Passwordless Authentication: Passwörter abschaffen, so geht’s!
Alternative Authentifizierungsmethoden sind auf dem Weg – allen voraus die passwortlose Identitätsvalidierung. Erst vor Kurzem haben sich große Tech-Giganten wie Apple, Google sowie Microsoft mit dem Versprechen zusammengeschlossen, Passwörtern den Garaus zu machen sowie die Verfügbarkeit von passwortlosen Authentifizierungssystemen zu beschleunigen. Aber was heißt das eigentlich? Sind passwortlose Authentifizierungsverfahren wirklich passwortlos und warum sollten Unternehmen ihre Einführung eher früher als später in Betracht ziehen?
Die Stellungnahme erhältst Du in dem nachfolgenden Beitrag.
Vom WLAN bis zum cloudbasierten Videokonferenz- und Kollaborationsdienst: In den meisten Firmen sind Passwörter nach wie vor die erste Abwehr gegen unrechtmäßigen Zutritt auf Online-Konten durch Unberechtigte. Aber nicht selten kommt es vor, dass selbige von Internetganoven oder Datendieben gehackt und gestohlen werden, um weitere Straftaten zu begehen.
Laut dem Data Breach Investigations Report von Verizon aus dem Jahr 2021 haben 23 Prozent der befragten Firmen eine Art von Brute-Force-Attacken erfahren. Dauerte es 2020 noch ganze acht Stunden, bis ein umfangreiches achtstelliges Zugangswort entschlüsselt war, ist das, einer aktuellen Studie des US-Software-Anbieters Hive Systems entsprechend, mittlerweile unter einer Stunde durchführbar.
Erschwerend kommt dazu, dass die steigende Zahl an Online-Konten wie auch knappere Änderungszyklen, insbesondere im beruflichen Bereich, zur Folge haben, dass Passwörter von Mitarbeiter*innen regulär vergessen werden. Demzufolge entstehen Firmen in der Zwischenzeit durchschnittlich 1 Million US-Dollar IT-Helpdesk-Kosten pro Jahr.
Wie Sie sehen, stellen Passwörter nicht bloß ein schwerwiegendes IT-Sicherheitsrisiko dar; sie können Unternehmen obendrein noch kostenintensiv zu stehen kommen. Es ist daher allerhöchste Zeit, sich mit alternativen Authentifizierungsmethoden zu beschäftigen. Dazu gehören vor allem passwortlose Authentifizierungsverfahren.
Passwortlose Authentifizierung: Definition!
Bei der passwortlosen Identitätsprüfung dreht es sich um ein relativ frisches Authentifizierungsverfahren. Im Gegensatz zur passwortbasierten Authentifizierungslösung stützt es sich – wie der Name unschwer erkennen lässt – nicht auf Passwörter oder andere gespeicherte Geheimnisse, um die Identität eines Nutzers zu validieren. Genauer gesagt kommen Besitzfaktoren oder inhärente Eigenschaften wie beispielsweise Biometrie, Hardware- oder Software-Token, Magic-Links oder digitale Urkunden zum Gebrauch, weil sie wesentlich schwieriger von unbefugten Dritten zu erlangen und zu nutzen sind.
Gleichzeitig sorgen Standards wie Web Authentication API, kurz WebAuthn, sowie Fast Identity Online, knapp FIDO, hierfür, dass eine passwortlose Authentifizierung plattformunabhängig gewährleistet wird.
So verkündeten die IT-Größen Apple, Google sowie Microsoft am diesjährigen Welt-Passwort-Tag, die Opportunität der passwortfreien Anmeldung enorm ausdehnen zu wollen. Darum sollen Websites und Nutzungen künftig Nutzer*innen gemäß erweiterter FIDO-Standards auf allen Geräten wie auch Plattformen eine konsistente, sichere Identitätsprüfung ohne Passwörter bereitstellen können.
Passwortlose Authentifizierung: Methoden auf einen Blick!
Mittlerweile gibt es etliche Methoden, um Passwordless Authentication in der Realität umzusetzen.
Zu den bekannten passwortlosen Authentifizierungsverfahren zählen:
· FIDO2: Das Ziel des überarbeiteten Fast Identity Online 2 Standards, der FIDO-Allianz, ist es, die Identitätsvalidierung im Internet zu erleichtern und durchweg passwortfreie Authentifizierungen zu machen. Dabei kommt ein Challenge-Response-Verfahren zum Einsatz, das kryptografische Schlüsselpaarungen sowie Faktoren wie biometrische Eigenschaften oder auch Hardware-Token wie FIDO-Keys oder mobile Geräte nutzt. Die gelungene Identitätsvalidierung erfolgt durch einen Abgleich des persönlichen Schlüssels mit dem öffentlichen FIDO2-Key.
· Biometrische Daten: Bei dem passwortlosen Authentifizierungsverfahren mittels Biometrie wird das Kennwort vollständig durch Technologien, etwa Fingerabdruckscanner oder Retinascanner, ausgetauscht. Diese Art ist häufig auf mobilen Geräten wie Smartphones und Tablets vorzufinden.
· Magic-Links und Pin-Codes: Bei jenem Verfahren werden die Zugangsdaten dem Nutzer erst kurz vor dem Anmeldevorgang genannt. Das geschieht meist durch den Versand von Magic-Links oder Pin-Codes durch E-Mails oder Kurznachricht. Die Zugriffsdaten sind jedoch bloß einmalig und für einen knappen Zeitraum gültig.
Passwortlose Authentifizierung: Die Vorteile auf einen Blick!
Der Übergang von passwortbasierten Anmeldungen hin zu einer passwortlosen Authentifizierung schreitet weiter voran. IT-Sicherheitsexperten gehen hiervon aus, dass die passwortlose Authentifizierung in drei bis vier Jahren zur zeitgemäßen Regel wird. Gartner prognostiziert, dass bis 2025 mehr als 50 Prozent der Beschäftigten und mehr als 20 Prozent der Kundenauthentifizierungstransaktionen passwortlos sein werden, was einer Steigerung von 10 Prozent gegenüber heute entspricht.
Die Vorteile einer passwortlosen Identitätsprüfung plädieren für sich:
· Erhöhte IT-Sicherheit: Kennwörter sind ein nicht zu unterschätzender IT-Bedrohungsvektor. Fällt das Passwort aus dem Anmeldeprozess heraus, reduziert sich das IT-Risiko beziehungsweise die Angriffsfläche für Phishing-Angriffe, Datenverlust oder auch die Passwortwiederverwendung.
· Bessere Nutzererfahrung und komfortable Authentifizierung: Eine Registrierung oder Anmeldung über ein Kennwort bedeutet immer eine bestimmte Barriere auf Anwenderseite. Durch die passwortlose Authentifizierung fällt diese Hürde weg. Nutzer können flotter auf Anwendungen und Dienste zurückgreifen – und das über alle Geräte sowie Plattformen hinweg.
· Kostenersparnis: Das Passwortmanagement fordert Zeit wie auch Geld. Durch den Einsatz von passwortlosen Authentifizierungssystemen können Firmen ihre Helpdesk-Kosten um ein Vielfaches senken.
Fazit: Es ist höchste Zeit, auf passwortloses Arbeiten umzustellen!
Passwordless Authentication-Möglichkeiten sind dank des technologischen Fortschritts schon lange keine futuristischen Technologien mehr. Mittlerweile können diese von allen Unternehmen für die unterschiedlichsten Anwendungsfälle und Geschäftsanforderungen gebraucht werden, um das IT-Sicherheitsniveau sowie den Benutzerkomfort zu erhöhen.
Firmen, welche es mit ihrer IT-Sicherheit seriös meinen, sollten ihre Einführung daher eher früher als später in Betracht ziehen.
Möchtest auch Du augenblicklich den Weg in die passwortfreie Zukunft einschlagen und künftig auf Passwörter verzichten? Oder hast Du noch Anliegen zum Thema? Kontaktier uns gerne!