Passwortlose Authentifizierung als neuer Standard

Goodbye Passwort

31. Mai 2023, 12:00 Uhr | Detlev Riecke/wg
Die Implementierung passwortloser Authentifizierung in drei Schritten steigert die Nutzerfreundlichkeit und die Sicherheit.
© ForgeRock

Obwohl das Passwort lange ein Garant für die Sicherheit von Nutzerkonten, Netzwerken oder Systemen war, wird es mit der zunehmenden Komplexität von Cybersicherheitsrisiken immer mehr selbst zu einem Risiko. Passwortlose Authentifizierung schafft hier Abhilfe – wenn man sie ebenso sorgfältig wie benutzerfreundlich designt und implementiert.

Obwohl das Passwort lange ein Garant für die Sicherheit von Nutzerkonten, Netzwerken oder Systemen war, wird es mit der zunehmenden Komplexität von Cybersicherheitsrisiken immer mehr selbst zu einem Risiko. Passwortlose Authentifizierung schafft hier Abhilfe – wenn man sie ebenso sorgfältig wie benutzerfreundlich designt und implementiert.

Ein Passwort einzugeben, um sich mit dem Benutzerkonto bei einer Website, einem Netzwerk oder einer App anzumelden, ist allgegenwärtige Routine. Den meisten von uns ist die Gleichung „Nutzername + Passwort = Anmeldung“ bereits so zur Gewohnheit geworden, dass wir sie nicht mehr oder nur selten hinterfragen, meist wenn irgendetwas nicht funktioniert. Dabei sind Passwörter längst nicht mehr die einzige Möglichkeit, wenn es um die Absicherung und Authentifizierung von Nutzerkonten, Systemen und digitalen Identitäten geht. Ganz im Gegenteil: Das Zeitalter der passwortlosen Authentifizierung ist angebrochen – und es wird höchste Zeit, denn dies bietet zahlreiche Vorteile für ihre Nutzer.

Was ist Passwortlose Authentifizierung?

Die Stärke und Verlässlichkeit eines gesamten Authentifizierungsprozesses oder -systems stützt sich auf Faktoren. Sehr einfach ausgedrückt: Je mehr Faktoren, desto sicherer. Ein Faktor kann dabei etwas sein, dass der Nutzer weiß, wie ein Passwort oder eine PIN-Nummer, dass er besitzt, etwa ein verbundenes mobiles Endgerät oder einen QR-Code, oder eine Charakteristik, über die er verfügt, wie sein Fingerabdruck oder seine Netzhaut im Auge.

Diese Faktoren lassen sich nach Bedarf miteinander kombinieren. Ein Passwort und eine anschließende Push-Nachricht an ein verbundenes Gerät zur Bestätigung – zwei Faktoren in Tandem − ergeben hier die inzwischen weit bekannte und genutzte Zwei-Faktor-Authentifizierung (2FA) und mit weiteren Faktoren im Mix würde es dann zu einer Multi-Faktor-Authentifizierung (MFA) werden. Vor diesem Hintergrund heißt passwortlose Authentifizierung nichts anderes, als einen MFA-Prozess aufzubauen, der komplett ohne Passwörter auskommt, denn Passwörter sind nicht sicher.

Wie ForgeRocks Identity Breach Report zeigt, war im Jahr 2021 der unberechtigte Zugriff mit kompromittierten Zugangsdaten der Grund für rund die Hälfte aller verzeichneten Datensicherheitsverletzungen. Hinzu kommt, dass einmal gestohlene Passwörter ein dauerhaftes Sicherheitsrisiko darstellen: Unbefugte können sie nutzen, um sich Zugang zu weiteren Zugangsdaten zu verschaffen – ein potenzieller Teufelskreis aus Datensicherheitsverletzungen, der weit über die ursprüngliche Kompromittierung hinausgeht.

Einfachere Bedienung

Damit sollte klar sein, dass Passwörter – oder diejenigen, die sie an Unbefugte weitergeben, beispielsweise im Rahmen von Social Engineering – der verwundbarste Teil einer digitalen Identität sind. Unternehmen sollten folglich darüber nachdenken, sie durch benutzerfreundlichere und sicherere Methoden zu ersetzen. Dieser Trend zeichnet sich bereits ab: Laut Gartner-Prognose werden bis 2025 mehr als 50 Prozent der Mitarbeiterinteraktionen und mehr als 20 Prozent der Kundenauthentifizierungen passwortlos sein, verglichen mit rund zehn Prozent heute.

Dieser Trend überrascht nicht, denn zusätzlich zum höheren Grad an Sicherheit bietet die passwortlose Authentifizierung auch das bessere Nutzererlebnis: Nutzer müssen sich keine Passwörter mehr merken, was bei der Menge an Apps und Diensten, die jeder inzwischen täglich nutzt, eine signifikante Erleichterung darstellt. Und damit gehört auch das Vergessen eines Passworts – üblicherweise gefolgt von einer Sperre des Kontos und Mehrarbeit für die IT-Verantwortlichen, das Konto wieder zu entsperren oder wiederherzustellen – der Vergangenheit an.

Selbst in Anwendungsszenarien, in denen eine komplett passwortlose Authentifizierung nicht möglich ist, kann das IT-Team meist zumindest eine passwortlose Bedienung einrichten. Dabei existiert zwar ein Passwort, es kann aber dank der Nutzung anderer Authentifizierungsfaktoren „im Hintergrund bleiben“ und ist zu keinem Zeitpunkt Teil des Ablaufs – der Benutzer kann es somit auch nicht vergessen oder an Unbefugte weitergeben.

Anbieter zum Thema

zu Matchmaker+

  1. Goodbye Passwort
  2. Passwortlose Authentifizierung richtig implementieren

Lesen Sie mehr zum Thema


Das könnte Sie auch interessieren

Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu ForgeRock

Weitere Artikel zu Security-Management

Weitere Artikel zu Extreme Networks

Weitere Artikel zu Draka Comteq Berlin GmbH & Co. KG

Matchmaker+