Was ist passwortlose Authentifizierung?

 

Mehr erfahren

Passwörter waren einst die einzige Authentifizierungsmethode, die Personen für den Zugriff auf ihre Online-Konten zur Verfügung stand. Selbst in diesen einfacheren Zeiten waren Passwörter problematisch. Um sie sich zu merken, machten sie die Nutzer zu einfach, so dass sie durch böswillige Akteure leicht gestohlen werden konnten. Zudem verwendeten sie immer wieder dieselben Passwörter, was bedeutet, dass Cyberkriminelle nach dem Diebstahl eines Passworts eine gute Chance hatten, damit auf mehrere Konten zugreifen zu können. 

Mit der zunehmenden Verbreitung von Online-Konten haben sich die Probleme mit Passwörtern deutlich verschärft.

Der durchschnittliche Online-Verbraucher hat jetzt Dutzende von Konten – sowohl für den persönlichen als auch für den beruflichen Gebrauch – und die meisten Benutzer werden der Anzahl der Benutzernamen- und Passwortkombinationen, an die sie sich erinnern sollen, nicht mehr Herr. Trotz wiederholter Warnungen verwenden viele Menschen immer noch das gleiche Passwort für mehrere Konten. Einige verwenden schwache Passwörter, die von motivierten Angreifern leicht zu knacken sind. Andere speichern ihre Passwörter in einer Datei mit der Bezeichnung „Passwörter“. In einer Studie des PC Magazine gaben 65 Prozent der Befragten an, dass sie ihr Passwort vergessen werden, wenn sie es nicht aufschreiben, und 57 Prozent vergessen ihr neues Passwort sofort, nachdem es zurückgesetzt wurde.

Um das Problem von einfachen Passwörtern und der Wiederverwendung von Passwörtern zu umgehen, verlangen manche Unternehmen häufige Passwortänderungen sowie komplexe Muster mit Buchstaben, Zahlen und Sonderzeichen. Diese Anforderungen lösen zwar einige Probleme, verursachen jedoch andere, einschließlich der Kontosperrung. Dieselbe Studie des PC Magazine ergab, dass dem durchschnittlichen Amerikaner pro Monat 10 Konten gesperrt werden. Die Kontosperrung schafft natürlich ein erbärmliches Benutzererlebnis, aber sie ist auch kostspielig, da Helpdesks häufig Anfragen nach Passwortzurücksetzungen bearbeiten müssen.

Durch die Beseitigung von Passwörtern heben Sie all diese Möglichkeiten auf.

Mit der passwortlosen Authentifizierung kann sich eine Person bei einem Online-Konto anmelden, ohne ein Passwort eingeben zu müssen. Stattdessen wird die Authentifizierung Endpoints wie Mobilgeräten oder Computern zugewiesen, auf denen der Benutzer einen Fingerabdruck oder einen Gesichtsscan verwenden kann, der als „biometrische“ Authentifizierung bezeichnet wird. Dies kann auch mit Authentifikator-Apps, -Token und Smartcards erfolgen, die alle immer beliebter werden. Der Benutzer muss sich keine Sorgen über vergessene Passwörter machen, und da keine Anmeldeinformationen über das Internet „geteilt“ werden, besteht keine Gefahr des Abfangens. 

 

Zwei-Faktor- und Multi-Faktor-Authentifizierung

Viele Anwendungen und Dienste bieten entweder Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA). Diese Methoden erfordern, dass sich der Benutzer mit einer Kombination von mindestens zwei eindeutigen Faktoren authentifiziert. Der Benutzername und das Passwort sind „Wissensfaktoren“ (etwas, das sie wissen). Das mobile Gerät, das Hardware-Token oder die Smartcard sind „Besitzfaktoren“ (etwas, das sie haben). Biometrie, z. B. Fingerabdrücke oder Identifikatoren für die Gesichtserkennung, sind Beispiele für „Inhärenzfaktoren“ (etwas, das sie sind).

2FA erfordert, dass sich ein Benutzer zuerst mit einem Benutzernamen und einem Passwort authentifiziert und dann mit einem zweiten Faktor, der einen einmaligen Passcode (OTP) verwendet. Diese werden in der Regel über eine Authentifizierungs-App oder über das SMS-Nachrichtenprotokoll zugestellt. Bei 2FA muss bei jedem Authentifizierungsversuch der zweite Authentifizierungsfaktor angegeben werden. 

Sowohl 2FA als auch MFA können kontextbezogene Attribute wie das Gerät des Benutzers, den Browser, die IP-Adresse, den Standort oder die Tageszeit einbeziehen, doch MFA geht in der Regel noch weiter und kann einen dritten oder vierten Faktor hinzufügen. Manche Kontextänderungen, z. B. der Standort oder das Gerät des Benutzers oder sogar der sensible Charakter der App, auf die zugegriffen wird, lösen eine weitere Authentifizierung aus, die als Step-up-Authentifizierung bezeichnet wird. Wenn der gesamte Kontext den Erwartungen entspricht, erfordert das System möglicherweise eine geringere Authentifizierung, was den Zugriff für den Benutzer erleichtert.

Die passwortlose Authentifizierung kann allein oder als Teil einer 2FA- oder MFA-Strategie verwendet werden, und ihre Beliebtheit wächst.

 

Gartner prognostiziert, dass bis 2022 60 % der großen und globalen Unternehmen und 90 % der mittelständischen Unternehmen passwortlose Methoden in mehr als 50 % der Anwendungsfälle implementieren werden – im Vergleich zu 5 % im Jahr 2018.

Ant Allan, Vice President Analyst Gartner

Die Vorteile der passwortlosen Authentifizierung

Gemäß einer jüngeren Umfrage von ESG werden 54 % der Unternehmen die passwortlose Authentifizierung einrichten, testen oder bewerten, wobei sie 31 % dieser Unternehmen als oberste Priorität in ihrer Identitätsstrategie nennen.1 

Es gibt mehrere Gründe, warum sich Unternehmen für passwortlose Authentifizierungslösungen interessieren:

Größere Sicherheit: Passwörter stellen aufgrund der Wiederverwendung eine große Sicherheitslücke dar und können mit anderen geteilt werden, sodass sie nicht mehr kontrollierbar sind. Passwörter sind laut dem ForgeRock Consumer Identity Breach report 2021 für 81 Prozent der Datenschutzverletzungen verantwortlich. Bei der passwortlosen Authentifizierung sind die Anmeldeinformationen für jede Website einzigartig und verlassen niemals das Gerät des Benutzers. Im Gegensatz zu Benutzernamen und Kennwort werden Zugangsdaten niemals über das Internet übertragen, sodass Man-in-the-Middle (MiTM)-Angriffe verhindert werden.

Bessere Benutzererfahrung: Passwörter verursachen eine Reihe von Problemen, die zu schlechten Erfahrungen führen, womit die meisten von uns vertraut sind. Doch Probleme bei der Benutzerfreundlichkeit haben echte Konsequenzen, die sich auf das Geschäftsergebnis auswirken. Wenn sich ein Kunde beispielsweise nicht an das richtige Passwort erinnern kann, das er für Ihre Website verwendet hat, ist es wahrscheinlich, dass er seinen Einkaufswagen aufgibt, anstatt das Verfahren des vergessenen Passworts zu durchlaufen. Wenn Sie Ihren Kunden eine passwortlose Authentifizierung bieten, vermeiden Sie diese Frustration. Ihre Kunden können sich auf praktische Anmeldemechanismen wie Push-Benachrichtigungen an ihre Mobilgeräte und Gesichtserkennung verlassen, die den Prozess rationalisieren.

Kostengünstig: Passwörter erhöhen das Anrufvolumen beim Helpdesk und erfordern eine konstante Wartung durch IT-Teams. Durch den Wegfall von Passwörtern können Sie die Support-Tickets reduzieren und die IT entlasten, um wichtigere Probleme zu lösen. Wichtig ist, dass dank der Optimierung des Registrierungs- und Checkout-Prozesses die passwortlose Authentifizierung die Wahrscheinlichkeit verringert, dass der Einkaufswagen aufgegeben wird.

Ist die passwortlose Authentifizierung sicher?

Wenn Passwörter sicher wären, würden wir nicht ständig Berichte über Datenschutzverletzungen lesen. Hacker können bösartigen Code in Software einschleusen, um ein Netzwerk zu infiltrieren oder einen Botnet zu erstellen, der einen Denial-of-Service-Angriff (DoS) auslöst. Es ist jedoch weitaus einfacher, schwache Zugangsdaten zu knacken oder Social Engineering gegen einen Endbenutzer einzusetzen, um Zugangsdaten zu erhalten.

Ein Teil des Problems besteht darin, dass den Benutzern nicht klar ist, dass ihre schwachen Zugangsdaten in der Regel nicht das Ziel eines Cyberangriffs sind. Sie betrachten sich selbst als risikoarm, weil sie nichts zu verbergen oder zu stehlen haben. In vielen Fällen mag das stimmen. Ihre gestohlenen Zugangsdaten können jedoch dazu dienen, Zugriff auf ein viel größeres Netzwerk zu erhalten, in dem Hacker Malware verbreiten und wertvolle Daten stehlen können. Der Empfänger einer Phishing-E-Mail dient lediglich als Trittstein – er ist selten das beabsichtigte Ziel.

Wie werden Passwörter gestohlen und ausgenutzt?

Laut LastPass, dem Passwortverwaltungsunternehmen, verfügen Hacker über eine ganze Palette von Tools, die sie für die Erbeutung von Zugangsdaten benötigen.

Phishing-Angriffe: Zugangsdaten werden beispielsweise gestohlen, wenn der Empfänger der Phishing-E-Mail auf einen Link zu einer Website klickt (der legitim aussieht) und seinen Benutzernamen und sein Passwort eingibt, die der Hacker erfasst. Einige Phishing-E-Mails enthalten schädliche Links oder Anhänge, die Malware enthalten. Wenn die Malware auf ihren Computer heruntergeladen wird, kann dieser mit Spyware oder einem Keylogger infiziert werden, der Tastatureingaben einschließlich Login-Daten erfasst und an den Hacker übermittelt. 

Credential Stuffing: Credential Stuffing basiert auf der Verwendung von Bots, um automatisch jede Kombination aus Benutzername und Passwort in einer (gestohlenen) Datenbank zu testen, um mit einer von ihnen Zugriff auf eine Website zu erhalten. In seinem State of the Internet (SOTI) Phishing for Finance-Bericht 2021 enthüllte Akamai, dass es im Jahr 2020 weltweit 193 Milliarden Credential-Stuffing-Angriffe gab. 

Credential Spraying Mit einer bekannten E-Mail-Adresse für ein Online-Konto können Hacker dank Credential Spraying (auch Passwort-Spraying genannt) übliche Passwörter (wie password123) testen, um zu sehen, ob eines von ihnen mit dieser bestimmten E-Mail-Adresse funktioniert. Dank der Verwendung von Bots können Sie schnell und einfach mehrere Tausend E-Mail-Adressen in einer Datenbank testen.

Brute-force-Angriffe: Ein Brute-Force-Angriff ähnelt dem Credential Spraying, aber anstatt Passwörter mit vielen E-Mail-Adressen zu testen, werden in der Regel mehrere Anmeldeversuche für ein einzelnes Zielkonto durchgeführt, wobei jedes Mal ein anderes Passwort verwendet wird. Leider sind Brute-Force-Angriffe oft erfolgreich, weil so viele Menschen einfache Passwörter verwenden, die leicht zu erraten sind. (Hier können Sie Tipps zur Vermeidung von Brute-Force-Angriffen lesen.)

In seinem Data Breach Investigations Report 2021berichtete Verizon, dass kompromittierte Zugangsdaten bei 60 Prozent der Sicherheitsverletzungen involviert waren, und hebt hervor: „Zugangsdaten bleiben einer der begehrtesten Datentypen.“

Sicherheitslücken, bei denen Benutzernamen und Passwörter aufgedeckt wurden, stiegen um 450 %, womit die Angreifer eine enorme Anzahl von Zugangsdaten erhielten, die sie für weiteren unbefugten Zugriff verwenden konnten.

ForgeRock, 2021 Consumer Identity Breach Report

Wie funktioniert der passwortlose Zugang?

Es begann mit dem Fast Identity Online 2 (FIDO2) WebAuthn-Standard für die passwortlose Authentifizierung, der im März 2019 vom World Wide Web Consortium (W3C) genehmigt wurde. Dank WebAuthn können Unternehmen eine passwortfreie Authentifizierung anbieten, und der Standard wird zunehmend von großen Browsern und Betriebssystemen unterstützt. Die WebAuthn-Spezifikation delegiert die Authentifizierung an Endgeräte, wie mobile Geräte oder Computer, wodurch die Bedrohung des Abfangens durch einen böswilligen Akteur beseitigt wird und der Benutzer sich die Anmeldeinformationen der Website nicht mehr zu merken braucht.

Wenn ein Benutzer ein Gerät registriert, wird das Gerät angewiesen, ein einzigartiges Paar aus Publik-Key/Private Key für die Kommunikation zu erstellen. Sobald sich der Benutzer authentifiziert hat, wird der Private-Key, der sicher im persistenten Speicher gespeichert wird und das Gerät des Benutzers niemals verlässt, zur Verfügung gestellt, um Authentifizierungsherausforderungen mit dem kryptografischen Public-Key zu signieren.

Die Nutzung von WebAuthn verzeichnet einen rasanten Anstieg. Zusätzlich zu den gängigsten Browsern ist die WebAuthn-Authentifizierung in Betriebssysteme wie Microsoft Windows 10 mit Microsoft Authenticator Windows Hello integriert. Diese Plattformen ermöglichen die Speicherung von Schlüsseln auf Laptops, USB-Anhängern sowie NFC- und Bluetooth-Geräten, sodass Benutzer ihre Authentifizierungsmethode auf mehrere Geräte übertragen können.

Passwortfreie Authentifizierung für Konsumenten

Die Zahlen variieren je nach Umfrage, aber seit Beginn der Pandemie ist ein klarer Anstieg der Online-Konten festzustellen. TechRadar berichtete, dass die Zahl der Online-Konten um 25 Prozent gestiegen ist und die Verbraucher durchschnittlich 100 davon im Auge behalten müssen.

Da Verbraucher mehr Zeit mit dem Online-Shopping von Waren und Dienstleistungen verbringen, haben sich Unternehmen darauf konzentriert, Erfahrungen (auch als „Journeys“ bezeichnet) für Kunden zu schaffen, die sowohl zufriedenstellend als auch sicher sind. Wenn Kunden Probleme haben, sich bei ihren Konten anzumelden oder eine Transaktion abzuschließen, gehen sie woanders hin. Mit der passwortlosen Authentifizierung können Kunden viele der Probleme vermeiden, die zu Zugangsbarrieren führen, wie das Zurücksetzen des Passworts und das Sperren des Kontos.

Um Kunden in der digitalen Welt, in der an jeder Ecke Betrug lauert, zu schützen, sehen sich Unternehmen dazu veranlasst, ihren Ansatz für das Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) zu modernisieren und Lösungen einzurichten, die auf künstlicher Intelligenz und maschinellem Lernen (KI/ML) basieren. Mit unglaublicher Geschwindigkeit und Genauigkeit wenden diese Systeme wie ForgeRock Autonomous Access genau das richtige Maß an Barrieren an, um sicherzustellen, dass rechtmäßige Benutzer problemlos auf ihre Ressourcen zugreifen können, und dass Kontoübernahme-Versuche (ATO) und andere betrügerische Aktivitäten sofort blockiert werden.

Passwortlose Authentifizierung für die Belegschaft

Mit der Verlagerung von Unternehmensanwendungen in die Cloud richten Unternehmen Identitäts- und Zugriffsverwaltungslösungen (IAM) mit Single Sign-On (SSO) ein, um die Produktivität hoch und die Beeinträchtigung des Benutzererlebnisses gering zu halten. Moderne SSO-Lösungen können passwortlose Anmeldungen und andere Authentifizierungsmethoden umfassen, die den Zugriff vereinfachen, ohne auf Sicherheit zu verzichten.

Mit komfortableren und sichereren Authentifizierungsoptionen erhalten Unternehmensanwender schnelleren und einfacheren Zugriff auf Ressourcen. Gleichzeitig reduziert die passwortlose Authentifizierung die Arbeitslast Ihrer IT-Mitarbeiter, indem weniger oder keine Anfragen zum Zurücksetzen des Passworts bearbeitet werden müssen.

Ressourcen
Blog

Verabschieden Sie sich von Passwörtern und Benutzernamen

Wenn Sie bereits eine passwortlose Authentifizierung verwenden, wird Ihnen die Authentifizierung ohne Benutzernamen gefallen.

Webseite

ForgeRock Access Management

Vergessen Sie Ihre Passwörter. Es geht auch ohne.

Whitepaper

Eine Zukunft ohne Passwörter. Sichere Authentifizierung

Wie die passwortlose Authentifizierung über Intelligent Access funktioniert

Lösungsprofil

Eine Zukunft ohne Passwörter

Eine Zukunft ohne Passwörter – das ist einfacher, als Sie denken