Drei alternative Authentifizierungsmethoden für Online-Kunden

Autor/Redakteur: Patrick McBride, Chief Marketing Officer bei Beyond Identity/gg

Passwörter sind wie Licht und Schatten. Licht, weil sie jeder verwendet und Schatten, da sie von Natur aus unsicher sind. Die Probleme mit Passwörtern sind seit Jahrzehnten bekannt. Dennoch hat sich auf diesem Gebiet wenig getan, denn Unternehmen verlassen sich immer noch auf das gleiche, kundenunfreundliche und anfällige Sicherheitssystem.

Bild: Beyond Identity

Passwörter sind auch nicht benutzerfreundlich. Die meisten Leute haben dutzende Online-Konten, für welche sie selbstverständlich das sicherste und Individuellste Passwort verwenden wollen. Dieses zu verwalten, abzurufen und einzugeben macht den Authentifizierungsprozess für Benutzer umständlich.

Die traditionelle Passwortauthentifizierung ist auch im E-Commerce gescheitert und macht ihn anfällig für Betrug. Besonders häufig treten diese Bedrohungen bei folgendem auf:

  • Bot-Angriffe: Durch Brute-Force-Angriffe können Bots die Konten auf Herz und Nieren prüfen und so herausfinden, ob es sich um ein schwaches oder starkes Passwort handelt. Das hat zur unmittelbaren Folge, dass der Bot-Traffic zunimmt.
  • Credential-Angriffe: Phishing, Credential Stuffing und Rainbow-Table-Angriffe sind gängige Hacking-Methoden, um mit gekaperten Passwörtern Kontozugriff zu erlangen.
  • Datenschutzverletzungen: Die kennwortbasierte Authentifizierung erfordert die Speicherung von sensiblem Authentifizierungsmaterial (normalerweise Kennwort-Hashes) in den Datenbanken eines Unternehmens. Werden dessen Systeme infiltriert, können diese Daten von einem Angreifer missbraucht werden.
  • Kontoübernahme: Cyberkriminelle können sich auf verschiedene Weise Zugang zu Benutzerpasswörtern verschaffen. Sobald ein Passwort erbeutet wird, hat der Angreifer vollen Zugriff auf das Konto des Benutzers.

Passwörter sind veraltet und funktionieren in der modernen Welt nicht. Und es gibt alternative Authentifizierungsmethoden, wobei jedes Unternehmen die passende Methode für sich finden muss.

Einmalcodes, Push-Benachrichtigungen und magische Links

Oftmals werden Authentifizierungsmethoden als passwortlos angeboten. Dabei sind Einmalcodes, Push-Benachrichtigungen und magische Links nicht passwortlos.

Diese Methoden ermöglichen es einem Benutzer, sich bei einem Dienst anzumelden, indem er einen Code angibt oder auf einen Link klickt, der an ein Gerät oder Konto gesendet wird, das ihm gehört. Während der Authentifizierung wird das Kennwort zwar aus der Benutzeroberfläche entfernt, jedoch sind bei diesen Konten in den Datenbanken Kennwörter zugeordnet. Der Grund dafür ist, dass der Benutzer, wenn er den Zugriff auf sein Gerät oder seinen Account verliert, ein Backup-Authentifizierungsmittel für die Wiederherstellung benötigt. Diese Methoden und die damit verbundenen Sicherheitsprobleme wie SIM-Hijacking, Malware und Benachrichtigungsflutangriffe können Passwörter nicht beseitigen, und sie haben zudem erhebliche Nachteile:

Anwendung: Oftmals wird zur Authentifizierung ein zweites Gerät benötigt. Jedes Mal, wenn sich ein Benutzer anmeldet, muss er das zweite Gerät benutzen. Das ist nicht benutzerfreundlich. Jeder vergisst oder verlegt mal ein Gerät. Oder was ist, wenn der Dienst ausfällt oder nur langsam funktioniert? Das kann ganze Unternehmen lahmlegen.

Sicherheit: Viele dieser Dienste verwenden SMS und E-Mails, um die Authentifizierung durchzuführen. Durch SIM-Swapping-Angriffe, Schwachstellen im mobilen SS7-Netz und der Möglichkeit, Codes durch Man-in-the-Middle-Angriffe oder Social Engineering zu kompromittieren, gelten SMS als unsicher. Für E-Mails gilt das gleiche. Sie können mit gestohlenen Zugangsdaten aus dem Dark Web gehackt werden.

Kosten: Die Abrechnung erfolgt pro Nachricht mit Bestätigungscodes. Dabei kommt schnell eine größere Summe heraus.

Passwortloses MFA

Die Multi-Faktor-Authentifizierung (MFA) erfordert, dass Benutzer mehrere Faktoren verwenden, um sich bei ihrem Konto zu authentifizieren. Die drei Optionen für MFA-Faktoren sind „etwas, das du weißt“, „etwas, das du hast“ und „etwas, das du bist“.

Die meisten MFA-Systeme verwenden eine Kombination aus „etwas, das du kennst“ (das heißt ein Passwort) und „etwas, das du hast“ (zum Beispiel ein Smartphone), aber dieser traditionelle Ansatz zur Authentifizierung hat viele Nachteile. Passwörter sind von Natur aus problematisch. Hinzu kommt, dass ein zweites Gerät zur Authentifizierung benötigt wird. Somit geht jede Praktikabilität im Alltag verloren.

Die bestmögliche Implementierung von MFA nutzt zwei Elemente aus den Kategorien „etwas, das du hast“ und „etwas, das du bist“. Darüber hinaus sollte dieses „etwas, das du hast“ kein weiteres Gerät sein, das zum Generieren oder Empfangen eines Einmalcodes verwendet wird. Beispielsweise können Benutzer basierend auf dem Besitz eines vertrauenswürdigen Geräts („etwas, das du hast“) in Kombination mit einer Benutzerauthentifizierung über Gerätebiometrie („etwas, das du bist“) authentifiziert werden. Die kennwortlose MFA adressiert die wichtigsten Nachteile anderer „kennwortloser“ Authentifizierungsmethoden:

Anwendung: Benutzer verwenden bereits das vertrauenswürdige Gerät und die Authentifizierung über einen Fingerabdruck-Scan oder eine Gesichtserkennung ist viel einfacher als die Eingabe eines Passworts.

Sicherheit: Passwortlose MFA eliminiert das Risiko, dass ein kompromittiertes Passwort, ein Code oder ein magischer Link von einem Lauscher abgefangen wird.

Kosten: Die passwortlose MFA vermeidet Abbrüche, die MFA verursachen kann, senkt das Betrugsrisiko (und deren Kosten) und vermeidet die Kosten für SMS-Texte, Einmalpasswörter und Out-of-Band-Authentifizierung.

Adaptive risikobasierte Authentifizierung

Passwörter bieten nur eine einzige und schwache Authentifizierungsebene. Darüber hinaus haben die meisten Unternehmen nach der Authentifizierung eines Benutzers keine gute Möglichkeit, Risikosignale zu bewerten und die Identitätssicherung von Fall zu Fall zu erhöhen. Das Risikoniveau eines Benutzers ist jedoch im Laufe der Zeit nicht statisch und Operationen innerhalb einer Anwendung bergen unterschiedliche Risiken. Zum Beispiel kann ein Benutzer sein Gerät jailbreaken und unwissentlich Malware installieren. Darüber hinaus birgt das Durchsuchen eines Online-Katalogs ein geringeres Risiko als das Aktualisieren der Kontaktinformationen eines Kontos oder das Anzeigen einer gespeicherten Zahlungsmethode.

Ein adaptives, risikobasiertes Authentifizierungssystem ermöglicht dem Benutzer sein Authentifizierungssystem an seinen aktuellen Risikozustand anzupassen. Ein Authentifizierungsportal kann vor der Authentifizierung Risikosignale sammeln und dann basierend auf diesen Informationen und der Unternehmenssicherheitsrichtlinie einen geeigneten Authentifizierungsprozess auswählen. Benutzer, die Daten in einer App anzeigen, können beispielsweise einfach durch den Besitz des Geräts authentifiziert werden, aber das Ändern der Zahlungseinstellungen erfordert eine zweite Authentifizierungsebene über die Gerätebiometrie.

Die adaptive risikobasierte Authentifizierung bietet ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit. Bei der Durchführung von Aktivitäten mit geringem Risiko sollten Benutzer nicht mit komplexen Authentifizierungsprozessen belastet werden. Wenn jedoch Anlass zur Vorsicht besteht, bietet bei Bedarf eine dynamische Aufforderung zur biometrischen Step-up-Authentifizierung eine höhere Sicherheit. Diese Art der dynamischen Authentifizierung behebt die vielen Probleme mit anderen Authentifizierungserfahrungen:

Anwendung: Es bietet eine nahtlose Authentifizierungserfahrung für den Endbenutzer, und es besteht die Möglichkeit, bei Bedarf eine verstärkte Verifizierung anzufordern.

Sicherheit: Die risikobasierte Authentifizierung passt sich dem Verhalten und der Sicherheitslage des Geräts an, sodass Teams schnell auf abnormales Verhalten reagieren können. Es erhöht somit die Sicherheit einer Authentifizierung.

Kosten: Kosten für Verifizierungsmails und SMS werden vermieden, das Betrugsrisiko wird konsequent gesenkt.

Fazit

Niemand mag Passwörter: Das Merken und Eingeben von Passwörtern sind anstrengend und die meisten Nutzer suchen nach Schlupflöchern, wie zum Beispiel dem Hinzufügen eines Ausrufezeichens am Ende ihres wiederverwendeten Passworts. Damit gefährden sie ihre eigenen Daten und die ihres Unternehmens. Die passwortlose Authentifizierung bietet dagegen eine sicherere und kundenfreundlichere Alternative für den E-Commerce.