Passwordless Authentication: Schritt für Schritt in Richtung passwortlose Zukunft!

Alternative Authentifizierungsmethoden sind auf dem Weg – den meisten voran die passwortlose Identitätsvalidierung. Erst jüngst haben sich große Tech-Giganten wie Apple, Google sowie Microsoft mit dem Zusichern zusammengeschlossen, Passwörtern ein Ende zu machen sowie die Nutzbarkeit von passwortlosen Authentifizierungssystemen zu beschleunigen. Doch was heißt das eigentlich? Sind passwortlose Authentifizierungsverfahren tatsächlich passwortlos und warum sollten Firmen ihre Einführung besser früher als später in Betracht ziehen?
Die Stellungsnahme erhalten Sie in dem folgenden Beitrag.

Vom WLAN bis hin zum cloudbasierten Videokonferenz- sowie Kollaborationsdienst: In vielen Firmen sind Kennwörter nach wie vor die erste Bastion gegen unrechtmäßigen Zugriff auf Online-Konten durch Dritte. Aber oft passiert es, dass ebendiese von Internetganoven oder Datendieben gehackt sowie geklaut werden, um weitere Straftaten zu begehen.

Gemäß dem Data Breach Investigations Report von Verizon von 2021 haben 23 Prozent der interviewten Unternehmen eine Art von Brute-Force-Angriffen erfahren. Dauerte es 2020 noch ganze acht Stunden, bis ein umfangreiches achtstelliges Zugangswort geknackt war, ist das, einer aktuellen Studie des US-Software-Anbieters Hive Systems entsprechend, heute in weniger als einer Stunde durchführbar.

Erschwerend kommt dazu, dass die wachsende Zahl an Online-Accounts wie auch kürzere Änderungszyklen, hauptsächlich im beruflichen Umfeld, dazu führen, dass Passwörter von Beschäftigten regelmäßig vergessen werden. Dadurch entstehen Firmen mittlerweile durchschnittlich 1 Million US-Dollar IT-Helpdesk-Kosten jährlich.
Wie Sie sehen, stellen Passwörter nicht bloß ein schwerwiegendes IT-Sicherheitsrisiko dar; diese können Firmen darüber hinaus noch kostenintensiv zu stehen kommen. Es ist daher höchste Zeit, sich mit alternativen Authentifizierungsmethoden zu beschäftigen. Dazu gehören vor allem passwortlose Authentifizierungsverfahren.

Was versteht man unter einer passwortlosen Authentifizierung

Bei der passwortlosen Identitätsprüfung dreht es sich um ein recht frisches Authentifizierungsverfahren. Im Gegenteil zur passwortbasierten Authentifizierungslösung stützt es sich – wie der Name unschwer feststellen lässt – nicht auf Passwörter oder andere gespeicherte Geheimnisse, um die Identität eines Nutzers zu bestätigen. Genauer gesagt kommen Besitzfaktoren oder inhärente Faktoren wie beispielsweise Biometrie, Hardware- oder Software-Token, Magic-Links oder digitale Urkunden zum Einsatz, weil diese wesentlich schwieriger von unbefugten Dritten zu gewinnen und zu nutzen sind.

Gleichzeitig sorgen Standards wie Web Authentication API, kurz WebAuthn, und Fast Identity Online, knapp FIDO, hierfür, dass eine passwortlose Authentifizierung plattformunabhängig unterstützt wird.

In diesem Zuge verkündeten die IT-Größen Apple, Google sowie Microsoft dieses Jahr am Welt-Passwort-Tag, die Möglichkeit der passwortlosen Anmeldung massiv ausbauen zu wollen. Demnach sollen Internetseiten und Nutzungen künftig Nutzer*innen gemäß erweiterter FIDO-Standards auf allen Gerätschaften wie auch Plattformen eine einheitliche, sichere Identitätsprüfung ohne Kennwörter anbieten können.

Passwortlose Authentifizierung: Methoden auf einen Blick!

Mittlerweile gibt es zahlreiche Methoden, um Passwordless Authentication in der Praxis umzusetzen.

Zu den bekanntesten passwortlosen Authentifizierungsverfahren gehören:

• FIDO2: Das Ziel des erweiterten Fast Identity Online 2 Standards, der FIDO-Allianz, wäre es, die Identitätsvalidierung im Internet zu vereinfachen und gänzlich passwortfreie Authentifizierungen zu ermöglichen. Im Zuge dessen kommt ein Challenge-Response-Verfahren zum Einsatz, das kryptografische Schlüsselpaarungen und Faktoren wie biometrische Merkmale oder Hardware-Token wie FIDO-Keys oder mobile Endgeräte verwendet. Die erfolgreiche Identitätsvalidierung erfolgt durch den Abgleich eines privaten Schlüssels mit dem öffentlichen FIDO2-Key.
• Biometrische Daten: Bei dem passwortlosen Authentifizierungsverfahren durch Biometrie wird das Passwort vollständig durch Technologien, wie Fingerabdruckscanner oder Retinascanner, ersetzt. Diese Art ist meistens auf mobilen Geräten wie Smartphones und Tablets anzutreffen.
• Magic-Links und Pin-Codes: Bei diesem Verfahren werden die Zugriffsdaten dem Benutzer erst kurz vor dem Login genannt. Dies geschieht meist durch das Versenden von Magic-Links oder Pin-Codes via E-Mails oder Kurznachricht. Die Zugangsdaten sind allerdings bloß einmalig und für einen knappen Zeitraum geltend.

Die Vorteile der passwortlosen Authentifizierung!

Der Wandel von passwortbasierten Anmeldungen hin zu einer passwortlosen Authentifizierung geht weiter voran. IT-Sicherheitsexperten gehen hiervon aus, dass die passwortlose Authentifizierung in drei bis vier Jahren zur zeitgemäßen Norm wird. Gartner sagt voraus, dass bis 2025 mehr als 50 Prozent der Beschäftigten und mehr als 20 Prozent der Kundenauthentifizierungstransaktionen passwortlos sein werden, was einem Wachstum von 10 Prozent zu heute entspricht.

Die Vorteile einer passwortlosen Authentifizierung sprechen für sich:

• Erhöhte IT-Sicherheit: Passwörter sind ein keinesfalls zu unterschätzender IT-Bedrohungsvektor. Fällt das Kennwort aus dem Anmeldeprozess weg, reduziert sich das IT-Risiko bzw. die Schwachstelle für Phishing-Angriffe, Datenverlust oder auch eine Passwortwiederverwendung.
• Bessere Nutzererfahrung und komfortable Authentifizierung: Eine Registration oder Anmeldung über ein Passwort bedeutet immer eine bestimmte Barriere auf Anwenderseite. Durch die passwortlose Authentifizierung fällt diese Barriere weg. Nutzer können flotter auf Anwendungen und Dienste zurückgreifen – und das über sämtliche Geräte und Plattformen hinweg.
• Kostenersparnis: Das Passwortmanagement fordert Zeit wie auch Geld. Durch den Gebrauch von passwortlosen Authentifizierungssystemen können Unternehmen ihre Helpdesk-Kosten um ein Vielfaches herabsetzen.

Fazit: Es ist höchste Zeit, auf passwortloses Arbeiten umzustellen!

Passwordless Authentication-Lösungen sind dank des technischen Fortschritts schon lange keine futuristischen Technologien mehr. Inzwischen können sie von allen Firmen für die unterschiedlichsten Anwendungsfälle und Geschäftsanforderungen eingesetzt werden, um das IT-Sicherheitsniveau sowie den Benutzerkomfort zu optimieren.
Unternehmen, welche es mit ihrer IT-Sicherheit ernst meinen, sollten ihre Nutzung daher eher früher als später in Erwägung ziehen.

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.