Neue Authentifizierungsmethoden sind auf dem Weg – allen voran die passwortlose Identitätsvalidierung. Erst vor Kurzem haben sich gigantische Tech-Giganten wie Apple, Google sowie Microsoft mit dem Versprechen zusammengeschlossen, Passwörtern den Garaus zu machen sowie die Nutzbarkeit von passwortlosen Authentifizierungssystemen ins Rollen zu bringen. Doch was heißt das genau genommen? Sind passwortlose Authentifizierungsverfahren wirklich passwortlos und warum sollten Firmen ihre Einführung besser früher als später in Erwägung ziehen?
Die Antworten erhalten Sie in dem nachfolgenden Beitrag.
Vom WLAN bis zum cloudbasierten Videokonferenz- und Kollaborationsdienst: In vielen Firmen sind Kennwörter nach wie vor die erste Bastion gegen unrechtmäßigen Zugriff auf Online-Accounts durch Dritte. Aber oft kommt es vor, dass ebendiese von Internetganoven und Datendieben gehackt sowie gestohlen werden, um andere Straftaten zu begehen.
Gemäß dem Data Breach Investigations Report von Verizon von 2021 haben 23 Prozent der interviewten Firmen eine Art von Brute-Force-Attacken durchlaufen. Dauerte es 2020 noch acht Stunden, bis ein komplexes achtstelliges Passwort entschlüsselt war, ist das, einer gegenwärtigen Studie des US-Software-Anbieters Hive Systems entsprechend, mittlerweile in weniger als einer Stunde durchführbar.
Erschwerend kommt dazu, dass die steigende Zahl an Online-Konten sowie kürzere Änderungszyklen, hauptsächlich im beruflichen Umfeld, zur Folge haben, dass Passwörter von Mitarbeiter*innen regulär vergessen werden. Demzufolge entstehen Firmen mittlerweile durchschnittlich 1 Million US-Dollar IT-Helpdesk-Kosten jährlich. Wie Sie sehen, stellen Passwörter nicht nur ein schwerwiegendes IT-Sicherheitsrisiko dar; diese können Unternehmen obendrein noch teuer zu stehen kommen. Es ist daher höchste Zeit, sich mit alternativen Authentifizierungsmethoden auseinanderzusetzen. Dazu zählen vor allem passwortlose Authentifizierungsverfahren.
Was versteht man unter einer passwortlosen Authentifizierung
Bei der passwortlosen Identitätsprüfung handelt es sich um ein relativ junges Authentifizierungsverfahren. Im Gegenteil zur passwortbasierten Authentifizierungslösung stützt es sich – wie der Begriff unschwer feststellen lässt – nicht auf Passwörter oder sonstige gespeicherte Geheimnisse, um die Identität eines Nutzers zu bestätigen. Genauer gesagt kommen Besitzfaktoren oder inhärente Eigenschaften wie zum Beispiel Biometrie, Hardware- und Software-Token, Magic-Links oder digitale Zertifikate zum Gebrauch, da diese bedeutend schwieriger von unbefugten Dritten zu erlangen und zu nutzen sind.
Gleichzeitig sorgen Standards wie Web Authentication API, kurz WebAuthn, sowie Fast Identity Online, knapp FIDO, hierfür, dass die passwortlose Authentifizierung plattformübergreifend unterstützt wird.
So verkündeten die IT-Größen Apple, Google und Microsoft am diesjährigen Welt-Passwort-Tag, die Opportunität der passwortfreien Anmeldung enorm ausbauen zu wollen. Darum sollen Websites und Anwendungen demnächst Nutzer*innen gemäß erweiterter FIDO-Standards auf allen Gerätschaften und Plattformen eine einheitliche, sichere Authentifizierung ohne Kennwörter bereitstellen können.
Methoden mit denen Sie mit Leichtigkeit die Passwortlosigkeit erreichen!
In der Zwischenzeit gibt es etliche Methoden, um Passwordless Authentication in der Praxis durchzuführen.
Zu den bekanntesten passwortlosen Authentifizierungsverfahren zählen:
- FIDO2: Das Ziel des erweiterten Fast Identity Online 2 Standards, der FIDO-Allianz, wäre es, die Identitätsvalidierung im Internet zu erleichtern und durchweg passwortfreie Authentifizierungen zu machen. Im Zuge dessen kommt ein Challenge-Response-Vorgehen zum Gebrauch, das kryptografische Schlüsselpaarungen sowie Faktoren wie biometrische Eigenschaften oder auch Hardware-Token wie FIDO-Keys oder mobile Endgeräte verwendet. Die erfolgreiche Identitätsvalidierung erfolgt durch einen Abgleich des privaten Schlüssels mit einem öffentlichen FIDO2-Key.
- Biometrische Daten: Bei einem passwortlosen Authentifizierungsverfahren durch Biometrie wird das Kennwort vollständig durch Technologien, wie Fingerabdruckscanner oder Retinascanner, ausgetauscht. Diese Form ist häufig auf mobilen Geräten wie Smartphones oder Tablets anzutreffen.
- Magic-Links und Pin-Codes: Bei diesem Verfahren werden die Zugangsdaten dem Benutzer erst unmittelbar vor dem Login genannt. Das geschieht in der Regel durch den Versand von Magic-Links oder auch Pin-Codes durch E-Mails oder Kurznachricht. Die Zugangsdaten sind jedoch nur einmal und für einen kurzen Zeitraum geltend.
Passwortlose Authentifizierung: Die Vorteile auf einen Blick!
Der Wandel von passwortbasierten Anmeldungen hin zu der passwortlosen Authentifizierung geht weiter voran. IT-Sicherheitsexperten gehen davon aus, dass die passwortlose Authentifizierung in drei bis vier Jahren zur neuen Norm wird. Gartner (https://www.gartner.com/en) prognostiziert, dass bis 2025 (https://www.gartner.com/en/documents/4007059) mehr als 50 Prozent der Erwerbstätigen und mehr als 20 Prozent der Kundenauthentifizierungstransaktionen ohne Passwort sein werden, was einem Wachstum von 10 Prozent zu jetzt entspricht.
Die Vorteile einer passwortlosen Identitätsprüfung sprechen für sich:
- Erhöhte IT-Sicherheit: Passwörter sind ein nicht zu unterschätzender IT-Bedrohungsvektor. Fällt das Kennwort aus der Anmeldung weg, reduziert sich das IT-Risiko beziehungsweise die Angriffsfläche für Phishing-Angriffe, Datenverlust oder die Passwortwiederverwendung.
- Bessere Nutzererfahrung und komfortable Authentifizierung: Eine Registration oder Anmeldung über ein Passwort bedeutet immer eine gewisse Barriere auf Anwenderseite. Durch die passwortlose Authentifizierung fällt diese Barriere weg. Benutzer können schneller auf Applikationen oder Dienste zugreifen – und das über sämtliche Geräte sowie Plattformen hinweg.
- Kostenersparnis: Das Passwortmanagement fordert Zeit wie auch Geld. Durch den Einsatz von passwortlosen Authentifizierungssystemen können Firmen ihre Helpdesk-Kosten um ein Mehrfaches herabsetzen.
Fazit: Passwörter gehören bald der Vergangenheit an!
Passwordless Authentication-Lösungen sind dank des technologischen Fortschritts längst keine futuristischen Technologien mehr. Inzwischen können diese von allen Firmen für die diversesten Anwendungsfälle und Geschäftsanforderungen gebraucht werden, um das IT-Sicherheitsniveau und den Benutzerkomfort zu erhöhen. Unternehmen, welche es mit ihrer IT-Sicherheit ernst meinen, sollten ihre Nutzung deshalb eher früher als später in Betracht ziehen.