Sichere Authentifizierung braucht kein Passwort mehr
Herkömmliche passwortbasierte Authentifizierungsmethoden stoßen heutzutage an ihre systembedingten Grenzen, denn Passwortverfahren sind anfällig für verschiedene Sicherheitsrisiken. Viele Unternehmen setzen deshalb auf passwortlose Lösungen, um Sicherheit, Benutzerkomfort und -akzeptanz zu verbessern. Dabei müssen immer strengere Sicherheitsanforderungen erfüllt werden, und gleichzeitig soll ein nahtloses Benutzererlebnis geboten sein. Dieser Beitrag erläutert bewährte Methoden passwortloser Authentifizierung und deren Vorteile.
Passwortbasierte versus passwortlose Authentifizierung
Die traditionelle Kombination aus der Eingabe von Benutzername und Passwort birgt seine Tücken. Passwörter müssen entweder auswendig parat sein, oder man nutzt eine zwar praktische, aber potenziell angreifbare Passwort-Manager-Lösung.
Vermeintlich praktisch denkende Nutzer legen sich oft ein Master-Passwort für sämtliche Logins fest, und nutzen dieses obendrein womöglich nicht nur beruflich, sondern auch privat, z.B. beim Online-Shop. Passwort-Nutzer können schnell Phishing-Opfer werden, wenn sie auf einer dank KI täuschend echt gefälschten Webseite Benutzername und Passwort eingeben.
Passwörter sind das höchste Risiko bei sicherer Authentifizierung
Viele Systeme sind zudem so aufgesetzt, dass die Nutzer turnusmäßig das Passwort neu vergeben müssen, was – ohne Passwortmanager – die Sache nicht besser macht. Leicht zu merkende, aber gleichzeitig gefährlich leicht zu erratende Passwortreihen wie z.B. „Herbst23“ „Winter23“, „Frühling24“ sind die Folge. Passwörter können errechnet, erraten und erbeutet werden und sind deshalb das Problem und nicht die Lösung!
Passwortlose Authentifizierung ist willkommene Alternative zur Überprüfung von Benutzeridentitäten. Passwortlose Authentifizierung beseitigt die Passwort-Abhängigkeit, und setzt auf sicherere und bequemere Anmeldefaktoren. In den letzten Monaten haben Apple, Google und Microsoft Passkeys in Browser und Betriebssysteme integriert. In diesem Beitrag beschrieben sind: biometrische Merkmale, Hardware-Token und Mobile Push-Benachrichtigungen.
Der Umstieg auf passwortlose Authentifizierung ermöglicht es, Sicherheitsmaßnahmen einzuhalten, den Anmeldeprozess zu vereinfachen und den Anwendern eine reibungslose Benutzererfahrung zu bieten. Jede dieser Methoden funktioniert naturgemäß anders, und bietet unterschiedliche Vorteile.
Die Vorteile von passwortlosen Authentifizierungslösungen im Allgemeinen
Passwortlose Lösungen bieten klare Vorteile gegenüber herkömmlichen, passwortbasierten Methoden:
- Höhere Sicherheit: Der Einsatz von passwortlosen Methoden anstatt von Passwörtern reduziert die Risiken von Phishing und Brute-Force-Attacken erheblich.
- Schnell und einfach einloggen: Passwortlose Authentifizierung optimiert den Anmeldeprozess, Benutzer können sich schnell und einfach authentifizieren, ohne sich Passwörter merken zu müssen. Das erleichtert den Arbeitsalltag.
- Das Passwort „password“ ist Geschichte: Passwortlose Authentifizierung minimiert bekannte Sicherheitsrisiken beim Festlegen von Passwörtern – viele Anwender nutzen etwa zu leicht zu erratende Passwörter, Passwortreihen oder für Algorithmen zu schwache Passwörter.
- Flexibilität und Anpassungsfähigkeit: Bei passwortloser Authentifizierung kann der Authentifizierungsfaktor je nach Anwender-Präferenz gewählt werden.
Verschiedene Methoden der passwortlosen Authentifizierung und deren Vorteile
Passwortlose Authentifizierungsverfahren nutzen zur Überprüfung von Benutzeridentitäten, die folgende Faktoren: Biometrische Merkmale, Hardware-Token oder Mobile Push-Benachrichtigungen.
Biometrische Merkmale
Die Benutzer authentifizieren sich über ihre individuellen biometrischen Merkmale wie Fingerabdrücke, Gesichtszüge oder Sprachmuster. Das gewährleistet sehr hohe Genauigkeit und Sicherheit.
Vorteile der biometrischen Merkmale:
- Hohe Sicherheit: Biometrische Merkmale sind individuell und daher schwer zu fälschen oder zu stehlen.
- Benutzerfreundlich: Benutzer müssen keine Passwörter eingeben, sondern nur ihre Biometrie nutzen.
- Schnell und bequem: Die Authentifizierung erfolgt nahezu sofort.
Mobile Push-Benachrichtigungen
Bei dieser Methode erhalten Benutzer bei der Anmeldung eine Benachrichtigung auf ihrem zuvor registrierten Smartphone. Nutzer können diese Authentifizierungsanfrage bequem und sicher direkt genehmigen – oder ggf. auch ablehnen. Lösungen hierfür bietet z.B. der Hersteller SecurEnvoy mit Access Management.
Vorteile von mobilen Push-Benachrichtigungen:
- Hohe Sicherheit: Die Benachrichtigungen sind schwer zu fälschen, da sie ausschließlich auf dem Nutzer-Smartphone erscheinen.
- Benutzerfreundlich: Der Anwender genehmigt die Anmeldung unkompliziert durch das Bestätigen der Benachrichtigung.
- Schnell und bequem: Die Authentifizierung ist in Sekunden abgeschlossen.
Hardware-Token
Hier verwenden die Benutzer zur Authentifizierung entweder vom Token regelmäßig erzeugte, einmalig gültige Passwörter (OTP) bzw. kryptografische Schlüssel. Oder das Token funktioniert berührungslos und annäherungsbasiert via Bluetooth.
Berührungslose Hardware-Token
Mehr dazu im ProBlog-Beitrag: Passwortlose Authentifizierung im Gesundheitswesen
Vorteile von Hardware Token:
- Hohe Sicherheit: Hardware Token bieten einen starken Schutz beim Zugriff auf Systeme und Daten.
- Keine weiteren Geräte nötig: Token können meist unabhängig von der Verfügbarkeit eines Smartphones und ohne Internetzugang genutzt werden.
- Schutz vor Phishing: Token generieren regelmäßig neue Codes für relativ kurze Zeitspannen. Bluetooth-Token funktionieren ohne Codes, aber nur bei räumlicher Nähe.
- Faktor «Haben»: Der zweite Faktor muss in Form eines Hardware Token oder einer Smartcard vorhanden sein. Externe Manipulationsversuche sind zwecklos.
Welche Lösungen für passwortlose Authentifizierung gibt es?
Aktuelle Standards wie FIDO2, U2F, Smartcard oder OpenPGP erhöhen die Sicherheit einer Lösung, wenn man passwortlose Authentifizierung einsetzt.
ProSoft hat unterschiedliche passwortlose Authentifizierungsverfahren im Portfolio:
Berührungslose Authentifizierung mit Halberd Token von Gatekeeper, YubiKey Token mit One-Touch Bedienung, Badgeo Token und Smartcard von Neowave, sowie die neue Lösung Access Management von SecurEnvoy.
FAZIT
Die Zeit ist reif, sich von Passwörtern zu verabschieden und stattdessen auf Passwortlose Authentifizierungsmethoden zu setzen. Diese sind vielversprechend, wenn Sie die Sicherheit erhöhen und gleichzeitig die Benutzererfahrung verbessern möchten. Unternehmen sollten wie immer solche Lösungen auswählen, die am besten zu ihren Anforderungen und Anwendungsfällen passen.
Das könnte Sie auch interessieren:
Wo sichere Authentifizierung (faktisch) Pflicht ist
Diese Zertifizierungen, Regulatoriken und Gesetze empfehlen oder verlangen den Schutz von...
Kobra VS – Hochsichere verschlüsselte Speicherlösungen „Made in Germany“
In einer Zeit, in der Datensicherheit und Datenschutz zentrale Erfolgsfaktoren für Unternehmen,...
KIM: Patientendaten sicher austauschen mit Malware-Schutz
Im Gesundheitswesen tut sich gerade viel: Die Digitalisierung ist eine Chance für mehr Effizienz...
Passkeys: Die Zukunft der passwortlosen Authentifizierung?
«Passwörter sind nicht die Lösung, sondern das eigentliche Problem!» Im Darknet gelistete...
Cyberangriffe auf kommunale IT: zu lukrativ, zu teuer, zu wenig IT-Security Basics
In den letzten Monaten haben mehrere Cyberangriffe auf kommunale IT-Strukturen in Deutschland und...
Passwortlose Authentifizierung in Kliniken und Arztpraxen
Gesundheitsdaten gehören gemäß Artikel 9 der Datenschutzgrundverordnung (DSGVO) zu den besonderen...
Betroffen von NIS2? Sechs Handlungsempfehlungen
Die Umsetzung der NIS2-Richtlinie stellt mittelständische Unternehmen und KRITIS-Organisationen...
NIS2, IT-Grundschutz, KRITIS-Vorgaben, B3S und DSGVO: Die Gemeinsamkeiten
Sofern Unternehmen überhaupt von NIS2 betroffen sind, haben sie angesichts bereits bestehender...
NIS2 im Kontext: IT-Grundschutz, KRITIS-Vorgaben und Co. in neuem Gewand?
Die europäische NIS2-Richtlinie wird in der IT-Sicherheitsszene heiß diskutiert. In Deutschland...
On-premise Zugriffsverwaltung trotz Cloud-Lösungen: Gute Gründe
Menschen sind von Natur aus neugierig! Hacker, ob Cyberkriminelle oder staatlich organisiert,...
