Was ist passwortlose Authentifizierung?
Passwortlose Authentifizierung ist eine Methode zur Authentifizierung oder Identitätsüberprüfung, die statt Passwörtern biometrische Daten, Zertifikate oder Einmalpasswörter (OTPs) verwendet. Die passwortlose Authentifizierung gilt als sicherer als herkömmliche Passwörter oder PIN-Codes und bedeutet darüber hinaus weniger Verwaltungsaufwand und eine höhere Benutzerfreundlichkeit. Oft wird sie in Verbindung mit der Multi-Faktor-Authentifizierung (MFA) oder Single Sign-on (SSO) verwendet.
5 Möglichkeiten, wie Identitätsmanagement die Cybersecurity im Unternehmen stärkt.
Im Gegensatz zu herkömmlichen Authentifizierungsmethoden, die gestohlen, weitergegeben oder wiederverwendet werden können, müssen Benutzer bei der passwortlosen Authentifizierung ihre Identität anhand von etwas, das sie besitzen (Besitzfaktoren), oder etwas, das sie sind (inhärente Faktoren), verifizieren. Ein Besitzfaktor ist etwas, das den Benutzer eindeutig identifiziert und über das kein anderer Benutzer verfügt, wie z. B. ein registriertes mobiles Gerät oder ein ausgegebenes Hardware-Token. Zu den inhärenten Faktoren gehören Fingerabdrücke, Handabdrücke, Sprach- und Gesichtserkennung sowie Netzhaut- oder Iris-Scans.
Die passwortlose Authentifizierung ist eine wirksame Alternative zu Passwörtern, die häufig ausspioniert, erraten oder rekonstruiert werden. Die verbesserte Sicherheit schützt vor vielen bekannten Angriffen, die die Schwachstellen der Passwortauthentifizierung ausnutzen.
Zu den Arten von Angriffen, die die passwortlose Authentifizierung abwehren kann, gehören:
- Brute-Force-Angriffe
- Credential Stuffing
- Wörterbuchangriffe
- Keylogging
- Man-in-the-Middle-Angriffe (MitM)
- Password Spraying
- Phishing
- Rainbow Table-Angriffe
- Umgekehrte Brute-Force-Angriffe
- Smishing
- Spear-Phishing
- Vishing
- Whaling
Weitere Vorteile der passwortlosen Authentifizierung sind:
- Geringere Belastung der Support-Teams
- Benutzerfreundlicher als die traditionelle passwortbasierte Authentifizierung
- Geringere Gesamtbetriebskosten (Total Cost of Ownership, TCO) durch eine reduzierte Infrastruktur
- Ein weniger komplexer Software-Stack zur Identitätsverwaltung
- Benutzer müssen sich keine Passwörter mehr merken.
Arten der passwortlosen Authentifizierung
Biometrie
Dabei werden moderne Scanner eingesetzt, um biometrische Authentifizierungsfaktoren wie Fingerabdrücke, Daumenabdrücke, Handabdrücke, Sprach- und Gesichtserkennung sowie Netzhaut- oder Iris-Scans zu erfassen und mit den in einer Authentifizierungsdatenbank gespeicherten Daten zu vergleichen.
Biometrische Daten sind eine besonders zuverlässige Authentifizierungsmethode, da sie statistisch gesehen nicht kopiert werden können. Die Wahrscheinlichkeit, dass sich die physischen Merkmale zweier Gesichter ähneln, liegt beispielsweise bei weniger als eins zu einer Billion. Die Wahrscheinlichkeit identischer Fingerabdrücke liegt bei eins zu 64 Billionen.
Hardware-Tokens
Ein Hardware-Token ist ein kleines elektronisches Gerät (z. B. ein Schlüsselanhänger oder ein USB-Gerät), das immer, wenn es ein Benutzer aktiviert, ein Einmalpasswort (OTP) generiert, das auch Software-Token genannt wird. Nutzer geben den Code an, um sich zu authentifizieren.
Magic Links
Ein Magic Link ist eine einmalige URL, die zur Identitätsüberprüfung per E-Mail oder SMS an Benutzer gesendet wird. Eine Authentifizierungsapp im Hintergrund gleicht das Gerät mit einem Token in einer Datenbank ab, wenn der Benutzer auf den Link klickt.
Native Optionen
Tools zur passwortlosen Authentifizierung sind bereits in einige App oder Systeme eingebettet, z. B. in Google und Microsoft. Diese native Option der passwortlosen Authentifizierung ermöglicht es Benutzern, Codes aus diesen Apps heraus abzurufen, anstatt andere zu verwenden.
Permanente Cookies
Permanente Cookies werden auf authentifizierten Geräten gespeichert und enthalten die Anmeldedaten des Benutzers des Geräts. Wenn Benutzer angemeldet sind, wird der permanente Cookie verwendet, um basierend auf Berechtigungen Zugriff auf Ressourcen zu gewähren. Permanente Cookies können dauerhaft in Systemen verbleiben oder so eingestellt werden, dass sie nach einer bestimmten Zeit ablaufen.
Smartcards
Smartcards sind physische Karten, die ein Lesegerät scannt, um Benutzer zu authentifizieren und ihnen Zugang zu Ressourcen zu gewähren. Die meisten Smartcards speichern Daten auf Chips und verwenden RFID (Radio-Frequency Identification) für die Verbindung.
So funktioniert passwortlose Authentifizierung
Bei der passwortlosen Authentifizierung werden Benutzer aufgefordert, sich mit Gegenständen (z. B. Token-Anhängern) oder sich selbst (z. B. Fingerabdruck) zu authentifizieren, um ihre Identität zu prüfen, bevor sie Zugang zu geschützten Ressourcen erhalten. Die Schritte, die ein Benutzer durchläuft, sind in zwei Phasen unterteilt: Registrierung und Prüfung.
1. Registrierung
- Wenn Benutzer eine App oder einen Dienst zum ersten Mal nutzen, erhalten sie eine Genehmigungsanfrage für die Registrierung, die durch eine passwortlose Authentifizierung (z. B. biometrisch) bestätigt wird.
- Wenn die Anfrage genehmigt wird, wird ein privater Verschlüsselungsschlüssel für den Benutzer generiert.
- Der öffentliche Verschlüsselungsschlüssel wird an die App oder den Dienst gesendet.
2. Verifizierung
- Beim Anmeldeversuch wird eine Challenge generiert und an das Gerät des Benutzers gesendet.
- Der Benutzer reagiert auf die Challenge, indem er / sie den privaten Schlüssel mit der festgelegten passwortlosen Authentifizierungsmethode entsperrt.
- Der private Schlüssel wird verwendet, um die Challenge fertig zu stellen.
- Damit der Benutzer Zugriff erhält, muss der öffentliche Schlüssel den privaten Schlüssel akzeptieren.
Datensicherheit und passwortlose Authentifizierung
Passwortlose Authentifizierung entschärft die Schwachstellen herkömmlicher Passwörter und verbessert die Datensicherheit auf folgende Weise:
- Die Kundenzufriedenheit wird verbessert, ohne die Datensicherheit zu gefährden.
- Die Datensicherheit für sensible Informationen kann erheblich verbessert werden.
- Neben der verbesserten Datensicherheit kann ein nahtloses Benutzererlebnis geboten werden.
- Die Kosten können gesenkt werden.
Multi-Faktor-Authentifizierung (MFA) vs. passwortlose Authentifizierung
Die Begriffe passwortlose Authentifizierung und Multi-Faktor-Authentifizierung (MFA) werden oft verwechselt oder synonym verwendet. Sie beruhen aber auf unterschiedlichen Faktoren. Bei der passwortlosen Authentifizierung werden keine Passwörter verwendet, während die MFA Passwörter als einen der Faktoren für die Überprüfung der Identität nutzt.
Passwortlose Authentifizierung umsetzen
Passwortlose Authentifizierung kann auf verschiedene Weise implementiert werden. Meist kommen dabei biometrische Verfahren, FIDO-Token (Fast Identity Online Client) und einmalige Codes zum Einsatz.
- Biometrie nutzt Geräte mit einem biometrischen Sensor.
- FIDO-Token nutzen physische Geräte, die einmalige Codes generieren.
- Magic Links werden an die E-Mail-Adresse oder Telefonnummer eines Benutzers gesendet.
- Einmalige Codes senden Passwörter an die E-Mail-Adresse oder Telefonnummer eines Benutzers.
Unternehmen können eine dieser Methoden oder eine Kombination aus ihnen nutzen. Sie können zum Beispiel einen einmaligen Code oder ein FIDO-Token für die erste Identitätsüberprüfung verwenden und dann biometrische Daten für die weitere Authentifizierung nutzen.
Nachfolgend finden Sie die Schritte zur Implementierung der passwortlosen Authentifizierung.
- Wählen Sie den Authentifizierungsmodus (z.B. Biometrie, FIDO-Token, Magic Links, Einmalcodes).
- Legen Sie fest, wie viele Faktoren verwendet werden sollen – generell werden mehrere Faktoren empfohlen.
- Kaufen und aktivieren Sie die nötige Hardware und Software.
- Registrieren Sie alle Benutzer im Authentifizierungssystem (scannen Sie zum Beispiel die Gesichter aller Mitarbeiter für ein Gesichtserkennungssystem).
Passwortlose Authentifizierung und adaptive Authentifizierung
Es ist zwar schwierig, inhärente Faktoren, Besitzfaktoren oder Magic Links zu hacken – möglich ist es dennoch. Die Kombination der passwortloser mit der adaptiven Authentifizierung erhöht die Zugriffssicherheit signifikant.
Die adaptive Authentifizierung fügt der passwortlosen Authentifizierung eine durch künstliche Intelligenz (KI) unterstützte Schutzbarriere hinzu, die mithilfe von maschinellem Lernen typische Verhaltensmuster von Benutzern erkennt. Eine Abweichung von diesen Mustern stellt ein Risiko dar und löst eine bestimmte Sicherheitsreaktion aus, z. B. die Aufforderung an den Benutzer, sich erneut zu authentifizieren, oder das Sperren des Kontos.
Passwortlose Authentifizierung und Zero Trust
Eine Zero-Trust-Strategie setzt voraus, dass keine Zugriffe von Vornherein als vertrauenswürdig eingestuft werden. Das bedeutet, dass herkömmliche Passwörter für die Identitätsauthentifizierung abgeschafft werden, da sie nicht vertrauenswürdig und teuer sind und Zero-Trust-Programme verlangsamen. Die passwortlose Authentifizierung ist eine sinnvolle Alternative, da sie den Zero-Trust-Prinzipien entspricht und viele weitere Vorteile bietet.
Entschärfung der wichtigsten Angriffsvektoren
Passwörter gelten als wichtigstes Einfallstor für Datenverletzungen. Passwortlose Authentifizierung entschärft diese Schwachstelle.
Im Gegensatz zu einigen erweiterten Sicherheitslösungen ist die kennwortlose Authentifizierung kostengünstig und benutzerfreundlich. Unternehmen aller Art haben sie bereits erfolgreich eingesetzt. Sie sollte von Unternehmen jeder Größe in Betracht gezogen werden, um digitale Ressourcen zu schützen.