Was ist passwortlose Authentifizierung und wie funktioniert sie?

Die passwortlose Authentifizierung ermöglicht Benutzern den Zugriff zu Diensten und Plattformen über einen Prozess, der auf kryptografischen Schlüsselpaaren und biometrischen Merkmalen beruht und so eine sichere und bequeme Authentifizierung ermöglicht.

passwordless

Passwortlose Authentifizierung

Die passwortlose Authentifizierung ist eine Funktion, die es Benutzern ermöglicht, sich bei Diensten und Plattformen ohne Passwort anzumelden. Stattdessen erfolgt die Anmeldung über biometrische Verfahren wie Gesichtserkennung und Fingerabdruckscans.

Passwortlose Authentifizierungsverfahren werden im Allgemeinen als eine Form der Multi-Faktor-Authentifizierung (MFA) betrachtet. Der Einsatz zusätzlicher Authentifizierungsfaktoren bietet eine zusätzliche Sicherheitsebene, während gleichzeitig ein hohes Mass an Einfachheit und Komfort gewahrt bleibt.

Vorteile der passwortlosen Authentifizierung

Passwörter sind das schwächste Glied im Authentifizierungsprozess. Sie werden oft entweder mehrfach verwendet oder sind nicht sicher genug, um die Kompromittierung eines Kontos zu verhindern. Hier zeigt sich der Hauptvorteil der passwortlosen Authentifizierung. Es gibt jedoch noch weitere Vorteile. Dazu gehören:

  • Zusätzliche Sicherheit: Wie bereits erwähnt, sind Passwörter sehr anfällig für Cyberangriffe und Datenschutzverletzungen. Vor allem gestohlene und kompromittierte Passwörter sorgen dafür, dass alle Benutzerkonten auf verschiedenen Plattformen und Diensten anfällig für aggressivere Angriffe wie Credential Stuffing und Brute-Force-Angriffe sind. Dies ist für Benutzer und Unternehmen gleichermassen problematisch. Mit der Abschaffung von Passwörtern wird diese Bedrohung beseitigt.
    Im folgenden Interview beschreibt Stephan Schweizer, CEO von Nevis, die Gefahren des Credential Stuffing und wie Nevis die passwortlose Authentifizierung nach FIDO einsetzt, um u.a. die Sicherheit zu erhöhen und Reputationsrisiken zu reduzieren.
  • Verbesserte Benutzerfreundlichkeit: Mit der Verwendung biometrischer Daten anstelle von Passwörtern zur Authentifizierung entfällt das mühsame und zeitraubende Eingeben langer und komplexer Passwörter. Ausserdem muss man sich diese Passwörter nicht mehr merken.
  • Niedrigere Betriebskosten: Unternehmen, die sich auf die Sicherheit von Passwörtern verlassen, müssen komplexe Richtlinien implementieren, einschliesslich Passwort-Hashing und -Speicherung sowie Mechanismen zur Erkennung von Passwortverletzungen, um ein Mindestmass an Sicherheit zu gewährleisten. Zusätzlich zu diesen Ausgaben sind die Kosten für den Kundendienst, der mit dem Zurücksetzen von Passwörtern verbunden ist, sehr hoch. Mit der passwortfreien Authentifizierung entfallen diese Kosten.
  • Verbesserte Geschwindigkeit: Die passwortlose Authentifizierung ist dreimal schneller als die Anmeldung mit Passwörtern.

Wie funktioniert die passwortlose Authentisierung?

Wie bereits erwähnt, ist die passwortlose Authentifizierung eine Form der MFA. Sie beruht auf der Verwendung eines kryptografischen Schlüsselpaars: dem öffentlichen Schlüssel (Public Key), der sich im Besitz des Diensteanbieters befindet, und dem privaten Schlüssel (Private Key), der das Gerät des Benutzers nie verlässt. Während des Authentifizierungsprozesses kann er jedoch durch biometrische Daten (Gesichtserkennung, Iris- oder Fingerabdruck-Scan) entsperrt werden, um den Authentifizierungsprozess abzuschliessen. Dies funktioniert wie folgt:

  • Erstellung eines Schlüsselpaars: Während des Anmeldevorgangs erstellt der Authentifikator (mobiles Gerät oder Computer) ein Schlüsselpaar. Der private Schlüssel verbleibt auf dem Gerät, während der öffentliche Schlüssel an den Diensteanbieter/das Webportal/die App/usw. übermittelt wird.
  • Erstellung einer Sicherheitsabfrage („Challenge“): Wenn sich der Benutzer das nächste Mal bei dem Dienst anmelden möchte, wird vom Diensteanbieter/Portal eine Sicherheitsabfrage erstellt und an sein Authentifizierungsgerät gesendet.
  • Anmeldung mit privatem Schlüssel: Der Benutzer verwendet einen biometrischen Identifikator, um den auf dem Authentifizierungsgerät gespeicherten privaten Schlüssel zu entsperren. Die Sicherheitsabfrage wird mit dem privaten Schlüssel signiert. An diesem Punkt prüft der öffentliche Schlüssel, ob der richtige private Schlüssel verwendet wurde. Ist dies der Fall, wird der Benutzer eingeloggt.

FAQ zur passwortlosen Authentifizierung

Warum erhöht die passwortlose Authentifizierung die Sicherheit?

orange-plus orange-minus

Passwörter können leicht erraten oder durch Phishing, Social Engineering oder andere Mittel gestohlen werden. Bei der passwortlosen Authentifizierung kommen dagegen sicherere Methoden wie Biometrie, Einmalcodes oder Sicherheitsschlüssel zum Einsatz, die es einem Angreifer wesentlich schwerer machen, sich unbefugt Zugang zu einem Konto zu verschaffen.

Mehr Informationen zur Sicherheitsfrage der biometrischen Authentifizierungsmethode Face ID.

Warum ist die passwortlose Authentifizierung praktisch?

orange-plus orange-minus

Bei der passwortlosen Authentifizierung müssen sich die Benutzer keine komplexen Passwörter merken, was schwierig und zeitaufwendig sein kann. Dies macht den Anmeldevorgang bequemer und effizienter, was zu einer besseren Benutzererfahrung führt.

Unserer Meinung nach ist die Verwendung von komplizierten Passwörtern ein Fail. Mehr dazu in diesem Blog.

Warum senkt passwortlose Authentifizierung die Kosten?

orange-plus orange-minus

Die passwortlose Authentifizierung kann auch die mit der Passwortverwaltung und der Wiederherstellung von Konten verbundenen Kosten senken. Durch den Wegfall von Passwortrücksetzungen und Supportanfragen können Unternehmen Zeit und Ressourcen sparen.

Wir haben hier zusammengestellt, wie viel das Zurücksetzen von Passwörtern ein Unternehmen tatsächlich kostet und wie viele Milliarden auf diese Weise verloren gehen.

Warum hilft die passwortlose Authentifizierung bei der Einhaltung von Vorschriften?

orange-plus orange-minus

Viele behördliche Vorschriften verlangen von Unternehmen die Einführung starker Authentifizierungsmassnahmen zum Schutz sensibler Daten. Die passwortlose Authentifizierung kann Unternehmen dabei helfen, die Compliance-Anforderungen zu erfüllen und teure Geldstrafen zu vermeiden.