-in-the-Middle (AiTM)-Angriffe verwenden Reverse-Proxy-Phishing-Kits, um Authentifizierungs-Tokens in Echtzeit abzufangen. Das Ziel führt einen legitim aussehenden Login durch — einschließlich MFA — während der Angreifer das Sitzungs-Token erfasst und unabhängig verwendet.

Die Schlussfolgerung: MFA ist notwendig, aber nicht ausreichend. Die Art der MFA ist wichtig, und ebenso die Schulung der Mitarbeiter, Manipulationsversuche zu erkennen, die auf den Authentifizierungsprozess selbst abzielen.

Wie Sie sich gegen Social Engineering und Phishing verteidigen

Effektive Verteidigung arbeitet gleichzeitig auf zwei Ebenen: menschliches Verhalten und technische Kontrollen. Keines funktioniert ohne das andere.

Menschenzentrierte Verteidigung

Dieses Vier-Schritte-Framework gibt Mitarbeitern ein konkretes mentales Modell für den Umgang mit verdächtigen Situationen:

1. Fühlen — Bemerken Sie den emotionalen Auslöser. Fühle ich mich gehetzt, ängstlich, neugierig oder geschmeichelt? Dieses Gefühl ist das Signal.
2. Verlangsamen — Pausieren Sie bewusst, bevor Sie handeln. Dringlichkeit ist ein Manipulationswerkzeug; legitime Anfragen können 60 Sekunden warten.
3. Verifizieren — Bestätigen Sie die Anfrage über einen unabhängigen Kanal. Antworten Sie nicht auf die verdächtige E-Mail — rufen Sie den Absender unter einer bekannten Nummer an.
4. Handeln — Fahren Sie erst fort, wenn die Anfrage verifiziert ist. Wenn eine Verifizierung nicht möglich ist, eskalieren Sie an die Sicherheitsabteilung.

Die Medianzeit, bis ein Benutzer auf eine Phishing-E-Mail hereinfällt, beträgt unter 60 Sekunden. Dieses Framework ist darauf ausgelegt, diesen Reflex zu unterbrechen, bevor er abgeschlossen ist.

Out-of-Band-Verifizierung

Jede Anfrage, die Finanztransfers, Änderungen von Zugangsdaten oder Zugriff auf sensible Daten beinhaltet, sollte eine Verifizierung über einen sekundären, unabhängigen Kanal erfordern. Wenn ein „CFO" per E-Mail eine Überweisung anfordert, rufen Sie den CFO direkt unter einer Telefonnummer aus dem Firmenverzeichnis an — nicht unter einer in der E-Mail angegebenen Nummer. Diese einzelne Kontrolle hätte den Arup-Deepfake-Angriff verhindert.

Kontinuierliche Simulation statt jährlichem Training

Jährliches Sicherheitsbewusstseinstraining ist unzureichend. Angreifer arbeiten nicht nach einem Jahresplan. Regelmäßige, realistische Phishing-Simulationen — variiert in Format, Ködertyp und Übermittlungskanal — bauen die Mustererkennung auf, die einmaliges Training nicht leisten kann. Das Ziel ist Reflex, nicht Erinnerung.

Eine schuldfreie Meldekultur ist ebenso wichtig. Mitarbeiter, die Bestrafung fürchten, weil sie auf einen Link geklickt haben, werden Vorfälle verstecken anstatt zu melden, wodurch das Frühwarnsignal eliminiert wird, auf das Sicherheitsteams angewiesen sind.

Technische Kontrollen

Phishing-resistente MFA

Ersetzen Sie SMS-basierte und Push-Benachrichtigungs-MFA durch FIDO2/WebAuthn Hardware-Sicherheitsschlüssel oder Passkeys. Diese sind kryptografisch an die legitime Domain gebunden, was sie von Grund auf immun gegen AiTM-Angriffe und Prompt Bombing macht. CISA empfiehlt explizit phishing-resistente MFA als Standard für hochwertige Konten.

E-Mail- und Web-Sicherheit

Implementieren Sie DMARC, DKIM und SPF über alle sendenden Domains, um Domain-Spoofing zu verhindern. Ergänzen Sie dies durch erweiterte E-Mail-Filterung mit Link-Scanning, Attachment-Sandboxing und KI-basierter Anomalieerkennung. Diese Kontrollen werden nicht alles abfangen, aber sie erhöhen die Kosten einer erfolgreichen Kampagne erheblich.

Zero-Trust-Architektur

Zero Trust Network Access (ZTNA) basiert auf dem Prinzip „Niemals vertrauen, immer verifizieren". Selbst wenn ein Angreifer erfolgreich die Zugangsdaten eines Mitarbeiters kompromittiert, begrenzen Least-Privilege-Zugriffskontrollen, was er erreichen kann. Segmentierung begrenzt den Schadensradius. Dies ist die architektonische Antwort auf die Realität, dass einige Angriffe erfolgreich sein werden.

Zugangsdatenhygiene ist grundlegend für jede Zero-Trust-Implementierung — und sie ist eine der am meisten übersehenen Lücken in der Social-Engineering-Verteidigung. Wenn Mitarbeiter Passwörter systemübergreifend wiederverwenden oder sie in Tabellenkalkulationen und Chat-Protokollen speichern, kann ein einziger erfolgreicher Phishing-Versuch zu einem vollständigen Sicherheitsverstoß eskalieren.

Passwork adressiert dies direkt. Als Business-Passwortmanager für Unternehmensumgebungen entwickelt, setzt er rollenbasierte Zugriffskontrollen durch, führt ein vollständiges Audit-Protokoll darüber, wer wann auf welche Zugangsdaten zugegriffen hat, und eliminiert die informellen Praktiken zur Weitergabe von Zugangsdaten, die Angreifer ausnutzen. Wenn ein Phishing-Angriff erfolgreich ist und das Konto eines Mitarbeiters kompromittiert wird, begrenzen Passworks Zugriffskontrollen die laterale Bewegung — der Angreifer erreicht nur das, was diese Rolle legitimerweise berührt, nicht mehr.

Fazit

Die Kluft zwischen Social Engineering und Phishing ist nicht semantisch — sie ist strategisch. Organisationen, die Phishing als das gesamte Problem behandeln, werden E-Mail-Filter aufbauen, während sie ihre Telefonleitungen, physischen Zugangspunkte und menschliche Psychologie unverteidigt lassen.

Social Engineering vs. Phishing-Angriffe erfordert eine Reaktion, die dem vollen Umfang der Bedrohung entspricht: technische Kontrollen, die die Angriffsfläche reduzieren, und eine Sicherheitskultur, die Mitarbeiter von der am meisten ausgenutzten Schwachstelle in eine aktive Verteidigungsschicht verwandelt.

Die 60 % der Sicherheitsverletzungen, die den menschlichen Faktor beinhalten, werden nicht allein durch Technologie gelöst. Sie werden von Organisationen gelöst, die gleichermaßen in Systeme und in die Menschen investieren, die sie betreiben — und die eine Art von Vertrauen aufbauen, bei der ein Mitarbeiter sich sicher fühlt zu sagen: „Irgendetwas an dieser Anfrage fühlte sich falsch an, also habe ich angehalten und nachgefragt."

Dieser Instinkt ist die menschliche Firewall. Es lohnt sich, sie bewusst aufzubauen. Und das technische Fundament darunter — kontrollierter Zugang, eindeutige Zugangsdaten, vollständige Audit-Transparenz — ist genau das, was ein Tool wie Passwork bereitstellen soll.

Häufig gestellte Fragen

Enterprise-Passwortverwaltung: Der B2B-Leitfaden zu Deployment, Sicherheit & Implementierung (2026)

Ein umfassender Leitfaden für B2B-Führungskräfte zur Enterprise-Passwortverwaltung. Erkunden Sie Deployment-Optionen (Cloud, On-Premise, Hybrid), Sicherheitsarchitektur und Best Practices für die Implementierung.

Passwork BlogEirik Salmi

DSGVO-Passwortsicherheit: Leitfaden für effektive Mitarbeiterschulung

Lernen Sie bewährte Strategien, um Mitarbeiter für die DSGVO-Passwortsicherheits-Compliance zu schulen. Reduzieren Sie Sicherheitsrisiken mit praktischen Schulungsmethoden.

Passwork BlogAna Moore

Passwork: Secrets Management und Automatisierung für DevOps

Einführung In Unternehmensumgebungen steigt die Anzahl von Passwörtern, Schlüsseln und digitalen Zertifikaten rapide, und Secrets Management wird zu einer der kritischen Aufgaben für IT-Teams. Secrets Management befasst sich mit dem gesamten Lebenszyklus sensibler Daten: von der sicheren Generierung und verschlüsselten Speicherung bis hin zu automatisierter Rotation und Audit-Trails. Da

Passwork BlogEirik Salmi

El Informe sobre el Coste de una Filtración de Datos de IBM 2025 sitúa el coste medio global de una filtración de datos en 4,4 millones de dólares — una disminución del 9% respecto al año anterior, pero aún un riesgo financiero significativo para las organizaciones. Los firewalls se parchean. Los sistemas se actualizan. Pero la persona que contesta el teléfono, hace clic en un enlace o mantiene la puerta abierta para un desconocido — esa superficie de ataque no se reduce por sí sola.

Dos términos dominan cada conversación sobre ciberseguridad relacionada con ataques dirigidos a personas: ingeniería social y phishing. A menudo se usan indistintamente, lo que crea un punto ciego peligroso. Comprender la distinción — y la relación entre ellos — es el primer paso para construir defensas que realmente funcionen.

La ingeniería social es la estrategia general de manipulación psicológica. El phishing es su método de entrega digital más común. Uno es el manual de estrategias; el otro es una jugada específica.

Puntos principales:

• La ingeniería social explota atajos cognitivos para eludir controles de seguridad sin tocar una sola línea de código.
• El phishing es la forma más escalable de ingeniería social: digital, repetible y cada vez más automatizada. Su objetivo principal es el robo de credenciales, pero también distribuye malware, ransomware y transferencias financieras fraudulentas.
• Los dos no son intercambiables. Cada ataque de phishing es ingeniería social — pero la mayoría de los ataques de ingeniería social no son phishing. Las defensas construidas únicamente alrededor de filtros de correo electrónico dejan las líneas telefónicas, los puntos de acceso físico y la manipulación presencial completamente desprotegidos.
• Los controles de credenciales limitan el radio de impacto. Cuando la manipulación tiene éxito, el acceso basado en roles, las contraseñas únicas por sistema y la visibilidad completa de auditoría determinan hasta dónde puede avanzar un atacante. Herramientas como Passwork aplican estas prácticas a nivel de infraestructura.

¿Qué es la ingeniería social?

La ingeniería social es la práctica de explotar la psicología humana — en lugar de vulnerabilidades técnicas — para obtener acceso no autorizado a sistemas, datos o espacios físicos. Un atacante no necesita descifrar una contraseña si puede convencer a alguien de que se la entregue.

La disciplina es anterior a los ordenadores. Los estafadores, espías y defraudadores siempre han confiado en los mismos atajos cognitivos que hacen predecibles a los humanos. Lo que ha cambiado es la escala y precisión con la que estas técnicas pueden desplegarse ahora.

Los desencadenantes psicológicos que la hacen funcionar

Cada ataque de ingeniería social exitoso utiliza una o más de las siguientes palancas:

• Miedo — «Su cuenta será suspendida a menos que actúe ahora».
• Urgencia — «La transferencia bancaria debe salir antes del cierre de hoy».
• Autoridad — Suplantar a un director ejecutivo, auditor o administrador de TI.
• Curiosidad — Una memoria USB etiquetada como «Revisión Salarial Q4» dejada en un estacionamiento.
• Codicia — Una oferta, premio u oportunidad demasiado buena para ser verdad.

Estos no son defectos de diseño en la cognición humana — son características. Los atacantes simplemente convierten en armas los mismos atajos mentales que ayudan a las personas a funcionar eficientemente bajo presión.

Técnicas comunes de ingeniería social

Los ingenieros sociales confían en varias técnicas de manipulación probadas. Con el pretexting, fabrican escenarios creíbles para extraer información sensible. Otro enfoque, el baiting, ofrece algo tentador — como software gratuito — a cambio de detalles confidenciales. Luego está la suplantación de identidad: los atacantes se hacen pasar por alguien que la víctima conoce para obtener acceso a datos o sistemas.

Estos métodos explotan desencadenantes psicológicos como la confianza, la urgencia y la autoridad. Manipulan a las personas para que actúen sin considerar los riesgos de seguridad. La confianza nos hace cumplir con los superiores percibidos, la urgencia desactiva el pensamiento crítico, la autoridad explota nuestro instinto de obedecer a figuras de poder.

Estos desencadenantes explotan fenómenos sociales como la obediencia a la autoridad (experimentos de Milgram) y la escasez/urgencia (Cialdini). Evitan la deliberación racional mediante respuestas impulsadas por la amígdala. Cuando un correo electrónico grita «URGENTE», el miedo anula el pensamiento racional — las víctimas actúan antes de cuestionar.

El DBIR 2025 de Verizon afirma que el 24% de las filtraciones involucraron tácticas de ingeniería social. Esto demuestra su efectividad en la explotación del comportamiento humano en relación con las defensas técnicas. Otras técnicas como el tailgating (obtener acceso físico siguiendo a alguien) y los ataques de quid pro quo (ofrecer algo a cambio de información) también evitan el pensamiento racional y los protocolos de seguridad, haciéndolas difíciles de detectar.

¿Qué es el phishing?

El phishing es un subconjunto digital especializado de la ingeniería social. Utiliza principalmente comunicación electrónica para engañar a las personas y que revelen información sensible, como credenciales de inicio de sesión. 

A diferencia de los ataques tradicionales de ingeniería social, que pueden involucrar interacciones presenciales o llamadas telefónicas, el phishing se realiza predominantemente a través de correos electrónicos maliciosos, sitios web falsificados o mensajes de texto. Estos ataques se centran en la recolección de credenciales e intentan robar nombres de usuario, contraseñas y otros datos importantes.

Las tácticas de phishing dependen en gran medida de mensajes engañosos. A menudo están diseñados para parecer comunicaciones legítimas de fuentes de confianza, como bancos o departamentos de TI. Estos ataques se implementan utilizando métodos técnicos como URL falsificadas, enlaces maliciosos y sitios web que imitan a los reales.

Tipos de ataques de phishing: básicos, dirigidos y altamente sofisticados

El phishing es un subconjunto específico de la ingeniería social que utiliza mensajes digitales engañosos — correo electrónico, SMS, llamadas de voz o mensajes directos — para robar credenciales, desplegar malware o manipular a los objetivos para que realicen una acción perjudicial.

Si la ingeniería social es la estrategia, el phishing es la táctica más escalable dentro de ella. Es digital, repetible y cada vez más automatizado. El Informe sobre el Coste de una Filtración de Datos 2025 de IBM identificó el phishing como el principal vector de ataque inicial, responsable del 16% de las filtraciones con un coste medio de 4,4 millones de dólares por incidente.

La evolución de los ataques de phishing

• Spear phishing es phishing dirigido. En lugar de lanzar una red amplia, los atacantes investigan a un individuo específico — su rol, colegas, proyectos recientes — y elaboran un mensaje que parece completamente legítimo. La personalización aumenta drásticamente las tasas de éxito.
• Whaling es spear phishing dirigido a ejecutivos de nivel C. Las apuestas son más altas (las credenciales de ejecutivos desbloquean más), y los señuelos están adaptados a las preocupaciones ejecutivas: comunicaciones de la junta, actividad de fusiones y adquisiciones, presentaciones regulatorias.
• Vishing (phishing de voz) utiliza llamadas telefónicas para manipular a los objetivos. La detección de ataques de vishing aumentó un 442% a finales de 2024 y en 2025. La clonación de voz con IA ha hecho esta categoría particularmente peligrosa — más sobre esto a continuación.
• Smishing (phishing por SMS) explota las tasas de apertura más altas de los mensajes de texto y la relativa falta de herramientas de seguridad en dispositivos móviles. Las notificaciones falsas de entrega, alertas bancarias y solicitudes de autenticación de dos factores son señuelos comunes.

La siguiente tabla compara diferentes tipos de phishing:

Tácticas comunes de phishing y señales de alerta

La IA permite la generación de contenido personalizado. Los atacantes adaptan sus enfoques a objetivos específicos y pasan desapercibidos para las herramientas de seguridad tradicionales. Los atacantes ahora manipulan elementos visuales y voces para crear comunicaciones fraudulentas que parecen completamente legítimas — una tendencia que el informe sobre el Coste de una Filtración de Datos de IBM señala como cada vez más difícil de detectar. Para los equipos de ciberseguridad, esta creciente sofisticación significa defenderse contra amenazas que parecen y suenan reales.

Ingeniería social vs. phishing: diferencias y relación

El phishing es una forma específica de ingeniería social centrada en el robo de credenciales a través de comunicaciones digitales engañosas. Mientras que la ingeniería social abarca una amplia gama de tácticas manipulativas, como el pretexting y el baiting, el phishing está dirigido principalmente a robar información de inicio de sesión, a menudo a través de correo electrónico, SMS o canales de voz. 

La principal diferencia radica en el medio y el enfoque: la ingeniería social abarca tácticas físicas/digitales (por ejemplo, pretexting presencial, tailgating), mientras que el phishing es centrado en lo digital (correo electrónico, SMS, voz a través de canales falsificados), siempre un subconjunto de la ingeniería social.

La relación es jerárquica, no competitiva. El phishing es una herramienta dentro del conjunto más amplio de herramientas de ingeniería social.

¿Es el phishing un tipo de ingeniería social? Sí, definitivamente. Cada ataque de phishing es ingeniería social, pero la mayoría de los ataques de ingeniería social no son phishing. Reconocer esta jerarquía importa porque las defensas diseñadas solo para detectar correos electrónicos de phishing pasarán por alto las llamadas de pretexting, los intentos de baiting y las intrusiones físicas por completo.

El panorama de amenazas de 2025: cómo la IA está cambiando las reglas del juego

El consejo que definió la formación de concienciación sobre phishing durante una década — «busque errores gramaticales y de ortografía» — ahora está en gran medida obsoleto. La IA generativa ha eliminado los indicadores lingüísticos que antes hacían identificables los correos electrónicos de phishing.

Phishing generado por IA a escala

Los modelos de lenguaje grandes pueden producir señuelos de phishing gramaticalmente impecables, contextualmente precisos y profundamente personalizados en segundos. Lo que anteriormente requería un atacante hábil con competencia lingüística y horas de investigación ahora puede automatizarse a escala industrial. El informe de 2025 de IBM encontró que el phishing generado por IA fue el uso más común de la IA en ataques, apareciendo en el 37% de las filtraciones que involucraban IA.

La implicación es directa: el volumen ya no es una restricción para los atacantes. Las campañas que antes se dirigían a miles ahora pueden dirigirse a millones con el mismo nivel de personalización aparente.

Vishing con deepfake: cuando no se puede confiar en la voz

A principios de 2024, la firma de ingeniería Arup perdió 25,6 millones de dólares después de que un empleado fuera engañado por una videollamada deepfake que suplantaba al director financiero de la empresa y a otros colegas. El atacante usó voces clonadas con IA y video para simular una reunión interna legítima. El empleado transfirió los fondos creyendo que había recibido instrucciones directas de la alta dirección.

Este no es un incidente aislado — es una vista previa del procedimiento operativo estándar. Las herramientas de clonación de voz están ampliamente disponibles, requieren solo unos segundos de audio para generar una réplica convincente y son cada vez más indistinguibles de lo real sin verificación técnica.

Elusión de MFA: por qué la autenticación multifactor no es suficiente por sí sola

La autenticación multifactor (MFA) sigue siendo uno de los controles más efectivos contra el robo de credenciales. Pero la ingeniería social se ha adaptado.

• Bombardeo de solicitudes (también llamado fatiga de MFA) implica inundar al objetivo con notificaciones push de autenticación hasta que apruebe una por frustración o confusión. Los atacantes luego usan la sesión aprobada para obtener acceso.
• Los ataques de adversario en el medio (AiTM) usan kits de phishing de proxy inverso para interceptar tokens de autenticación en tiempo real. El objetivo completa un inicio de sesión de apariencia legítima — incluyendo MFA — mientras el atacante captura el token de sesión y lo usa de forma independiente.

La conclusión: MFA es necesario pero no suficiente. El tipo de MFA importa, y también lo hace capacitar a los empleados para reconocer intentos de manipulación que apuntan al proceso de autenticación en sí.

Cómo defenderse contra la ingeniería social y el phishing

La defensa efectiva opera en dos vías simultáneamente: comportamiento humano y controles técnicos. Ninguna funciona sin la otra.

Defensas centradas en el ser humano

Este marco de cuatro pasos proporciona a los empleados un modelo mental concreto para manejar situaciones sospechosas:

1. Sentir — Note el desencadenante emocional. ¿Me siento apurado, asustado, curioso o halagado? Esa sensación es la señal.
2. Pausar — Haga una pausa deliberada antes de actuar. La urgencia es una herramienta de manipulación; las solicitudes legítimas pueden esperar 60 segundos.
3. Verificar — Confirme la solicitud a través de un canal independiente. No responda al correo electrónico sospechoso — llame al remitente a un número conocido.
4. Actuar — Solo proceda una vez que la solicitud esté verificada. Si la verificación no es posible, escale al equipo de seguridad.

El tiempo medio para que un usuario caiga en un correo electrónico de phishing es menos de 60 segundos. Este marco está diseñado para interrumpir ese reflejo antes de que se complete.

Verificación fuera de banda

Cualquier solicitud que involucre transferencias financieras, cambios de credenciales o acceso a datos sensibles debe requerir verificación a través de un canal secundario e independiente. Si un «director financiero» envía un correo electrónico solicitando una transferencia bancaria, llame al director financiero directamente usando un número de teléfono del directorio de la empresa — no uno proporcionado en el correo electrónico. Este único control habría prevenido el ataque deepfake de Arup.

Simulación continua en lugar de formación anual

La formación anual de concienciación sobre seguridad es insuficiente. Los atacantes no operan con un calendario anual. Las simulaciones de phishing regulares y realistas — variadas en formato, tipo de señuelo y canal de entrega — construyen el reconocimiento de patrones que la formación única no puede lograr. El objetivo es el reflejo, no el recuerdo.

Una cultura de reporte sin culpa es igualmente importante. Los empleados que temen el castigo por hacer clic en un enlace ocultarán los incidentes en lugar de reportarlos, eliminando la señal de alerta temprana de la que dependen los equipos de seguridad.

Controles técnicos

MFA resistente al phishing

Reemplace MFA basado en SMS y notificaciones push con llaves de seguridad de hardware FIDO2/WebAuthn o passkeys. Estas están vinculadas criptográficamente al dominio legítimo, haciéndolas inmunes a los ataques AiTM y al bombardeo de solicitudes por diseño. CISA recomienda explícitamente MFA resistente al phishing como el estándar para cuentas de alto valor.

Seguridad de correo electrónico y web

Implemente DMARC, DKIM y SPF en todos los dominios de envío para prevenir la suplantación de dominios. Agregue filtrado avanzado de correo electrónico con escaneo de enlaces, sandboxing de archivos adjuntos y detección de anomalías basada en IA. Estos controles no detectarán todo, pero aumentan significativamente el coste de una campaña exitosa.

Arquitectura Zero Trust

El acceso a la red de confianza cero (ZTNA) opera bajo el principio de «nunca confiar, siempre verificar». Incluso si un atacante compromete exitosamente las credenciales de un empleado, los controles de acceso de mínimo privilegio limitan lo que pueden alcanzar. La segmentación contiene el radio de impacto. Esta es la respuesta arquitectónica a la realidad de que algunos ataques tendrán éxito.

La higiene de credenciales es fundamental para cualquier implementación de Zero Trust — y es una de las brechas más pasadas por alto en la defensa contra la ingeniería social. Cuando los empleados reutilizan contraseñas entre sistemas o las almacenan en hojas de cálculo y registros de chat, un solo intento de phishing exitoso puede convertirse en una filtración completa.

Passwork aborda esto directamente. Como gestor de contraseñas empresarial diseñado para entornos corporativos, aplica controles de acceso basados en roles, mantiene un registro de auditoría completo de quién accedió a qué credenciales y cuándo, y elimina las prácticas informales de compartición de credenciales que los atacantes explotan. Si un ataque de phishing tiene éxito y la cuenta de un empleado se ve comprometida, los controles de acceso de Passwork limitan el movimiento lateral — el atacante solo alcanza lo que ese rol legítimamente necesita, nada más.

Conclusión

La brecha entre la ingeniería social y el phishing no es semántica — es estratégica. Las organizaciones que tratan el phishing como el problema completo construirán filtros de correo electrónico mientras dejan sus líneas telefónicas, puntos de acceso físico y psicología humana sin defensa.

Ingeniería social vs. ataques de phishing requiere una respuesta que coincida con el alcance completo de la amenaza: controles técnicos que reduzcan la superficie de ataque y una cultura de seguridad que convierta a los empleados de la vulnerabilidad más explotada en una capa activa de defensa.

El 60% de las filtraciones que involucran el elemento humano no se resolverán solo con tecnología. Se resolverán por organizaciones que inviertan igualmente en sistemas y en las personas que los operan — y que construyan el tipo de confianza donde un empleado se sienta seguro diciendo: «Algo en esta solicitud me pareció extraño, así que me detuve y pregunté».

Ese instinto es el cortafuegos humano. Vale la pena construirlo deliberadamente. Y la base técnica debajo de él — acceso controlado, credenciales únicas, visibilidad completa de auditoría — es exactamente lo que una herramienta como Passwork está diseñada para proporcionar.

Preguntas frecuentes

Enterprise password management: The B2B Guide to Deployment, Security & Implementation (2026)

A comprehensive guide for B2B leaders on enterprise password management. Explore deployment options (cloud, on-premise, hybrid), security architecture, and implementation best practices.

Passwork BlogEirik Salmi

GDPR password security: Guide to effective staff training

Learn proven strategies to train employees for GDPR password security compliance. Reduce breach risks with practical training methods.

Passwork BlogAna Moore

Passwork: Secrets management and automation for DevOps

Introduction In corporate environment, the number of passwords, keys, and digital certificates is rapidly increasing, and secrets management is becoming one of the critical tasks for IT teams. Secrets management addresses the complete lifecycle of sensitive data: from secure generation and encrypted storage to automated rotation and audit trails. As

Passwork BlogEirik Salmi

The IBM Cost of a Data Breach Report 2025 places the global average cost of a data breach at $4.4 million — a 9% decrease from the previous year but still a significant financial risk for organizations. Firewalls get patched. Systems get updated. But the person who picks up the phone, clicks a link, or holds the door open for a stranger — that attack surface doesn't shrink on its own.

Two terms dominate every cybersecurity conversation about human-targeted attacks: social engineering and phishing. They're often used interchangeably, which creates a dangerous blind spot. Understanding the distinction — and the relationship between them — is the first step toward building defenses that actually hold.

Social engineering is the overarching psychological manipulation strategy. Phishing is its most common digital delivery method. One is the playbook; the other is a specific play.

Main points:

• Social engineering exploits cognitive shortcuts to bypass security controls without touching a single line of code.
• Phishing is the most scalable form of social engineering: digital, repeatable, and increasingly automated. Its primary goal is credential theft, but it also delivers malware, ransomware, and fraudulent financial transfers.
• The two are not interchangeable. Every phishing attack is social engineering — but most social engineering attacks are not phishing. Defenses built only around email filters leave phone lines, physical access points, and in-person manipulation entirely unaddressed.
• Credential controls limit the blast radius. When manipulation succeeds role-based access, unique passwords per system, and full audit visibility determine how far an attacker can move. Tools like Passwork enforce these practices at the infrastructure level.

What is social engineering?

Social engineering is the practice of exploiting human psychology — rather than technical vulnerabilities — to gain unauthorized access to systems, data, or physical spaces. An attacker doesn't need to crack a password if they can convince someone to hand it over.

The discipline predates computers. Con artists, spies, and fraudsters have always relied on the same cognitive shortcuts that make humans predictable. What's changed is the scale and precision with which these techniques can now be deployed.

The psychological triggers that make it work

Every successful social engineering attack pulls on one or more of the following levers:

• Fear — "Your account will be suspended unless you act now."
• Urgency — "The wire transfer must go out before end of business today."
• Authority — Impersonating a CEO, auditor, or IT administrator.
• Curiosity — A USB drive labeled "Q4 Salary Review" left in a parking lot.
• Greed — A too-good-to-be-true offer, prize, or opportunity.

These aren't design flaws in human cognition — they're features. Attackers simply weaponize the same mental shortcuts that help people function efficiently under pressure.

Common social engineering techniques

Social engineers rely on several proven manipulation techniques. With pretexting, they fabricate believable scenarios to extract sensitive information. Another approach, baiting, dangles something tempting — like free software — in exchange for confidential details. Then there's impersonation: attackers pose as someone the victim knows to gain access to data or systems.

These methods exploit psychological triggers such as trust, urgency, and authority. They manipulate individuals into acting without considering security risks. Trust makes us comply with perceived superiors, urgency disables critical thinking, authority exploits our instinct to obey figures of power.

These triggers exploit social phenomena like obedience to authority (Milgram experiments) and scarcity/urgency (Cialdini). They bypass rational deliberation via amygdala-driven responses. When an email screams "URGENT," fear overrides rational thought — victims act before questioning.

The Verizon 2025 DBIR states that 24% of breaches involved social engineering tactics. This demonstrates their effectiveness in exploiting human behavior relative to technical defenses. Other techniques like tailgating (gaining physical access by following someone) and quid pro quo attacks (offering something in return for information) also bypass rational thinking and security protocols, making them difficult to detect.

What is phishing?

Phishing is a specialized digital subset of social engineering. It primarily uses electronic communication to deceive individuals into revealing sensitive information, such as login credentials. 

Unlike traditional social engineering attacks, which may involve in-person interactions or phone calls, phishing is predominantly conducted through malicious emails, spoofed websites, or text messages. These attacks focus on credential harvesting and attempt to steal usernames, passwords, and other important data.

Phishing tactics rely heavily on deceptive messages. Often they are designed to look like legitimate communications from trusted sources, such as banks or IT departments. These attacks are implemented using technical methods like spoofed URLs, malicious links, and websites that mimic real ones.

Types of phishing attacks: basic, targeted, and highly sophisticated

Phishing is a specific subset of social engineering that uses deceptive digital messages — email, SMS, voice calls, or direct messages — to steal credentials, deploy malware, or manipulate targets into taking a harmful action.

If social engineering is the strategy, phishing is the most scalable tactic within it. It's digital, repeatable, and increasingly automated. IBM's 2025 Cost of a Data Breach Report identified phishing as the leading initial attack vector, responsible for 16% of breaches at an average cost of $4.4 million per incident.

The evolution of phishing attacks

• Spear phishing is targeted phishing. Instead of casting a wide net, attackers research a specific individual — their role, colleagues, recent projects — and craft a message that feels entirely legitimate. The personalization dramatically increases success rates.
• Whaling is spear phishing aimed at C-suite executives. The stakes are higher (executive credentials unlock more), and the lures are tailored to executive concerns: board communications, M&A activity, regulatory filings.
• Vishing (voice phishing) uses phone calls to manipulate targets. Detection of vishing attacks surged 442% in late 2024 and into 2025. AI voice cloning has made this category particularly dangerous — more on that below.
• Smishing (SMS phishing) exploits the higher open rates of text messages and the relative lack of security tooling on mobile devices. Fake delivery notifications, bank alerts, and two-factor authentication prompts are common lures.

The following table compares different phishing types:

Common phishing tactics and red flags

AI enables personalized content generation. Attackers tailor their approaches to specific targets and fly under the radar of traditional security tools. Attackers now manipulate visuals and voices to create fraudulent communications that seem utterly legitimate — a trend the IBM Cost of Data Breach report flags as increasingly difficult to detect. For cybersecurity teams, this growing sophistication means defending against threats that look and sound real.

Social engineering vs. phishing: differences and relationship

Phishing is a specific form of social engineering focused on credential theft through deceptive digital communications. While social engineering encompasses a wide range of manipulative tactics, such as pretexting and baiting, phishing is primarily aimed at stealing login information, often via email, SMS, or voice channels. 

The main difference lies in medium and focus: social engineering spans physical/digital tactics (e.g., in-person pretexting, tailgating), while phishing is digital-centric (email, SMS, voice via spoofed channels), always a subset of social engineering.

The relationship is hierarchical, not competitive. Phishing is one tool within the broader social engineering toolkit.

Is phishing a type of social engineering? Yes, definitively. Every phishing attack is social engineering, but most social engineering attacks are not phishing. Recognizing this hierarchy matters because defenses designed only to catch phishing emails will miss pretexting calls, baiting attempts, and physical intrusions entirely.

The 2025 threat landscape: How AI is changing the game

The advice that defined phishing awareness training for a decade — "look for bad grammar and spelling errors" — is now largely obsolete. Generative AI has eliminated the linguistic tells that once made phishing emails identifiable.

AI-generated phishing at scale

Large language models can produce grammatically flawless, contextually accurate, and deeply personalized phishing lures in seconds. What previously required a skilled attacker with language proficiency and hours of research can now be automated at industrial scale. IBM's 2025 report found that AI-generated phishing was the most common use of AI in attacks, appearing in 37% of AI-involved breaches.

The implication is direct: volume is no longer a constraint for attackers. Campaigns that once targeted thousands can now target millions with the same level of apparent personalization.

Deepfake vishing: when you can't trust the voice

In early 2024, engineering firm Arup lost $25.6 million after an employee was deceived by a deepfake video call impersonating the company's CFO and other colleagues. The attacker used AI-cloned voices and video to simulate a legitimate internal meeting. The employee transferred the funds believing they had received direct instructions from senior leadership.

This isn't an isolated incident — it's a preview of standard operating procedure. Voice cloning tools are widely available, require only a few seconds of audio to generate a convincing replica, and are increasingly indistinguishable from the real thing without technical verification.

MFA bypass: why multi-factor authentication isn't enough on its own

Multi-Factor Authentication (MFA) remains one of the most effective controls against credential theft. But social engineering has adapted.

• Prompt bombing (also called MFA fatigue) involves flooding a target with authentication push notifications until they approve one out of frustration or confusion. Attackers then use the approved session to gain access.
• Adversary-in-the-Middle (AiTM) attacks use reverse-proxy phishing kits to intercept authentication tokens in real time. The target completes a legitimate-looking login — including MFA — while the attacker captures the session token and uses it independently.

The takeaway: MFA is necessary but not sufficient. The type of MFA matters, and so does training employees to recognize manipulation attempts that target the authentication process itself.

How to defend against social engineering and phishing

Effective defense operates on two tracks simultaneously: human behavior and technical controls. Neither works without the other.

Human-centric defenses

This four-step framework gives employees a concrete mental model for handling suspicious situations:

1. Feel — Notice the emotional trigger. Am I feeling rushed, scared, curious, or flattered? That sensation is the signal.
2. Slow — Deliberately pause before acting. Urgency is a manipulation tool; legitimate requests can wait 60 seconds.
3. Verify — Confirm the request through an independent channel. Don't reply to the suspicious email — call the sender on a known number.
4. Act — Only proceed once the request is verified. If verification isn't possible, escalate to security.

The median time for a user to fall for a phishing email is under 60 seconds. This framework is designed to interrupt that reflex before it completes.

Out-of-band verification

Any request involving financial transfers, credential changes, or sensitive data access should require verification through a secondary, independent channel. If a "CFO" emails requesting a wire transfer, call the CFO directly using a phone number from the company directory — not one provided in the email. This single control would have prevented the Arup deepfake attack.

Continuous simulation over annual training

Annual security awareness training is insufficient. Attackers don't operate on an annual schedule. Regular, realistic phishing simulations — varied in format, lure type, and delivery channel — build the pattern recognition that one-time training cannot. The goal is reflex, not recall.

A no-blame reporting culture is equally important. Employees who fear punishment for clicking a link will hide incidents rather than report them, eliminating the early warning signal that security teams depend on.

Technical controls

Phishing-resistant MFA

Replace SMS-based and push-notification MFA with FIDO2/WebAuthn hardware security keys or passkeys. These are cryptographically bound to the legitimate domain, making them immune to AiTM attacks and prompt bombing by design. CISA explicitly recommends phishing-resistant MFA as the standard for high-value accounts.

Email and web security

Implement DMARC, DKIM, and SPF across all sending domains to prevent domain spoofing. Layer in advanced email filtering with link scanning, attachment sandboxing, and AI-based anomaly detection. These controls won't catch everything, but they significantly raise the cost of a successful campaign.

Zero Trust architecture

Zero Trust Network Access (ZTNA) operates on the principle of "never trust, always verify." Even if an attacker successfully compromises one employee's credentials, least-privilege access controls limit what they can reach. Segmentation contains the blast radius. This is the architectural response to the reality that some attacks will succeed.

Credential hygiene is foundational to any Zero Trust implementation — and it's one of the most overlooked gaps in social engineering defense. When employees reuse passwords across systems or store them in spreadsheets and chat logs, a single successful phishing attempt can cascade into a full breach.

Passwork addresses this directly. As a business password manager built for enterprise environments, it enforces role-based access controls, maintains a full audit log of who accessed which credentials and when, and eliminates the informal credential-sharing practices that attackers exploit. If a phishing attack does succeed and an employee's account is compromised, Passwork's access controls limit lateral movement — the attacker reaches only what that role legitimately touches, nothing more.

Conclusion

The gap between social engineering and phishing isn't semantic — it's strategic. Organizations that treat phishing as the whole problem will build email filters while leaving their phone lines, physical access points, and human psychology undefended.

Social engineering vs. phishing attacks requires a response that matches the full scope of the threat: technical controls that reduce the attack surface, and a security culture that turns employees from the most exploited vulnerability into an active layer of defense.

The 60% of breaches that involve the human element won't be solved by technology alone. They'll be solved by organizations that invest equally in systems and in the people who operate them — and who build the kind of trust where an employee feels safe saying, "Something about this request felt wrong, so I stopped and asked."

That instinct is the human firewall. It's worth building deliberately. And the technical foundation underneath it — controlled access, unique credentials, full audit visibility — is exactly what a tool like Passwork is designed to provide.

Frequently Asked Questions

Enterprise password management: The B2B Guide to Deployment, Security & Implementation (2026)

A comprehensive guide for B2B leaders on enterprise password management. Explore deployment options (cloud, on-premise, hybrid), security architecture, and implementation best practices.

Passwork BlogEirik Salmi

GDPR password security: Guide to effective staff training

Learn proven strategies to train employees for GDPR password security compliance. Reduce breach risks with practical training methods.

Passwork BlogAna Moore

Passwork: Secrets management and automation for DevOps

Introduction In corporate environment, the number of passwords, keys, and digital certificates is rapidly increasing, and secrets management is becoming one of the critical tasks for IT teams. Secrets management addresses the complete lifecycle of sensitive data: from secure generation and encrypted storage to automated rotation and audit trails. As

Passwork BlogEirik Salmi