Sehr geehrte Leser:innen,
vom WLAN bis zum cloudbasierten Videokonferenz- und Kollaborationsdienst: In den meisten Firmen sind Passwörter immer noch die erste Bastion gegen unrechtmäßigen Zutritt auf Online-Konten durch Dritte. Doch nicht selten passiert es, dass selbige von Internetganoven oder Datendieben gehackt sowie gestohlen werden, um andere Straftaten zu begehen.
Laut dem Data Breach Investigations Report von Verizon von 2021 haben 23 Prozent der befragten Unternehmen eine Art von Brute-Force-Angriffen erfahren. Dauerte es 2020 noch ganze acht Stunden, bis ein komplexes achtstelliges Passwort entschlüsselt war, ist dies, einer gegenwärtigen Studie des US-Software-Anbieters Hive Systems zufolge, heute unter einer Stunde möglich.
Erschwerend kommt hinzu, dass die steigende Zahl an Online-Accounts wie auch knappere Änderungszyklen, insbesondere im beruflichen Bereich, dazu führen, dass Passwörter von Mitarbeiter*innen regelmäßig vergessen werden. Dadurch entstehen Firmen in der Zwischenzeit durchschnittlich 1 Million US-Dollar IT-Helpdesk-Kosten pro Jahr.
Wie Sie sehen, stellen Passwörter nicht nur ein schwerwiegendes IT-Sicherheitsrisiko dar; sie können Firmen obendrein noch kostenintensiv zu stehen kommen. Es ist daher höchste Zeit, sich mit alternativen Authentifizierungsmethoden auseinanderzusetzen. Dazu gehören insbesondere passwortlose Authentifizierungsverfahren.
Die passwortlose Authentifizierung stützt sich nicht auf Wissensfaktoren!
Bei der passwortlosen Identitätsprüfung dreht es sich um ein recht frisches Authentifizierungsverfahren. Im Gegenteil zur passwortbasierten Authentifizierungslösung stützt es sich – wie der Begriff unschwer feststellen lässt – nicht auf Passwörter oder sonstige gespeicherte Geheimnisse, um die Identität eines Nutzers zu bestätigen. Genauer gesagt kommen Besitzfaktoren oder inhärente Faktoren wie beispielsweise Biometrie, Hardware- und Software-Token, Magic-Links oder digitale Urkunden zum Gebrauch, da diese wesentlich komplizierter von unbefugten Dritten zu gewinnen und anzuwenden sind.
Zur selben Zeit sorgen Standards wie Web Authentication API, kurz WebAuthn, sowie Fast Identity Online, knapp FIDO, hierfür, dass die passwortlose Authentifizierung plattformübergreifend gewährleistet wird.
So verkündeten die IT-Größen Apple, Google und Microsoft am diesjährigen Welt-Passwort-Tag, die Opportunität der passwortfreien Anmeldung enorm ausdehnen zu wollen. Darum sollen Internetseiten sowie Nutzungen demnächst Nutzer*innen gemäß erweiterter FIDO-Standards auf allen Gerätschaften und Plattformen eine einheitliche, sichere Identitätsprüfung ohne Passwörter bereitstellen können.
Welche passwortlosen Authentifizierungsmethoden gibt es?
In der Zwischenzeit gibt es zahlreiche Methoden, um Passwordless Authentication in der Praxis durchzuführen.
Zu den bekanntesten passwortlosen Authentifizierungsverfahren gehören:
- FIDO2: Das Ziel des überarbeiteten Fast Identity Online 2 Standards, der FIDO-Allianz, ist es, die Identitätsvalidierung im Internet zu vereinfachen und gänzlich passwortfreie Authentifizierungen zu machen. Dabei kommt ein Challenge-Response-Vorgehen zum Einsatz, das kryptografische Schlüsselpaarungen sowie Faktoren wie biometrische Eigenschaften oder Hardware-Token wie FIDO-Keys oder mobile Geräte verwendet. Die erfolgreiche Identitätsvalidierung erfolgt durch den Abgleich eines privaten Schlüssels mit einem öffentlichen FIDO2-Key.
- Biometrische Daten: Bei einem passwortlosen Authentifizierungsverfahren mittels Biometrie wird das Passwort komplett durch Technologien, wie Fingerabdruckscanner oder Retinascanner, ersetzt. Diese Art ist häufig auf mobilen Endgeräten wie Smartphones und Tablets anzutreffen.
- Magic-Links und Pin-Codes: Bei diesem Verfahren werden die Zugangsdaten dem Benutzer erst kurz vor dem Login mitgeteilt. Das geschieht in der Regel durch das Versenden von Magic-Links oder auch Pin-Codes durch E-Mails oder SMS. Die Zugangsdaten sind jedoch nur einmalig und für einen knappen Zeitraum geltend.
Die Vorteile der passwortlosen Authentifizierung!
Der Übergang von passwortbasierten Anmeldungen hin zu einer passwortlosen Authentifizierung schreitet weiter vorwärts. IT-Sicherheitsexperten gehen hiervon aus, dass die passwortlose Authentifizierung in drei bis vier Jahren zur neuen Norm wird. Gartner sagt voraus, dass bis 2025 mehr als 50 Prozent der Beschäftigten und mehr als 20 Prozent der Kundenauthentifizierungstransaktionen passwortlos sein werden, was einem Wachstum von 10 Prozent zu heute entspricht.
Die Vorzüge einer passwortlosen Authentifizierung plädieren für sich:
- Erhöhte IT-Sicherheit: Passwörter sind ein nicht zu unterschätzender IT-Bedrohungsvektor. Fällt das Kennwort aus dem Anmeldeprozess weg, verringert sich das IT-Risiko bzw. die Schwachstelle für Phishing-Angriffe, Datenverlust oder auch die Passwortwiederverwendung.
- Bessere Nutzererfahrung und komfortable Authentifizierung: Eine Registrierung oder Anmeldung über ein Passwort bedeutet immer eine gewisse Hürde auf Anwenderseite. Durch die passwortlose Authentifizierung fällt diese Hürde weg. Nutzer können flotter auf Applikationen oder Dienste zurückgreifen – und das über alle Geräte und Plattformen hinweg.
- Kostenersparnis: Das Passwortmanagement kostet Zeit wie auch Geld. Durch den Gebrauch von passwortlosen Authentifizierungssystemen können Unternehmen ihre Helpdesk-Kosten um ein Vielfaches herabsetzen.
Fazit: Es ist höchste Zeit, auf passwortloses Arbeiten umzustellen!
Passwordless Authentication-Möglichkeiten sind dank des technischen Fortschritts schon lange keine futuristischen Technologien mehr. Inzwischen können diese von allen Unternehmen für die diversesten Anwendungsfälle und Geschäftsanforderungen eingesetzt werden, um das IT-Sicherheitsniveau und den Benutzerkomfort zu optimieren.
Firmen, welche es mit ihrer IT-Sicherheit ernst meinen, sollten ihre Einführung deshalb eher früher als später in Betracht ziehen.
Wollen auch Sie ab sofort den Weg in die passwortfreie Zukunft einschlagen und in Zukunft auf Passwörter verzichten? Oder haben Sie noch Anliegen zum Thema? Sprechen Sie uns an!