Passwordless Authentication: Mehr IT-Sicherheit dank passwortloser Authentifizierung!

Neue Authentifizierungsmethoden sind auf dem Weg – den meisten voraus die passwortlose Identitätsvalidierung. Erst vor Kurzem haben sich große Tech-Giganten wie Apple, Google und Microsoft mit dem Versprechen zusammengeschlossen, Passwörtern den Garaus zu machen sowie die Nutzbarkeit von passwortlosen Authentifizierungssystemen zu beschleunigen. Doch was heißt das eigentlich? Sind passwortlose Authentifizierungsverfahren tatsächlich passwortlos und warum sollten Firmen ihre Nutzung besser früher als später in Betracht ziehen?
Die Stellungsnahme erhalten Sie in dem folgenden Blogbeitrag.

Vom WLAN bis zum cloudbasierten Videokonferenz- sowie Kollaborationsdienst: In den meisten Unternehmen sind Passwörter nach wie vor die erste Abwehr gegen unrechtmäßigen Zugriff auf Online-Konten durch Unberechtigte. Doch oft passiert es, dass selbige von Internetganoven und Datendieben gehackt und geklaut werden, um andere Straftaten zu begehen.

Laut dem Data Breach Investigations Bericht von Verizon aus dem Jahr 2021 haben 23 Prozent der befragten Firmen eine Art von Brute-Force-Attacken durchlaufen. Dauerte es 2020 noch acht Stunden, bis ein umfangreiches achtstelliges Passwort entschlüsselt war, ist das, einer aktuellen Studie des US-Software-Anbieters Hive Systems zufolge, heute unter einer Stunde möglich.

Erschwerend kommt hinzu, dass die wachsende Zahl an Online-Accounts wie auch knappere Änderungszyklen, hauptsächlich im geschäftlichen Umfeld, dazu führen, dass Passwörter von Beschäftigten regulär vergessen werden. Dadurch entstehen Unternehmen in der Zwischenzeit im Durchschnitt 1 Million US-Dollar IT-Helpdesk-Kosten jährlich.
Wie Sie sehen, stellen Passwörter nicht bloß ein schwerwiegendes IT-Sicherheitsrisiko dar: sie können Unternehmen darüber hinaus noch teuer zu stehen kommen. Es ist deshalb höchste Zeit, sich mit alternativen Authentifizierungsmethoden zu beschäftigen. Hierzu zählen insbesondere passwortlose Authentifizierungsverfahren.

Passwortlose Authentifizierung: Definition!

Bei der passwortlosen Authentifizierung dreht es sich um ein recht frisches Authentifizierungsverfahren. Im Gegenteil zur passwortbasierten Authentifizierungslösung stützt es sich – wie der Begriff unschwer feststellen lässt – nicht auf Passwörter oder sonstige gespeicherte Geheimnisse, um die Identität eines Benutzers zu bestätigen. Genauer gesagt kommen Besitzfaktoren oder inhärente Eigenschaften wie beispielsweise Biometrie, Hardware- und Software-Token, Magic-Links oder digitale Urkunden zum Gebrauch, weil sie bedeutend komplizierter von unbefugten Dritten zu erlangen und anzuwenden sind.

Gleichzeitig sorgen Standards wie Web Authentication API, knapp WebAuthn, sowie Fast Identity Online, kurz FIDO, hierfür, dass eine passwortlose Authentifizierung plattformunabhängig unterstützt wird.

In diesem Zuge verkündeten die IT-Größen Apple, Google sowie Microsoft dieses Jahr am Welt-Passwort-Tag, die Opportunität der passwortfreien Anmeldung massiv ausdehnen zu wollen. Demnach sollen Websites und Nutzungen künftig Nutzer*innen gemäß erweiterter FIDO-Standards auf allen Gerätschaften wie auch Plattformen eine konsistente, sichere Identitätsprüfung ohne Kennwörter bereitstellen können.

Welche passwortlosen Authentifizierungsmethoden gibt es?

Mittlerweile gibt es etliche Verfahren, um Passwordless Authentication in der Praxis durchzuführen.

Zu den bekannten passwortlosen Authentifizierungsverfahren gehören:

  • FIDO2: Das Ziel des erweiterten Fast Identity Online 2 Standards, der FIDO-Allianz, ist es, die Identitätsvalidierung im Internet zu vereinfachen und durchweg passwortfreie Authentifizierungen zu machen. Dabei kommt ein Challenge-Response-Verfahren zum Gebrauch, das kryptografische Schlüsselpaarungen sowie Faktoren wie biometrische Merkmale oder auch Hardware-Token wie FIDO-Keys oder mobile Geräte verwendet. Die gelungene Identitätsvalidierung erfolgt durch den Abgleich eines privaten Schlüssels mit einem öffentlichen FIDO2-Key.
  • Biometrische Daten: Bei einem passwortlosen Authentifizierungsverfahren durch Biometrie wird das Passwort komplett durch Technologien, wie Fingerabdruckscanner oder Retinascanner, ausgetauscht. Diese Form ist meistens auf mobilen Endgeräten wie Smartphones und Tablets vorzufinden.
  • Magic-Links und Pin-Codes: Bei diesem Verfahren werden die Zugriffsdaten dem Nutzer erst kurz vor dem Anmeldevorgang genannt. Das geschieht meist durch den Versand von Magic-Links oder Pin-Codes durch E-Mails oder Kurznachricht. Die Zugriffsdaten sind allerdings nur einmal und für einen knappen Zeitraum geltend.

Passwortlose Authentifizierung: Die Vorteile auf einen Blick!

Der Übergang von passwortbasierten Anmeldungen hin zu einer passwortlosen Authentifizierung geht weiter voran. IT-Sicherheitsexperten gehen hiervon aus, dass die passwortlose Authentifizierung in spätenstens vier Jahren zur neuen Norm wird. Gartner prognostiziert, dass bis 2025 mehr als 50 Prozent der Beschäftigten und mehr als 20 Prozent der Kundenauthentifizierungstransaktionen ohne Passwort sein werden, was einem Wachstum von 10 Prozent gegenüber heute entspricht.

Die Vorteile einer passwortlosen Identitätsprüfung plädieren für sich:

  • Erhöhte IT-Sicherheit: Passwörter sind ein keinesfalls zu unterschätzender IT-Bedrohungsvektor. Fällt das Passwort aus der Anmeldung weg, reduziert sich das IT-Risiko bzw. die Angriffsfläche für Phishing-Angriffe, Datenverlust oder auch die Passwortwiederverwendung.
  • Bessere Nutzererfahrung und komfortable Authentifizierung: Eine Registration oder Anmeldung über ein Kennwort heißt immer eine bestimmte Barriere auf Anwenderseite. Durch die passwortlose Authentifizierung fällt diese Hürde weg. Nutzer können flotter auf Anwendungen und Dienste zurückgreifen – und das über sämtliche Geräte sowie Plattformen hinweg.
  • Kostenersparnis: Das Passwortmanagement kostet Zeit und Geld. Durch den Einsatz von passwortlosen Authentifizierungssystemen können Unternehmen die Helpdesk-Kosten um ein Vielfaches senken.

Fazit: Es ist höchste Zeit, auf passwortloses Arbeiten umzustellen!

Passwordless Authentication-Möglichkeiten sind dank des technischen Fortschritts schon lange keine futuristischen Technologien mehr. Inzwischen können diese von allen Unternehmen für die diversesten Verwendungsfälle und Geschäftsanforderungen gebraucht werden, um das IT-Sicherheitsniveau und den Benutzerkomfort zu optimieren.
Unternehmen, welche es mit ihrer IT-Sicherheit seriös meinen, sollten ihre Einführung daher eher früher als später in Betracht ziehen.

Wollen auch Sie ab sofort den Weg in die passwortfreie Zukunft einschlagen und in Zukunft auf Passwörter verzichten? Oder haben Sie noch Anliegen zum Thema? Kontaktieren Sie uns!