Passwortlose Authentifizierung – der neue Standard?
Fingerabdruck, Gesichtsscan, Einmalkennwort – solche Anmeldeverfahren werden immer wichtiger. Sind klassische Passwörter bald passé? Wir werfen einen Blick auf die Hintergründe und erklären, warum das Thema „Passwordless Authentication“ gerade so im Trend ist.
Die Anmeldung via Nutzername und Passwort ist in IT-Systemen und Online-Diensten derzeit noch die gängigste Authentifizierungsmethode. Doch die Vorherrschaft beginnt zu bröckeln. Bei mobilen Endgeräten sind passwortlose Anmeldemethoden längst selbstverständlich. Wir entsperren das Smartphone mit der PIN, dem Fingerabdruck oder der Face ID. Das macht die Anmeldung schneller, komfortabler und sicherer.
Auch viele Unternehmen setzen deshalb vermehrt auf Methoden der Passwordless Authentication. Ebenso wie im privaten Umfeld werden uns Anmeldeverfahren ohne Passwort auch im Berufsleben häufiger begegnen – und zwar aus gutem Grund.
Warum auch die komplexesten Passwörter unsicher sind
Der überwiegende Großteil aller Cyberangriffe startet mit dem Entwenden von Passwörtern oder der Ausnutzung bereits entwendeter Passwörter. Wie aufwändig das Passwort aus Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen zusammengesetzt ist, ist dabei egal. Denn wenn die Passwörter durch ein Datenleck ins Darknet gelangen oder durch eine Phishing-Attacke auf gefälschten Login-Seiten abgefangen werden, ist die Länge und Komplexität völlig unerheblich.
Cyberkriminelle haben sich schon lange auf Methoden spezialisiert, mit denen sie Passwörter gar nicht erst knacken müssen. Best Practices wie der Einsatz von Passwortmanagern helfen zwar, den Schaden einzugrenzen. Zum Beispiel indem sie den Einsatz unterschiedlicher Passwörter erleichtern. Sie lösen aber nicht das Kernproblem: Es gibt einfach zu viele Methoden, um Passwörter mit geringem Aufwand zu ergaunern – vom Phishing bis zum Keylogger, der Tastaturanschläge ausliest.
Herkunft der passwortlosen Authentifizierung und Unterschiede zu MFA
Die Entwicklung von passwortlosen Authentifizierungsmethoden reicht einige Jahrzehnte zurück. Bereits in den 1980er Jahren entstanden zum Beispiel Fingerabdruckscanner und Ansätze für Smartcards. Heute sind mehrere passwortlose Verfahren ausgereift und in Alltagsgeräten wie Notebooks, Smartphones und Tablets integriert. Eine Umfrage des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) im Jahr 2024 zeigte, dass sechs von zehn Befragten bereits biometrische Merkmale zur Anmeldung auf ihren Geräten verwenden.
In vielen Fällen kommt die passwortlose Authentifizierung außerdem bereits bei der Multifaktorauthentifizierung (MFA) zum Einsatz. Die Ansätze sind grundsätzlich nicht gleichzusetzen. Sie ergänzen sich aber sehr gut. Passwortlose Authentifizierung ist ein Sammelbegriff für mehrere Verfahren, die ohne Passwort auskommen – bezieht sich aber nur auf einen Faktor. MFA bezeichnet Anmeldeverfahren mit mehreren Faktoren.
Eine passwortlose Multifaktorauthentifizierung ist also zum Beispiel die Kombination aus Fingerabdruck (Faktor 1) und Einmalpasswort per SMS (Faktor 2).
Welche passwortlosen Verfahren es gibt
Mittlerweile sind eine Vielzahl passwortloser Authentifizierungsmöglichkeiten etabliert. Sie lassen sich grob in folgende Kategorien unterteilen:
Biometrische Merkmale
Fingerabdruck, Netzhautscan oder Gesichtserkennung sind klassische Beispiele für biometrische Authentifizierungsfaktoren. Darüber hinaus gibt es zum Beispiel auch Verfahren, die Verhaltensmerkmale beim Tippen auf der Tastatur oder der Nutzung eines Touchscreens analysieren, um die Identität von Nutzern zu verifizieren.
Software-Token
Das Smartphone nimmt als digitaler Begleiter im Alltag eine zunehmend wichtige Rolle für die Authentifizierung ein. Häufig genutzt werden Einmalkennwörter (One-Time-Password, kurz: OTP) – sei es in Form von generierten Codes von Authentifizierungs-Apps oder empfangen via SMS.
Hardware-Token
Ähnlich wie Software-Token fallen auch Hardware-Token wie FIDO 2 Security Keys in die übergeordnete Kategorie der Besitzfaktoren. Sie nehmen zum Beispiel die Form von USB-Sticks oder Smartcards mit NFC-Chip an.
Magische Links
Nach Eingabe der E-Mail-Adresse erhalten Nutzer einen einmaligen Link, mit dem sie sich in einem System authentifizieren können. Auch hier ist kein Passwort erforderlich.
Höhere Sicherheit und Erleichterung für Mitarbeiter sowie das IT-Personal
Auch wenn die Implementierung von passwortloser Authentifizierung aufwändiger als die Einrichtung des klassischen Verfahrens mit Nutzername und Passwort ist, ergeben sich mittel- und langfristig zahlreiche Vorteile:
Risikominimierung und Stärkung der IT-Security
Viele gebräuchliche Cyberangriffe wie Phishing basieren auf der Prämisse, dass es Passwörter zu erbeuten gibt. Mit passwortlosen Verfahren werden diese Risiken eliminiert. Die Organisation wird dadurch resilienter gegenüber Cyberattacken.
Höhere Nutzerfreundlichkeit für Mitarbeiter
Schon wieder das Passwort vergessen? Oder vertippt bei der Anmeldung? Solche Fälle gehören mit passwortlosen Systemen der Vergangenheit an. Die Mitarbeiter werden entlastet, da sie nicht mehr in der Verantwortung für ein sicheres Passwortmanagement sind und sich nicht regelmäßig neue Passwörter ausdenken und merken müssen.
Geringere Aufwände für Systemadministratoren
Initial bringt der Umstieg auf passwortlose Systeme zwar Einrichtungsaufwände mit sich. Langfristig sinkt aber der Verwaltungsaufwand. Das IT-Team ist zum Beispiel nicht mehr mit Fällen konfrontiert, in denen ein Passwort zurückgesetzt werden muss, weil es vergessen wurde oder erneuert werden muss.
Was bei der Einführung passwortloser Authentifizierung zu berücksichtigen ist
Die Einführung von Passwordless Authentication muss gut durchdacht und sauber geplant werden. Einerseits sind technische Aspekte zu klären: Welche Authentifizierungsfaktoren sollten verwendet werden? Welche Hard- und Softwarevoraussetzungen sind gegeben und müssen ggf. geschaffen werden?
Andererseits sind aber auch die Auswirkungen auf Mitarbeiter zu berücksichtigen. Sie sollten frühzeitig in das Projekt eingebunden und von den Vorteilen überzeugt werden. Je nach eingesetzten Faktoren ist zudem die sichere Registrierung der Mitarbeiter zu koordinieren. Wird zum Beispiel ein Gesichtserkennungssystem eingeführt, so müssen initial einmalig die Gesichter der Mitarbeiter gescannt werden.
Fazit
Kein Authentifizierungssystem ist zu hundert Prozent sicher, auch nicht die passwortlose Authentifizierung. Sie ist aber deutlich sicherer und schwerer auszuhebeln als die gängige Kombination von Nutzername und Passwort. Gegen die häufigsten Arten von Cyberangriffen sind passwortlose Verfahren schlichtweg immun – und werden sich deshalb voraussichtlich noch weiter durchsetzen.
Hier findest du weitere Informationen zur IT-Sicherheit für mittelständisches Unternehmen.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
Evelyn Heinrich
Head of Account Management
oder ein Account Manager aus ihrem Team melden sich umgehend.
