Passwordless Authentication: Passwortlos in die Zukunft!

Neue Authentifizierungsmethoden sind auf dem Vormarsch – allen voraus die passwortlose Identitätsvalidierung. Erst jüngst haben sich gigantische Tech-Giganten wie Apple, Google und Microsoft mit dem Versprechen zusammengeschlossen, Passwörtern ein Ende zu machen sowie die Verfügbarkeit von passwortlosen Authentifizierungssystemen zu beschleunigen. Doch was heißt das eigentlich? Sind passwortlose Authentifizierungsverfahren tatsächlich passwortlos und warum sollten Firmen ihre Nutzung eher früher als später in Erwägung ziehen?
Die Stellungnahme erhalten Sie in dem nachfolgenden Blogbeitrag.

Vom WLAN bis zum cloudbasierten Videokonferenz- sowie Kollaborationsdienst: In vielen Firmen sind Kennwörter nach wie vor die erste Bastion gegen unrechtmäßigen Zutritt auf Online-Konten durch Dritte. Aber oft kommt es vor, dass selbige von Internetganoven und Datendieben gehackt sowie geklaut werden, um andere Straffälligkeiten zu begehen.

Gemäß dem Data Breach Investigations Report von Verizon aus dem Jahr 2021 haben 23 Prozent der befragten Firmen eine Art von Brute-Force-Angriffen durchlaufen. Dauerte es 2020 noch ganze acht Stunden, bis ein komplexes achtstelliges Passwort geknackt war, ist dies, einer aktuellen Studie des US-Software-Anbieters Hive Systems zufolge, mittlerweile in weniger als einer Stunde durchführbar.

Erschwerend kommt hinzu, dass die wachsende Zahl an Online-Accounts sowie knappere Änderungszyklen, insbesondere im beruflichen Umfeld, dazu führen, dass Passwörter von Beschäftigten regelmäßig vergessen werden. Dadurch entstehen Firmen in der Zwischenzeit durchschnittlich 1 Million US-Dollar IT-Helpdesk-Kosten jährlich.
Wie Sie sehen, stellen Passwörter nicht bloß ein schwerwiegendes IT-Sicherheitsrisiko dar; diese können Unternehmen darüber hinaus noch kostenintensiv zu stehen kommen. Es ist deshalb höchste Zeit, sich mit alternativen Authentifizierungsmethoden zu beschäftigen. Dazu zählen vor allem passwortlose Authentifizierungsverfahren.

Passwortlose Authentifizierung: Definition!

Bei der passwortlosen Identitätsprüfung dreht es sich um ein relativ frisches Authentifizierungsverfahren. Im Gegenteil zur passwortbasierten Authentifizierungslösung stützt es sich – wie der Name unschwer feststellen lässt – nicht auf Passwörter oder sonstige gespeicherte Geheimnisse, um die Identität eines Nutzers zu validieren. Vielmehr kommen Besitzfaktoren oder inhärente Eigenschaften wie zum Beispiel Biometrie, Hardware- oder Software-Token, Magic-Links oder digitale Zertifikate zum Einsatz, weil sie wesentlich schwieriger von unbefugten Dritten zu erlangen und anzuwenden sind.

Zur selben Zeit sorgen Standards wie Web Authentication API, knapp WebAuthn, sowie Fast Identity Online, kurz FIDO, dafür, dass eine passwortlose Authentifizierung plattformübergreifend unterstützt wird.

So verkündeten die IT-Größen Apple, Google sowie Microsoft dieses Jahr am Welt-Passwort-Tag, die Möglichkeit der passwortlosen Anmeldung massiv ausbauen zu wollen. Demnach sollen Internetseiten sowie Anwendungen demnächst Nutzer*innen gemäß erweiterter FIDO-Standards auf allen Geräten wie auch Plattformen eine konsistente, sichere Identitätsprüfung ohne Kennwörter bereitstellen können.

Welche passwortlosen Authentifizierungsmethoden gibt es?

Mittlerweile gibt es etliche Verfahren, um Passwordless Authentication in der Praxis umzusetzen.

Zu den bekanntesten passwortlosen Authentifizierungsverfahren gehören:

· FIDO2: Das Ziel des überarbeiteten Fast Identity Online 2 Standards, der FIDO-Allianz, wäre es, die Identitätsvalidierung im Netz zu vereinfachen und durchweg passwortfreie Authentifizierungen zu machen. Im Zuge dessen kommt ein Challenge-Response-Verfahren zum Einsatz, das kryptografische Schlüsselpaarungen sowie Eigenschaften wie biometrische Merkmale oder auch Hardware-Token wie FIDO-Keys oder mobile Geräte nutzt. Die erfolgreiche Identitätsvalidierung erfolgt durch einen Abgleich eines persönlichen Schlüssels mit dem öffentlichen FIDO2-Key.

· Biometrische Daten: Bei einem passwortlosen Authentifizierungsverfahren durch Biometrie wird das Kennwort komplett durch Technologien, wie Fingerabdruckscanner oder Retinascanner, ausgetauscht. Diese Art ist häufig auf mobilen Geräten wie Smartphones und Tablets vorzufinden.

· Magic-Links und Pin-Codes: Bei jenem Authentifizierungsverfahren werden die Zugriffsdaten dem Nutzer erst unmittelbar vor dem Anmeldevorgang mitgeteilt. Dies geschieht meist durch den Versand von Magic-Links oder auch Pin-Codes durch E-Mails oder Kurznachricht. Die Zugriffsdaten sind allerdings nur einmalig und für einen kurzen Zeitraum geltend.

Hohe IT-Sicherheit und bessere Nutzererfahrung!

Der Wandel von passwortbasierten Anmeldungen hin zu der passwortlosen Authentifizierung geht weiter vorwärts. IT-Sicherheitsexperten gehen davon aus, dass die passwortlose Authentifizierung in drei bis vier Jahren zur zeitgemäßen Regel wird. Gartner prognostiziert, dass bis 2025 mehr als 50 Prozent der Erwerbstätigen und mehr als 20 Prozent der Kundenauthentifizierungstransaktionen ohne Passwort sein werden, was einer Steigerung von 10 Prozent zu heute entspricht.

Die Vorteile einer passwortlosen Authentifizierung sprechen für sich:

· Erhöhte IT-Sicherheit: Passwörter sind ein keinesfalls zu unterschätzender IT-Bedrohungsvektor. Fällt das Passwort aus dem Anmeldeprozess weg, reduziert sich das IT-Risiko beziehungsweise die Angriffsfläche für Phishing-Angriffe, Datenverlust oder auch die Passwortwiederverwendung.

· Bessere Nutzererfahrung und komfortable Authentifizierung: Eine Registration oder Anmeldung über ein Passwort heißt immer eine gewisse Barriere auf Anwenderseite. Durch die passwortlose Authentifizierung fällt diese Barriere weg. Nutzer können flotter auf Applikationen und Dienste zugreifen – und das über sämtliche Geräte und Plattformen hinweg.

· Kostenersparnis: Das Passwortmanagement fordert Zeit und Geld. Durch den Einsatz von passwortlosen Authentifizierungssystemen können Firmen ihre Helpdesk-Kosten um ein Vielfaches herabsetzen.

Fazit: Ab sofort ohne Passwort!

Passwordless Authentication-Lösungen sind dank des technologischen Fortschritts schon lange keine futuristischen Technologien mehr. Mittlerweile können sie von allen Unternehmen für die diversesten Anwendungsfälle und Geschäftsanforderungen eingesetzt werden, um das IT-Sicherheitsniveau und den Benutzerkomfort zu erhöhen.
Unternehmen, die es mit ihrer IT-Sicherheit seriös meinen, sollten ihre Nutzung deshalb eher früher als später in Erwägung ziehen.

Möchten auch Sie augenblicklich den Weg in die passwortfreie Zukunft anpeilen und in Zukunft auf Passwörter verzichten? Oder haben Sie noch Anliegen zum Thema? Sprechen Sie uns an!