Warum wir Passwörter für Kandidaten abgeschafft haben und was sie ersetzt hat
Bewerbungszeit auf fünf Minuten verkürzt, Conversion bis zu 365% höher. Wir haben Kandidaten-Passwörter durch Magic Links ersetzt. Hier sind die Daten dazu.
Ernest Bursa
Mehr als die Hälfte der Bewerber, die eine Bewerbung beginnen, schließen sie nie ab. Laut einer LiveCareer-Studie brechen 57 % konkret wegen komplexer Prozesse und mangelnder Transparenz ab. Die größte Quelle dieser Komplexität? Die Erstellung eines Kontos mit Passwort. Wir haben Passwörter komplett aus der Bewerbererfahrung bei Kit entfernt und durch Magic Links ersetzt. Dieser Artikel erklärt, warum – mit den Daten, die diese Entscheidung offensichtlich gemacht haben.
Die Passwort-Steuer auf die Personalbeschaffung
Jedes ATS, das Bewerber zwingt, vor der Bewerbung ein Konto zu erstellen, führt ein Conversion-Experiment durch. Das Ergebnis dieses Experiments ist seit über einem Jahrzehnt dasselbe: Sie verlieren die meisten Bewerber am Login-Bildschirm.
Wenn Bewerbungen länger als 15 Minuten dauern – was schnell passiert, sobald E-Mail-Verifizierung, Passwortregeln und fehlerhafte Lebenslauf-Analyse hinzukommen –, sinkt die Abschlussrate von 12,5 % auf 3,6 %, laut dem Appcast 2026 Recruitment Marketing Benchmark Report.
Überlegen Sie, was das in konkreten Zahlen bedeutet. Sie haben Geld für Anzeigen auf Jobbörsen, Employer Branding, vielleicht sogar für programmatische Anzeigen ausgegeben. Sie haben einen Bewerber so weit interessiert, dass er auf „Bewerben“ klickt. Dann hat Ihr ATS von ihm verlangt, ein 12-stelliges Passwort mit Sonderzeichen für ein System zu erfinden, das er genau drei Mal nutzen wird. Er hat den Tab geschlossen.
Eine Verkürzung der Bewerbungszeit auf fünf Minuten oder weniger steigert die Conversion-Rate um bis zu 365 %, laut Appcast. Das ist keine marginale Verbesserung. Das ist der Unterschied zwischen erfolgreicher Einstellung und Nichtbesetzung.
Was Bewerber tatsächlich erleben
Falls Sie sich nicht kürzlich über Workday beworben haben, probieren Sie es aus. Die Erfahrung ist aufschlussreich.
Die Legacy-Mauer: Workday, Taleo, iCIMS
Workday verlangt für jedes Unternehmen ein brandneues Konto. Es gibt keine zentrale Bewerberidentität. Bewerber auf Reddits r/recruitinghell beschreiben die Erfahrung regelmäßig so, dass sie eine einminütige Aufgabe in eine zehnminütige Tortur verwandelt. Andere sagen, sie überspringen jede Stellenanzeige, die zu einer Workday-Login-Seite führt.
Oracle Taleo ist schlimmer. Die mehrseitigen Workflows, rigiden Passwortanforderungen und häufigen Sitzungs-Timeouts sind so abschreckend, dass Bewerber berichten, den Browser sofort zu schließen, sobald sie „taleo“ in der URL sehen. Branchenanalysten haben festgestellt, dass das Produkt „so ziemlich in allem versagt“, was Benutzererfahrung betrifft.
iCIMS verlangt das Hochladen eines Lebenslaufs und fordert dann sofort, dieselben Informationen erneut in separate Formularfelder einzutippen. Ihr eigener 2025 State of Frontline Hiring Report räumt allein im Gastgewerbe eine Abbruchrate von 68 % bei Bewerbungen ein.
Die bessere Mitte: Greenhouse, Lever, Ashby
Moderne Plattformen haben dieses Problem erkannt. Greenhouse ermöglicht Bewerbungen ohne Konto, obwohl das optionale „MyGreenhouse“-Portal weiterhin Passwörter verwendet. Lever setzt auf Google/LinkedIn-SSO, was Bewerber in der Regel bevorzugen. Ashby geht noch weiter mit einer nativen „Mit Magic Link anmelden“-Option.
Die Richtung ist klar. Der Markt bewegt sich weg von Passwörtern. Die einzige Frage ist, wie schnell.
| Plattform | Konto erforderlich? | Authentifizierung | Schritte bis zur Bewerbung | Bewerberstimmung |
|---|---|---|---|---|
| Workday | Ja | Passwort (pro Unternehmen) | 10-15 | Sehr negativ |
| Taleo | Ja | Passwort | 10+ | Sehr negativ |
| iCIMS | Oft ja | Passwort + erneute Dateneingabe | 8-12 | Negativ |
| Greenhouse | Nein | Optionales Passwort-Portal | 3-5 | Positiv |
| Lever | Nein | SSO (Google/LinkedIn) | 3 | Positiv |
| Ashby | Variiert | SSO + Magic Link | 2-4 | Positiv |
| Kit | Nein | Magic Link | 2 | Reibungslos |
Warum Mobilgeräte Passwörter inakzeptabel machen
Über 65 % aller Bewerbungen starten heute auf Mobilgeräten, laut Appcast. Im Gastgewerbe und bei Gig-Economy-Stellen liegt die Zahl über 80 %.
Ein komplexes Passwort auf einer Smartphone-Tastatur einzutippen ist langsam und fehleranfällig. Der Wechsel zur Mail-App für einen Bestätigungscode beendet oft die Sitzung. Die Rückkehr zum Browser bedeutet: von vorne anfangen. Das sind keine Randfälle, sondern die Standarderfahrung der meisten Bewerber.
Das heißt: Unternehmen mit passwortgeschützten Portalen filtern systematisch mobile-orientierte Bewerber heraus. Das betrifft die meisten Gen-Z-Fachkräfte, Frontline-Mitarbeiter und passive Kandidaten, die auf ihrem Handy durch LinkedIn scrollen. Sie verlieren nicht nur Bewerbungen. Sie verlieren eine ganze Zielgruppe.
Wie Magic Links funktionieren
Ein Magic Link ersetzt das Passwort durch etwas, das der Bewerber bereits kontrolliert: seinen E-Mail-Posteingang.
- Der Bewerber gibt seine E-Mail-Adresse ein. Ein Feld. Kein „Wählen Sie einen Benutzernamen“ oder „Bestätigen Sie Ihr Passwort.“
- Das System generiert einen kryptografischen Token. Ein einmaliger, zeitlich begrenzter String (typischerweise 5-15 Minuten Gültigkeit), der mit dem Bewerberprofil verknüpft ist.
- Der Token kommt als klickbarer Link. Per E-Mail zugestellt, öffnet er sofort die authentifizierte Sitzung des Bewerbers.
- Ein Klick, und der Bewerber ist drin. Der Token wird nach der Nutzung ungültig. Keine Replay-Attacken, keine gespeicherten Anmeldedaten.
Die entscheidende Erkenntnis ist die Zugriffshäufigkeit. Passwörter wurden für Systeme entwickelt, die man täglich nutzt: E-Mail, Online-Banking, Arbeitsrechner. Ein Bewerber interagiert mit einem ATS vielleicht drei Mal über einen 45-tägigen Einstellungszyklus: einmal zur Bewerbung, einmal zur Terminplanung, einmal zur Angebotsüberprüfung.
Jemanden zu bitten, für drei Anmeldungen im gesamten Leben ein Passwort zu erstellen und sich zu merken, ist ein Anti-Pattern. Wenn der Bewerber zwei Wochen später zum Vorstellungsgespräch zurückkehrt, hat er es vergessen. Er klickt auf „Passwort vergessen“. Der Reset-Ablauf sendet eine E-Mail mit einem Einmal-Link. Das ist buchstäblich ein Magic Link – mit fünf zusätzlichen Frustrationsschritten.
Magic Links machen den Wiederherstellungspfad einfach zum primären Pfad.
Sicherheit ohne Theater
Der häufigste Einwand, den wir von Enterprise-Käufern hören, betrifft die Sicherheit. „Braucht man nicht ein Passwort, um sicher zu sein?“ Nein. In der Praxis sind Passwörter die schwächste Stelle in den meisten Systemen.
Passwörter sind die Schwachstelle
85 % der Verbraucher verwenden Passwörter plattformübergreifend wieder, wobei 41 % dies häufig tun, laut dem LastPass-Report „Psychology of Passwords“. Wenn Bewerber dasselbe Passwort für Ihr ATS-Portal und ein kompromittiertes Hobbyforum verwenden, sind Ihre Bewerberdaten durch Credential-Stuffing-Angriffe gefährdet. Das ist nicht theoretisch. Es passiert ständig.
Magic Links vs. Passkeys
2026 sind die zwei wichtigsten passwortlosen Optionen Magic Links und Passkeys (FIDO/WebAuthn). Passkeys nutzen Public-Key-Kryptografie, die auf dem Gerät des Nutzers gespeichert und durch Biometrie gesichert wird. Sie sind kryptografisch stärker und ideal für häufigen Zugriff.
Für Bewerber sind Passkeys jedoch überdimensioniert. Einen flüchtigen Nutzer zur Generierung, Speicherung und Synchronisierung eines Passkeys für eine 45-tägige Beziehung zu verpflichten, bringt Komplexität ohne praktischen Nutzen. Das Bedrohungsmodell ist entscheidend: Ein ATS-Bewerberprofil enthält Lebensläufe und Kontaktdaten – also Informationen, die auf LinkedIn ohnehin weitgehend öffentlich sind. Das Risiko, dass ein Magic Link gezielt abgefangen wird, ist im Vergleich zum täglichen automatisierten Credential Stuffing bei Passwortsystemen vernachlässigbar.
Magic Links können mit kurzen Ablaufzeiten, Browser-Session-Bindung und strikter Einmalverwendung gehärtet werden. Für Recruiting treffen sie den richtigen Kompromiss: hohe Sicherheit, null Reibungsverluste.
Die Kosten für Passwort-Resets summieren sich
Passwort-Resets machen 20-50 % aller IT-Helpdesk-Tickets aus, laut Gartner. Jeder Reset kostet rund 70 US-Dollar an Arbeitskosten, nach Schätzungen von Forrester. Für Recruiting-Teams bedeutet das: Talent-Acquisition-Fachkräfte beheben Login-Probleme, statt Kandidaten zu gewinnen.
Die messbaren Auswirkungen passwortloser Systeme
Conversion-Steigerungen
Die Daten von Appcast zeigen, dass die Reduktion von Reibung im Bewerbungsprozess (weniger Felder, weniger Schritte, keine Kontoerstellung) die größten Zugewinne auf Mobilgeräten bringt, wo die Abschlussraten von Formularen am niedrigsten sind. Ihre Benchmark-Daten zeigen durchgängig, dass mobil optimierte, reibungsarme Bewerbungen 2- bis 3-mal besser konvertieren als herkömmliche mehrstufige Abläufe.
Das Muster gilt branchenübergreifend: Beseitigen Sie Barrieren, und die Abschlussraten steigen. Die größten Zugewinne entstehen bei mobilen Nutzern, die bei der Passworteingabe die meiste Reibung erleben.
Reaktivierung auf neuem Niveau
Hier ist eine Zahl, die Ihre Sichtweise auf Ihren Talentpool verändern sollte. Slack hat öffentlich geteilt, dass Teams mit Magic-Link-Einladungen das Onboarding 2,3 Tage schneller abschlossen als solche mit herkömmlichen Passwort-Abläufen – was mit 31 % höheren jährlichen Vertragswerten korrelierte. Die Videoplattform Money Alive berichtete von einer Reduktion der Support-Zeit um 75 % nach dem Wechsel von Passwörtern zu temporären Zugangscodes.
Das sind keine Recruiting-spezifischen Beispiele, aber das Muster ist direkt übertragbar. Seltener, hochintentionaler Zugriff ist exakt das Profil eines Jobbewerbers. Wenn Sie einem wiederkehrenden Bewerber einen Magic Link senden, statt ihn zu bitten, sich an ein vor sechs Monaten erstelltes Passwort zu erinnern, klicken sich mehr von ihnen tatsächlich durch.
Wie Kit den Bewerberzugang handhabt
Als wir Kit entwickelten, trafen wir eine bewusste architektonische Entscheidung: Bewerber sehen nie ein Registrierungsformular, ein Passwortfeld oder einen Kontoerstellungsbildschirm. Ob sie sich auf eine Stelle bewerben, einen Termin für ein Vorstellungsgespräch wählen, eine Code-Aufgabe einreichen oder ein Angebotsschreiben prüfen – der Ablauf ist immer derselbe.
Sie geben ihre E-Mail ein. Sie klicken auf den Link. Sie sind drin.
Das ist kein Feature. Es ist eine Philosophie. Wenn Sie glauben, dass Bewerber Menschen sind, die Sie gewinnen wollen – und nicht Bittsteller, die dankbar für die Chance sein sollten, sich zu bewerben –, dann sollte jede Interaktion ihre Zeit respektieren. Passwörter tun das Gegenteil.
Was das für den weiteren Prozess bedeutet
Die Beseitigung von Reibung am Anfang des Funnels hat kumulative Effekte. Wenn der Einstieg in den Prozess mühelos ist, schließen mehr qualifizierte Bewerber ihre Bewerbungen ab. Das bedeutet: Ihre Pipeline hat bessere Signale. Bessere Signale bedeuten, dass Ihr Team weniger Zeit mit Screening verbringt und mehr Zeit mit Vorstellungsgesprächen mit Kandidaten, die tatsächlich passen.
Dieselbe Magic-Link-Architektur treibt jeden Berührungspunkt mit Bewerbern in Kit an. Die Planung von Vorstellungsgesprächen, Code-Aufgaben, Angebotsprüfungen und Status-Checks nutzen alle dasselbe Ein-Klick-Zugangsmuster. Bewerber fragen sich nie, welches Passwort sie verwendet haben, weil sie nie eines festgelegt haben.
Das Fazit
Passwörter im Recruiting sind ein gelöstes Problem. Die Lösung ist, sie zu entfernen.
Die Belege weisen alle in eine Richtung. Passwörter verursachen 57 % der Bewerbungsabbrüche (LiveCareer). Sie versagen auf Mobilgeräten, wo sich die meisten Bewerber bewerben (Appcast). Sie schaffen Sicherheitslücken durch wiederverwendete Anmeldedaten (LastPass). Und sie senden eine klare Botschaft an Bewerber: Ihre Zeit ist uns egal.
Magic Links beheben all das. Sie sind schneller, für den Recruiting-Anwendungsfall sicherer und respektieren die Realität, wie Bewerber mit Einstellungssystemen interagieren: selten, auf ihren Handys, mit null Interesse an der Verwaltung eines weiteren Passworts.
Wir haben Passwörter für Bewerber abgeschafft, weil die Daten uns keine andere ehrliche Wahl ließen. Wenn Ihr ATS Bewerber immer noch auffordert, ein Konto zu erstellen, verlieren Sie Talente, bevor sie überhaupt durch die Tür kommen.
Kit kostenlos testen und erleben Sie, wie eine passwortlose Bewerbererfahrung aussieht.
Verwandte Artikel
Engineering-Stellen sind die KI-resistenteste Rolle in der Tech-Branche
Neue 2026-Daten von SignalFire: Engineering ist der KI-resistenteste Tech-Job. Warum Gründer weiterhin Engineers einstellen sollten – und wie sie es richtig machen.
Safe Harbor oder Klage? Die VDP-Klausel, die Sie schützt
Microsoft drohte einem Forscher mit Strafanzeige und ruderte binnen Tagen zurück. So verhindert eine Safe-Harbor-Klausel in Ihrer Vulnerability Disclosure Policy genau das.
Angebotsannahme auf ~51 % eingebrochen: Warum Kandidaten absagen
Die Angebotsannahme hat sich in zwei Jahren fast halbiert (74 % auf 51 %). So messen Sie Ihre Annahmequote und verlieren Kandidaten nicht mehr auf der Zielgeraden.
Wenn Ihr Bewerbersystem zum Datenleck wird: Kandidatendaten absichern
Beim Mercor-Datenleck wurden 4 TB an Sozialversicherungsnummern, Pässen und Videointerviews von Kandidaten erbeutet. Warum Ihr Bewerbersystem ein lohnendes Ziel ist und welche Privacy-by-Design-Kontrollen den Schaden begrenzen.
LKW-Fahrer (CDL) einstellen: Der Leitfaden für 2026
Stellen Sie CDL-LKW-Fahrer in einem Markt mit hoher Fluktuation schnell ein: CDL-Klasse, Zusatzberechtigungen, DOT-Screening (Clearinghouse, MVR, Sicherheitshistorie), Interviews und Bezahlung.
Pflegefachkraft einstellen 2026: Schritt für Schritt
So stellen Sie 2026 eine Pflegefachfrau oder einen Pflegefachmann ein: Berufserlaubnis und Fachweiterbildung prüfen, fachliche Eignung screenen, szenariobasierte Interviews führen und im Fachkräftemangel schnell handeln.
Bereit, smarter einzustellen?
Kostenlos starten. Keine Kreditkarte erforderlich. Richte deine erste Hiring-Pipeline in wenigen Minuten ein.
Kostenlos starten