Sichere Authentifizierung braucht kein Passwort mehr
Herkömmliche passwortbasierte Authentifizierungsmethoden stoßen heutzutage an ihre systembedingten Grenzen, denn Passwortverfahren sind anfällig für verschiedene Sicherheitsrisiken. Viele Unternehmen setzen deshalb auf passwortlose Lösungen, um Sicherheit, Benutzerkomfort und -akzeptanz zu verbessern. Dabei müssen immer strengere Sicherheitsanforderungen erfüllt werden, und gleichzeitig soll ein nahtloses Benutzererlebnis geboten sein. Dieser Beitrag erläutert bewährte Methoden passwortloser Authentifizierung und deren Vorteile.
Passwortbasierte versus passwortlose Authentifizierung
Die traditionelle Kombination aus der Eingabe von Benutzername und Passwort birgt seine Tücken. Passwörter müssen entweder auswendig parat sein, oder man nutzt eine zwar praktische, aber potenziell angreifbare Passwort-Manager-Lösung.
Vermeintlich praktisch denkende Nutzer legen sich oft ein Master-Passwort für sämtliche Logins fest, und nutzen dieses obendrein womöglich nicht nur beruflich, sondern auch privat, z.B. beim Online-Shop. Passwort-Nutzer können schnell Phishing-Opfer werden, wenn sie auf einer dank KI täuschend echt gefälschten Webseite Benutzername und Passwort eingeben.
Passwörter sind das höchste Risiko bei sicherer Authentifizierung
Viele Systeme sind zudem so aufgesetzt, dass die Nutzer turnusmäßig das Passwort neu vergeben müssen, was – ohne Passwortmanager – die Sache nicht besser macht. Leicht zu merkende, aber gleichzeitig gefährlich leicht zu erratende Passwortreihen wie z.B. „Herbst23“ „Winter23“, „Frühling24“ sind die Folge. Passwörter können errechnet, erraten und erbeutet werden und sind deshalb das Problem und nicht die Lösung!
Passwortlose Authentifizierung ist willkommene Alternative zur Überprüfung von Benutzeridentitäten. Passwortlose Authentifizierung beseitigt die Passwort-Abhängigkeit, und setzt auf sicherere und bequemere Anmeldefaktoren. In den letzten Monaten haben Apple, Google und Microsoft Passkeys in Browser und Betriebssysteme integriert. In diesem Beitrag beschrieben sind: biometrische Merkmale, Hardware-Token und Mobile Push-Benachrichtigungen.
Der Umstieg auf passwortlose Authentifizierung ermöglicht es, Sicherheitsmaßnahmen einzuhalten, den Anmeldeprozess zu vereinfachen und den Anwendern eine reibungslose Benutzererfahrung zu bieten. Jede dieser Methoden funktioniert naturgemäß anders, und bietet unterschiedliche Vorteile.
Die Vorteile von passwortlosen Authentifizierungslösungen im Allgemeinen
Passwortlose Lösungen bieten klare Vorteile gegenüber herkömmlichen, passwortbasierten Methoden:
- Höhere Sicherheit: Der Einsatz von passwortlosen Methoden anstatt von Passwörtern reduziert die Risiken von Phishing und Brute-Force-Attacken erheblich.
- Schnell und einfach einloggen: Passwortlose Authentifizierung optimiert den Anmeldeprozess, Benutzer können sich schnell und einfach authentifizieren, ohne sich Passwörter merken zu müssen. Das erleichtert den Arbeitsalltag.
- Das Passwort „password“ ist Geschichte: Passwortlose Authentifizierung minimiert bekannte Sicherheitsrisiken beim Festlegen von Passwörtern – viele Anwender nutzen etwa zu leicht zu erratende Passwörter, Passwortreihen oder für Algorithmen zu schwache Passwörter.
- Flexibilität und Anpassungsfähigkeit: Bei passwortloser Authentifizierung kann der Authentifizierungsfaktor je nach Anwender-Präferenz gewählt werden.
Verschiedene Methoden der passwortlosen Authentifizierung und deren Vorteile
Passwortlose Authentifizierungsverfahren nutzen zur Überprüfung von Benutzeridentitäten, die folgende Faktoren: Biometrische Merkmale, Hardware-Token oder Mobile Push-Benachrichtigungen.
Biometrische Merkmale
Die Benutzer authentifizieren sich über ihre individuellen biometrischen Merkmale wie Fingerabdrücke, Gesichtszüge oder Sprachmuster. Das gewährleistet sehr hohe Genauigkeit und Sicherheit.
Vorteile der biometrischen Merkmale:
- Hohe Sicherheit: Biometrische Merkmale sind individuell und daher schwer zu fälschen oder zu stehlen.
- Benutzerfreundlich: Benutzer müssen keine Passwörter eingeben, sondern nur ihre Biometrie nutzen.
- Schnell und bequem: Die Authentifizierung erfolgt nahezu sofort.
Mobile Push-Benachrichtigungen
Bei dieser Methode erhalten Benutzer bei der Anmeldung eine Benachrichtigung auf ihrem zuvor registrierten Smartphone. Nutzer können diese Authentifizierungsanfrage bequem und sicher direkt genehmigen – oder ggf. auch ablehnen. Lösungen hierfür bietet z.B. der Hersteller SecurEnvoy mit Access Management.
Vorteile von mobilen Push-Benachrichtigungen:
- Hohe Sicherheit: Die Benachrichtigungen sind schwer zu fälschen, da sie ausschließlich auf dem Nutzer-Smartphone erscheinen.
- Benutzerfreundlich: Der Anwender genehmigt die Anmeldung unkompliziert durch das Bestätigen der Benachrichtigung.
- Schnell und bequem: Die Authentifizierung ist in Sekunden abgeschlossen.
Hardware-Token
Hier verwenden die Benutzer zur Authentifizierung entweder vom Token regelmäßig erzeugte, einmalig gültige Passwörter (OTP) bzw. kryptografische Schlüssel. Oder das Token funktioniert berührungslos und annäherungsbasiert via Bluetooth.
Berührungslose Hardware-Token
Mehr dazu im ProBlog-Beitrag: Passwortlose Authentifizierung im Gesundheitswesen
Vorteile von Hardware Token:
- Hohe Sicherheit: Hardware Token bieten einen starken Schutz beim Zugriff auf Systeme und Daten.
- Keine weiteren Geräte nötig: Token können meist unabhängig von der Verfügbarkeit eines Smartphones und ohne Internetzugang genutzt werden.
- Schutz vor Phishing: Token generieren regelmäßig neue Codes für relativ kurze Zeitspannen. Bluetooth-Token funktionieren ohne Codes, aber nur bei räumlicher Nähe.
- Faktor «Haben»: Der zweite Faktor muss in Form eines Hardware Token oder einer Smartcard vorhanden sein. Externe Manipulationsversuche sind zwecklos.
Welche Lösungen für passwortlose Authentifizierung gibt es?
Aktuelle Standards wie FIDO2, U2F, Smartcard oder OpenPGP erhöhen die Sicherheit einer Lösung, wenn man passwortlose Authentifizierung einsetzt.
ProSoft hat unterschiedliche passwortlose Authentifizierungsverfahren im Portfolio:
Berührungslose Authentifizierung mit Halberd Token von Gatekeeper, YubiKey Token mit One-Touch Bedienung, Badgeo Token und Smartcard von Neowave, sowie die neue Lösung Access Management von SecurEnvoy.
FAZIT
Die Zeit ist reif, sich von Passwörtern zu verabschieden und stattdessen auf Passwortlose Authentifizierungsmethoden zu setzen. Diese sind vielversprechend, wenn Sie die Sicherheit erhöhen und gleichzeitig die Benutzererfahrung verbessern möchten. Unternehmen sollten wie immer solche Lösungen auswählen, die am besten zu ihren Anforderungen und Anwendungsfällen passen.
Das könnte Sie auch interessieren:
Die fünf Herausforderungen von Patch-Management lösen
Meldungen und Warnungen vor kritischen Sicherheitslücken erreichen uns nahezu täglich....
Identitätssicherheit (Teil 3): Warum SecurEnvoy und nicht Microsoft Azure?
Multi-Domain-Umgebungen als Sicherheitsfalle Identitätsbasierte Bedrohungen sind inzwischen eine...
Identitätssicherheit (Teil 2): Warum SecurEnvoy und nicht Microsoft Azure?
Schutzwall für mehr Identitätssicherheit gegen digitale Raubritter Die Bedrohung durch...
Identitätssicherheit (Teil 1): Warum SecurEnvoy und nicht Microsoft Azure?
USB-Device-Management – Teil 1 Soll man, kann man aus IT-Security- und Datenschutzperspektive im...
Was tun gegen zunehmende Cyberkriminalität?
Malware, Phishing, DoS-Attacken und Sicherheitsrisiken durch die Schwachstelle Mensch. Die Liste...
Datenschleuse: Du kommst hier nicht rein!
Auf praktischen USB-Sticks lässt sich so manches in Ihr Unternehmen bringen: Firmware- und...
Cybersecurity & Schwachstelle Mensch
Deepfakes, Payment Diversion Fraud, Fake President bzw. Fake Identity und Man-in-the-Cloud sind...
RFID-Technologie für doppelte Sicherheit
RFID – radio-frequency identification – kann auf eine erstaunliche Entwicklung zurückblicken: aus...
Keyless-Go Datenschutz
Keyless-Go sorgt dafür, dass Fahrzeuge ohne Betätigen des Funkschlüssels geöffnet werden können....
Windows Anmeldung ohne Passwort
Während Online-Portale immer noch Tipps für sichere Passwörter geben, gehen Microsoft und die...
