Was ist passwortlose Authentifizierung?

Passwörter waren einst die einzige Authentifizierungsmethode, die Personen für den Zugriff auf ihre Online-Konten zur Verfügung stand. Selbst in diesen einfacheren Zeiten waren Passwörter problematisch. Um sie sich zu merken, machten sie die Nutzer zu einfach, so dass sie durch böswillige Akteure leicht gestohlen werden konnten. Zudem verwendeten sie immer wieder dieselben Passwörter, was bedeutet, dass Cyberkriminelle nach dem Diebstahl eines Passworts eine gute Chance hatten, damit auf mehrere Konten zugreifen zu können. 

Mit der zunehmenden Verbreitung von Online-Konten haben sich die Probleme mit Passwörtern deutlich verschärft.

Der durchschnittliche Online-Verbraucher hat jetzt Dutzende von Konten – sowohl für den persönlichen als auch für den beruflichen Gebrauch – und die meisten Benutzer werden der Anzahl der Benutzernamen- und Passwortkombinationen, an die sie sich erinnern sollen, nicht mehr Herr. In einer Studie des PC Magazine gaben 65 Prozent der Befragten an, dass sie ihr Passwort vergessen werden, wenn sie es nicht aufschreiben, und 57 Prozent vergessen ihr neues Passwort sofort, nachdem es zurückgesetzt wurde.

Um das Problem von einfachen Passwörtern und der Wiederverwendung von Passwörtern zu umgehen, verlangen manche Unternehmen häufige Passwortänderungen sowie komplexe Muster mit Buchstaben, Zahlen und Sonderzeichen. Diese Anforderungen lösen zwar einige Probleme, verursachen jedoch andere, einschließlich der Kontosperrung. Dieselbe Studie des PC Magazine ergab, dass dem durchschnittlichen Amerikaner pro Monat 10 Konten gesperrt werden. Die Kontosperrung schafft natürlich ein erbärmliches Benutzererlebnis, aber sie ist auch kostspielig, da Helpdesks häufig Anfragen nach Passwortzurücksetzungen bearbeiten müssen.

Durch die Abschaffung von Passwörtern beseitigen Sie all diese Möglichkeiten.

Mit der passwortlosen Authentifizierung kann sich eine Person bei einem Online-Konto anmelden, ohne ein Passwort eingeben zu müssen. Stattdessen wird die Authentifizierung Endpoints wie Mobilgeräten oder Computern zugewiesen, auf denen der Benutzer einen Fingerabdruck oder einen Gesichtsscan verwenden kann, der als „biometrische“ Authentifizierung bezeichnet wird. Dies kann auch mit Authentifikator-Apps, -Token und Smartcards erfolgen, die alle immer beliebter werden. Der Benutzer muss sich keine Sorgen über vergessene Passwörter machen, und da keine Anmeldeinformationen über das Internet „geteilt“ werden, besteht keine Gefahr des Abfangens. 

Zwei-Faktor- und Multi-Faktor-Authentifizierung

Viele Anwendungen und Dienste bieten entweder Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA). Diese Methoden erfordern, dass sich der Benutzer mit einer Kombination von mindestens zwei eindeutigen Faktoren authentifiziert. Der Benutzername und das Passwort sind „Wissensfaktoren“ (etwas, das sie wissen). Das mobile Gerät, das Hardware-Token oder die Smartcard sind „Besitzfaktoren“ (etwas, das sie haben). Biometrie, z. B. Fingerabdrücke oder Identifikatoren für die Gesichtserkennung, sind Beispiele für „Inhärenzfaktoren“ (etwas, das sie sind).

Bei der 2FA muss sich ein Benutzer zunächst mit einem Benutzernamen und einem Passwort und dann mit einem zweiten Faktor authentifizieren, z. B. mit einem Einmalkennwort (one-time passcode – OTP), der über eine Authentifizierungs-App oder per SMS übermittelt wird. Dieser Ansatz wird als „passwortloser Faktor“ bezeichnet, was bedeutet, dass der zweite Authentifizierungsschritt nach dem Benutzername-Passwort-Schritt kein Passwort und keinen Wissensfaktor verwendet. Dieser Ansatz fügt zwar eine zusätzliche Schutzebene hinzu, behält aber viele der Probleme bei, die mit der Verwendung von Passwörtern verbunden sind

Sowohl 2FA als auch MFA können kontextbezogene Attribute wie das Gerät des Benutzers, den Browser, die IP-Adresse, den Standort oder die Tageszeit einbeziehen, doch MFA geht in der Regel noch weiter und kann einen dritten oder vierten Faktor hinzufügen. Manche Kontextänderungen, z. B. der Standort oder das Gerät des Benutzers oder sogar der sensible Charakter der App, auf die zugegriffen wird, lösen eine weitere Authentifizierung aus, die als Step-up-Authentifizierung bezeichnet wird. Wenn der gesamte Kontext den Erwartungen entspricht, erfordert das System möglicherweise eine geringere Authentifizierung, was den Zugriff für den Benutzer erleichtert.

Die passwortlose Authentifizierung kann allein oder als Teil einer 2FA- oder MFA-Strategie verwendet werden, und ihre Beliebtheit wächst.

Ist es möglich, komplett ohne Passwort zu arbeiten?

Ja. Bei einem vollständig passwortlosen System hat der Benutzer überhaupt nicht das Gefühl, mit einem Passwort zu interagieren, weil es keines gibt. Dies ist mit einer Reihe von Methoden möglich, z. B. FIDO2 WebAuthn, Passkeys, Open Authentication (OATH), Push-Benachrichtigungen, OTPs, biometrische Daten und weiteren. Da der Benutzer nicht mit dem Passwort interagiert, eliminieren Sie alle Sicherheitsrisiken und Probleme bei der Nutzerfreundlichkeit.

Es ist einfacher, für Privatanwender ein komplett passwortloses System zu aktivieren, als für Unternehmensmitarbeiter. Während Privatanwender hauptsächlich mit Websites und SaaS-Diensten interagieren, agieren Arbeitskräfte in viel komplexeren Umgebungen, mit IT-Systemen, die immer Passwörter erfordern, z. B. virtuelle private Netzwerke (VPNs), Datenbanken und ältere Infrastrukturen. Für diese Umgebungen können Sie eine sogenannte passwortlose Umgebung bereitstellen, in der die Mitarbeiter nicht mit Passwörtern interagieren müssen - stattdessen können diese sicher im Hintergrund vom IAM-System verarbeitet werden. Dieser Ansatz ist gut für die Sicherheit, denn immer, wenn ein Passwort bekannt ist, besteht die Gefahr, dass es kompromittiert wird. Es kann auch zu einer wesentlich besseren Nutzererfahrung für den Unternehmensnutzer führen. ForgeRock Enterprise Connect Passwordless ermöglicht das passwortlose Arbeiten für eine Reihe von Anwendungsfällen im Unternehmen.

Erfahren Sie mehr in unserem Blog. Entmystifizierung von „passwortlos“.

Die Vorteile der passwortlosen Authentifizierung

According to a survey by ESG, 54% of organizations are implementing, testing, or evaluating passwordless authentication, and 31% of these organizations rank it as the top priority in their identity strategy.

Es gibt mehrere Gründe, warum sich Unternehmen für passwortlose Authentifizierungslösungen interessieren:

Better security: Passwords are a major vulnerability because of reuse and because passwords can be shared with others, so they cease to be controllable. According to the 2023 ForgeRock Identity Breach Report, unauthorized access was responsible for 91% of the records breached in 2022, impacting nearly 1.4 billion people. With passwordless authentication, login credentials are never transmitted over the internet, thus eliminating the threat of interception.

Better user experience: Passwords create a range of problems that translate to poor experiences, and most of us are familiar with them. But usability problems have real consequences that affect the bottom line. For example, if a customer can’t remember the right password used for your site, it’s likely that the customer will abandon their shopping cart rather than going through the forgotten password flow. By providing customers with passwordless authentication, you eliminate that frustration. Your customers can rely on convenient login mechanisms, such as push notifications to their mobile devices and facial recognition, which streamlines the process.

Cost-effective: Passwords increase help desk call volume and they require constant maintenance from IT teams. By removing passwords, you can reduce support tickets and free IT to address more important matters. Importantly, by streamlining the registration and checkout process, passwordless authentication reduces the likelihood of shopping cart abandonment.

Ist die passwortlose Authentifizierung sicher?

Wenn Passwörter sicher wären, würden wir nicht ständig Berichte über Datenschutzverletzungen lesen. Hacker können bösartigen Code in Software einschleusen, um ein Netzwerk zu infiltrieren oder einen Botnet zu erstellen, der einen Denial-of-Service-Angriff (DoS) auslöst. Es ist jedoch weitaus einfacher, schwache Zugangsdaten zu knacken oder Social Engineering gegen einen Endbenutzer einzusetzen, um Zugangsdaten zu erhalten.

Ein Teil des Problems besteht darin, dass den Benutzern nicht klar ist, dass ihre schwachen Zugangsdaten in der Regel nicht das Ziel eines Cyberangriffs sind. Sie betrachten sich selbst als risikoarm, weil sie nichts zu verbergen haben oder es nichts zu stehlen gibt. In vielen Fällen mag das stimmen. Ihre gestohlenen Zugangsdaten können jedoch dazu dienen, Zugriff auf ein viel größeres Netzwerk zu erhalten, in dem Hacker Malware verbreiten und wertvolle Daten stehlen können. Der Empfänger einer Phishing-E-Mail dient lediglich als Sprungbrett – er ist selten das eigentliche Ziel.

Wie werden Passwörter gestohlen und ausgenutzt?

According to LastPass, the password management company, hackers have an array of tools at their disposal for harvesting credentials.

Phishing attacks: One way credentials are stolen is when the recipient of the phishing email clicks a link to a site (that looks legitimate) and enters their username and password, which the hacker collects. Some phishing emails contain malicious links or attachments that contain malware. By downloading the malware to their computer, people can become infected with spyware or a keylogger that can capture keystrokes, including login credentials, and send them to the hacker.

Credential stuffing: Credential stuffing relies on the use of bots to automatically test every username and password combination in a (stolen) database to see if any of them successfully gain access to a website. In its 2021 State of the Internet (SOTI) Phishing for Finance report, Akamai revealed there were 193 billion credential stuffing attacks globally in 2020.

Credential spraying: If an email address for an online account is known, credential spraying (also called password spraying) allows hackers to test common passwords (such as password123) to see if any of them work with that particular email address. The use of bots allows them to quickly test against many thousands of email addresses in a database.

Brute-force attacks: A brute-force attack is similar to credential spraying, but instead of testing passwords against many email addresses, it typically involves making multiple login attempts to a single, targeted account using a different password each time. Unfortunately, brute-force attacks are often successful because so many people use simple passwords that are easy to guess. (Read tips for avoiding brute-force attacks.)

Wie funktioniert der passwortlose Zugang?

Alles begann mit dem Fast Identity Online 2 (FIDO2) WebAuthn-Standard für die passwortlose Authentifizierung, der im März 2019 vom World Wide Web Consortium (W3C) genehmigt wurde. WebAuthn ermöglicht es Unternehmen, eine passwortlose Authentifizierung anzubieten, und der Standard wird zunehmend von den wichtigsten Browsern, Betriebssystemen und Hardwareherstellern, darunter Apple, Google und Microsoft, unterstützt. Die WebAuthn-Spezifikation delegiert die Authentifizierung an private Schlüssel, die auf Endgeräten wie Mobilgeräten oder Computern gespeichert sind, wodurch die Gefahr des Abfangens durch einen böswilligen Akteur beseitigt wird und der Benutzer sich nicht mehr an die Anmeldedaten der Website erinnern muss.

Vor kurzem erweiterte FIDO2 den WebAuthn-Standard um passkeys, which allow private keys to be stored in a vault in the device vendor’s cloud instead of on the device itself. This means that if you have multiple devices, or you get a new device, you retain your passkey and your ability to use passwordless authentication, such as a fingerprint or facial scan.

Passwortfreie Authentifizierung für Konsumenten

Die Zahlen variieren je nach Umfrage, aber seit Beginn der Pandemie ist ein klarer Anstieg der Online-Konten festzustellen. TechRadar berichtete, dass die Zahl der Online-Konten um 25 Prozent gestiegen ist und die Verbraucher durchschnittlich 100 davon im Auge behalten müssen. Da Verbraucher mehr Zeit mit dem Online-Shopping von Waren und Dienstleistungen verbringen, haben sich Unternehmen darauf konzentriert, Erfahrungen (auch als „Journeys“ bezeichnet) für Kunden zu schaffen, die sowohl zufriedenstellend als auch sicher sind. Wenn Kunden Probleme haben, sich bei ihren Konten anzumelden oder eine Transaktion abzuschließen, gehen sie woanders hin. Mit der passwortlosen Authentifizierung können Kunden viele der Probleme vermeiden, die zu Zugangsbarrieren führen, wie das Zurücksetzen des Passworts und das Sperren des Kontos.

Die Sicherheit der Kunden in der digitalen Welt, in der Betrug an jeder Ecke lauert, veranlasst Unternehmen dazu, ihren Ansatz für das Identitäts- und Zugriffsmanagement (IAM) zu modernisieren und passwortlose Verfahren für ihre Kunden einzubinden. Das passwortlose System erhöht die Sicherheit, da es das Risiko vieler identitätsbasierter Bedrohungen wie Phishing, Credential Stuffing und Brute-Force-Angriffe verringert. Es reduziert auch die Kosten, indem es das Volumen der Helpdesk-Anrufe, von denen viele mit Passwörtern zusammenhängen, drastisch reduziert. Der vielleicht wichtigste Vorteil für Unternehmen mit Kundenkontakt besteht darin, dass durch die passwortlose Anmeldung frustrierende Erfahrungen vermieden werden und Kunden schneller und länger an das Unternehmen gebunden werden können.

Passwortlose Authentifizierung für die Belegschaft

Mit der Verlagerung von Unternehmensanwendungen in die Cloud richten Unternehmen Identitäts- und Zugriffsverwaltungslösungen (IAM) mit Single Sign-On (SSO) ein, um die Produktivität hoch und die Beeinträchtigung des Benutzererlebnisses gering zu halten. Moderne SSO-Lösungen können passwortlose Anmeldungen und andere Authentifizierungsmethoden umfassen, die den Zugriff vereinfachen, ohne auf Sicherheit zu verzichten.

Mit passwortlosen Systemen entfällt der Austausch von Passwörtern zwischen Benutzern und Unternehmensanwendungen und -infrastruktur. Der Wegfall von Passwörtern verringert das Risiko passwortbasierter Angriffe wie Phishing, bei denen Angreifer in Ihr Netzwerk eindringen können, wo sie sich seitlich bewegen und vertrauliche Daten stehlen oder offenlegen können. Mit zunehmend bequemeren und sichereren Authentifizierungsoptionen erhalten Unternehmensanwender außerdem schnelleren und einfacheren Zugang zu den Ressourcen, die sie für ihre Arbeit benötigen. Gleichzeitig senkt die passwortlose Authentifizierung die Kosten, indem Kontosperrungen und passwortbezogene Hilfetickets entfallen.