Passwordless Authentication: Weg mit dem Passwort-Frust!
Neue Authentifizierungsmethoden sind auf dem Vormarsch – den meisten voran die passwortlose Identitätsvalidierung. Erst vor Kurzem haben sich gigantische Tech-Giganten wie Apple, Google und Microsoft mit dem Versprechen zusammengeschlossen, Passwörtern den Garaus zu machen sowie die Nutzbarkeit von passwortlosen Authentifizierungssystemen zu beschleunigen. Doch was bedeutet das genau genommen? Sind passwortlose Authentifizierungsverfahren wirklich passwortlos und warum sollten Unternehmen ihre Einführung besser früher als später in Erwägung ziehen?
Die Antworten erhalten Sie in dem nachfolgenden Beitrag.
Vom WLAN bis zum cloudbasierten Videokonferenz- und Kollaborationsdienst: In den meisten Firmen sind Passwörter immer noch die erste Bastion gegen unrechtmäßigen Zutritt auf Online-Accounts durch Unberechtigte. Aber oft passiert es, dass ebendiese von Internetganoven oder Datendieben gehackt sowie geklaut werden, um weitere Straffälligkeiten zu begehen.
Laut dem Data Breach Investigations Report von 2021 haben 23 Prozent der interviewten Unternehmen eine Art von Brute-Force-Angriffen durchlaufen. Dauerte es 2020 noch acht Stunden, bis ein komplexes achtstelliges Zugangswort entschlüsselt war, ist das, einer gegenwärtigen Studie des US-Software-Anbieters Hive Systems entsprechend, mittlerweile unter einer Stunde möglich.
Erschwerend kommt dazu, dass die steigende Zahl an Online-Accounts wie auch knappere Änderungszyklen, insbesondere im beruflichen Bereich, dazu führen, dass Passwörter von Beschäftigten regulär vergessen werden. Demzufolge entstehen Unternehmen mittlerweile im Durchschnitt 1 Million US-Dollar IT-Helpdesk-Kosten pro Jahr.
Wie Sie sehen, stellen Passwörter nicht bloß ein schwerwiegendes IT-Sicherheitsrisiko dar; sie können Firmen obendrein noch kostenintensiv zu stehen kommen. Es ist daher höchste Zeit, sich mit anderweitigen Authentifizierungsmethoden auseinanderzusetzen. Dazu gehören vor allem passwortlose Authentifizierungsverfahren.
Was ist „Passwordless Authentication“?
Bei der passwortlosen Authentifizierung handelt es sich um ein relativ frisches Authentifizierungsverfahren. Im Gegenteil zur passwortbasierten Authentifizierungslösung stützt es sich – wie der Name unschwer feststellen lässt – nicht auf Passwörter oder andere gespeicherte Geheimnisse, um die Identität eines Benutzers zu validieren. Genauer gesagt kommen Besitzfaktoren oder inhärente Faktoren wie beispielsweise Biometrie, Hardware- und Software-Token, Magic-Links oder digitale Urkunden zum Gebrauch, weil diese wesentlich komplizierter von unbefugten Dritten zu erlangen und anzuwenden sind.
Gleichzeitig sorgen Standards wie Web Authentication API, knapp WebAuthn, und Fast Identity Online, kurz FIDO, dafür, dass eine passwortlose Authentifizierung plattformunabhängig unterstützt wird.
So verkündeten die IT-Größen Apple, Google sowie Microsoft dieses Jahr am Welt-Passwort-Tag, die Opportunität der passwortfreien Anmeldung massiv ausbauen zu wollen. Demnach sollen Internetseiten und Anwendungen künftig Nutzer*innen gemäß erweiterter FIDO-Standards auf allen Gerätschaften wie auch Plattformen eine einheitliche, sichere Authentifizierung ohne Passwörter anbieten können.
Arten der kennwortlosen Authentifizierung!
In der Zwischenzeit gibt es zahlreiche Methoden, um Passwordless Authentication in der Realität durchzuführen.
Zu den bekannten passwortlosen Authentifizierungsverfahren gehören:
- FIDO2: Die Absicht des erweiterten Fast Identity Online 2 Standards, der FIDO-Allianz, ist es, die Identitätsvalidierung im Netz zu erleichtern und durchweg passwortfreie Authentifizierungen zu machen. Dabei kommt ein Challenge-Response-Vorgehen zum Gebrauch, das kryptografische Schlüsselpaarungen und Faktoren wie biometrische Merkmale oder auch Hardware-Token wie FIDO-Keys oder mobile Endgeräte verwendet. Die erfolgreiche Identitätsvalidierung erfolgt durch den Abgleich eines persönlichen Schlüssels mit einem öffentlichen FIDO2-Key.
- Biometrische Daten: Bei dem passwortlosen Authentifizierungsverfahren durch Biometrie wird das Passwort vollständig durch Technologien, etwa Fingerabdruckscanner oder Retinascanner, ersetzt. Diese Form ist häufig auf mobilen Endgeräten wie Smartphones und Tablets vorzufinden.
- Magic-Links und Pin-Codes: Bei jenem Authentifizierungsverfahren werden die Zugriffsdaten dem Benutzer erst kurz vor dem Login mitgeteilt. Dies passiert meist durch den Versand von Magic-Links oder Pin-Codes via E-Mails oder SMS. Die Zugriffsdaten sind jedoch bloß einmal und für einen knappen Zeitraum gültig.
Hohe IT-Sicherheit und bessere Nutzererfahrung!
Der Übergang von passwortbasierten Anmeldungen hin zu der passwortlosen Authentifizierung schreitet weiter vorwärts. IT-Sicherheitsexperten gehen hiervon aus, dass die passwortlose Authentifizierung in spätenstens vier Jahren zur neuen Regel wird. Gartner (https://www.gartner.com/en) prognostiziert, dass bis 2025 (https://www.gartner.com/en/documents/4007059) mehr als 50 Prozent der Beschäftigten und mehr als 20 Prozent der Kundenauthentifizierungstransaktionen ohne Passwort sein werden, was einem Wachstum von 10 Prozent gegenüber heute entspricht.
Die Vorteile einer passwortlosen Identitätsprüfung plädieren für sich:
- Erhöhte IT-Sicherheit: Kennwörter sind ein keinesfalls zu unterschätzender IT-Bedrohungsvektor. Fällt das Passwort aus der Anmeldung heraus, reduziert sich das IT-Risiko bzw. die Angriffsfläche für Phishing-Angriffe, Datenverlust oder auch eine Passwortwiederverwendung.
- Bessere Nutzererfahrung und komfortable Authentifizierung: Eine Registration oder Anmeldung über ein Kennwort bedeutet immer eine bestimmte Hürde auf Anwenderseite. Durch die passwortlose Authentifizierung fällt diese Hürde weg. Nutzer können flotter auf Anwendungen und Dienste zugreifen – und das über sämtliche Geräte und Plattformen hinweg.
- Kostenersparnis: Das Passwortmanagement fordert Zeit wie auch Geld. Durch den Gebrauch von passwortlosen Authentifizierungssystemen können Unternehmen die Helpdesk-Kosten um ein Vielfaches herabsetzen.
Fazit: Passwörter gehören bald der Vergangenheit an!
Passwordless Authentication-Lösungen sind dank des technischen Fortschritts schon lange keine futuristischen Technologien mehr. Inzwischen können diese von allen Unternehmen für die unterschiedlichsten Verwendungsfälle und Geschäftsanforderungen gebraucht werden, um das IT-Sicherheitsniveau sowie den Benutzerkomfort zu erhöhen.
Unternehmen, die es mit ihrer IT-Sicherheit seriös meinen, sollten ihre Nutzung deshalb eher früher als später in Erwägung ziehen.
Möchten auch Sie augenblicklich den Weg in die passwortfreie Zukunft einschlagen und künftig auf Passwörter verzichten? Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns an!
