Laut einer Verizon-Studie von 2021 sind 61 Prozent aller Datenschutzverletzungen mit der unberechtigten Verwendung von Anmeldedaten verbunden. Oder anders gesprochen: Es werden immer mehr Passwörter gestohlen. Die Authentifizierung über Benutzername und Passwort ist eine der anfälligsten Methoden überhaupt und wird auf Dauer nicht mehr ausreichen, um Internetnutzer und Systeme zu schützen. Die Lösung heißt: Passwordless Authentication.
Was bedeutet Passwordless Authentication?
Die passwortlose Authentifizierung ist eine Authentifizierungsmethode, die es ermöglicht, Zugang zu einer Anwendung oder einem IT-System zu erhalten, ohne ein Passwort einzugeben oder Sicherheitsfragen zu beantworten. Stattdessen verwendet der Benutzer eine andere Form des Nachweises, etwa einen Fingerabdruck, eine Transponderkarte („Proximity-Karte“) oder einen Hardware-Token-Code.
Passwordless Authentication wird häufig in Verbindung mit der Multi-Faktor-Authentifizierung (MFA) oder Single Sign-On-Lösungen eingesetzt:
- Bei MFA muss der Benutzer mehrere Nachweise erbringen, um Zugang zu bestimmten Plattformen oder Systemen zu erhalten. Häufig wird zum Beispiel ein einmaliger SMS-Code ans Handy verschickt, wenn man sich am PC auf einer Plattform anmelden möchte. Das bloße Abgreifen der Zugangsdaten würde einem Kriminellen also nichts mehr nützen, weil er den zweiten Nachweis nicht vorlegen kann.
- Bei Single Sign-On (SSO) kann der Benutzer denselben Sicherheits-Token oder dieselbe Proximity-Karte für den Zugriff auf alle Anwendungen und Dienste verwenden.
Warum sind Passwörter ein Risikofaktor?
Ob privat oder geschäftlich, jeder ist heutzutage auf eine Vielzahl von Anwendungen angewiesen. Die Folge ist, dass sich Benutzer eine schwindelerregende Anzahl von (häufig wechselnden) Passwörtern merken müssen. Bis zu einem gewissen Punkt mag das funktionieren, doch irgendwann nimmt das Chaos überhand. Was dann?
Sie könnten dasselbe Passwort mehrmals verwenden oder Ihre Passwörter abschwächen, was jedoch ein Risiko darstellt. Sie könnten auch einen Passwort-Manager nutzen – aber welcher ist wirklich sicher?
Bösewichte können diese laxen Praktiken der Passwortverwaltung ausnutzen, um Cyberangriffe zu starten und vertrauliche Daten zu stehlen:
- Brute-Force-Methoden: Verwendung von Programmen, die zufällige Kombinationen aus Benutzernamen und Kennwort generieren oder gängige schwache Kennwörter wie 123456 ausnutzen
- Credential Stuffing: Verwendung gestohlener oder geleakter Anmeldedaten eines Kontos, um Zugang zu anderen Konten zu erhalten (Nutzer verwenden oft dieselbe Kombination aus Benutzername und Kennwort für viele Konten)
- Phishing: Verwendung von gefälschten E-Mails oder Textnachrichten, um ein Opfer dazu zu bringen, mit seinen Zugangsdaten zu antworten
- Keylogging: Installation von Malware auf einem Computer, um Tastatureingaben von Benutzernamen und Kennwort zu erfassen
- Man-in-the-Middle-Angriffe: Abfangen von Kommunikationsströmen (z. B. über öffentliches WiFi) und Anmeldedaten
Welche Vorteile bietet eine passwortlose Authentifizierung?
Mit der passwortlosen Authentifizierung müssen Sie sich keine Passwörter oder Antworten auf Sicherheitsfragen mehr merken. Benutzer können bequem und sicher auf Anwendungen und Dienste zugreifen, indem sie andere Authentifizierungsmethoden verwenden, zum Beispiel:
- Proximity Badges, physische Token oder USB-Geräte (FIDO2-kompatible Schlüssel)
- Software-Token oder Zertifikate
- Fingerabdruck, Netzhautscan, Sprach- oder Gesichtserkennung
- Mobiltelefonanwendung (Anrufe, SMS-Codes)
Entsprechende Vorteile sind die Verbesserung der Benutzererfahrung, Stärkung der Sicherheit und Vereinfachung der IT-Abläufe im Unternehmen.
Die neuesten MFA-Lösungen unterstützen sogar adaptive Authentifizierungsmethoden. Hierbei werden kontextbezogene Informationen (Standort, Tageszeit, IP-Adresse, Gerätetyp usw.) und Geschäftsregeln verwendet, um zu bestimmen, welche Authentifizierungsfaktoren für einen bestimmten Benutzer in einer bestimmten Situation gelten sollen.
Adaptive MFA schafft ein Gleichgewicht zwischen Komfort und Sicherheit. Beispielsweise lässt sich festlegen, dass ein Mitarbeiter, der von einem vertrauenswürdigen Heimcomputer aus auf eine Unternehmensanwendung zugreift, nur eine Form der Authentifizierung angeben muss. Greift er allerdings aus dem Ausland oder über eine nicht vertrauenswürdige WiFi-Verbindung auf die Anwendung zu, ist ein zusätzlicher SMS-Code erforderlich.
Zusammenfassung
Passwordless Authentication ist die Antwort auf zunehmende Datenschutzverletzungen durch kompromittierte Anmeldedaten. Viele Nutzer unterschätzen immer noch, wie schnell und einfach Passwörter gestohlen und geknackt werden können. Mit passwortlosen Authentifizierungsmethoden wie Hardware-Token oder biometrischen Merkmalen lässt sich dieser Risikofaktor beheben. In Kombination mit mehreren Nachweisen (MFA) oder Single Sign-On garantieren Sie Ihren Kunden und Nutzern maximale Sicherheit und Benutzerfreundlichkeit.