ArtikelAuthentifizierung

Status quo der passwortlosen Authentifizierung

Autor/Redakteur: Michael Haas, Regional Vice President Central Europe bei WatchGuard Technologies/gg

Die Verwaltung von Passwörtern stellt für Unternehmen seit jeher eine besondere Herausforderung dar und legt darüber hinaus den Anwendern große Verantwortung auf. Denn letztere müssen in ihrem digitalen Leben jeden Tag so sorgsam wie möglich mit Hunderten von privaten und beruflichen Passwörtern umgehen. Der Gedanke an eine „passwortlose“ Zukunft klingt in dem Zusammenhang zu schön, um wahr zu sein. Doch bevor dieser Weg beschritten werden kann, soll an dieser Stelle zunächst geklärt werden, was das überhaupt bedeutet und mit welchen Optionen und Herausforderungen Unternehmen konfrontiert werden.

Bild: WatchGuard Technologies

Was ist mit „passwortlos“ gemeint?

Moderne Mobilgeräte können mittels Fingerabdruck entsperrt werden. Diese Funktionalität kann bei vielen Anwendungen optional auch zur Anmeldung genutzt werden. Das gilt ebenso für Gesichtserkennungen wie Windows Hello auf Laptops oder Face-ID auf Apple-Geräten. Der Vorteil für den Anwender: Diese Art der Anmeldung ist vor allem bequem. Immer dann, wenn eine solche Möglichkeit zur Anmeldung ohne Kennwort Verwendung findet, kann von „passwortloser“ Authentifizierung gesprochen werden.

Bei passwortlosen Anmeldekonzepten gibt es jedoch einige Punkte zu beachten:

  • Passwortlos bedeutet nicht unbedingt, dass das Kennwort generell obsolet wird. Der Anwender kommt nur in den Genuss, keines eingeben zu müssen. Sobald jedoch eine alternative Authentifizierungsmethode wie etwa der Finger-Scan oder die Gesichtserkennung fehlschlägt, ist die korrekte Eingabe des Kennworts in der Regel immer noch der zielführende Weg.
  • Die passwortlosen Methoden, die auf Telefonen und Laptops verwendet werden, sind in der Regel nicht miteinander kompatibel. Wer sich etwa mit seinem Fingerabdruck bei seiner mobilen Banking-App anmeldet und anschließend über den Laptop darauf zugreifen möchte, kommt um die Eingabe des Passworts nicht herum.

Es ist leider eine Tatsache, dass Passwörter in absehbarer Zeit nicht verschwinden werden. Websites, Streaming-Abonnements, Laptops, Bankkarten und Bankwebsites setzen alle bestimmte Einmalphrasen voraus, die zudem oft unterschiedliche Anforderungen erfüllen müssen, wie etwa eine bestimmte Länge in Kombination mit Zahlen und Sonderzeichen sowie Groß- und Kleinschrift.

Passwortlose Anmeldung im Unternehmen

Interessiert sich ein Unternehmen für den Umstieg auf eine passwortlose Umgebung, gibt es eine Reihe von Möglichkeiten. Diese decken jedoch nur einen Teil der Bedürfnisse ab.

Die erste Option ist die Verwendung von SAML (Security Assertion Markup Language). Über dieses XML-basierte Protokoll können Cloud-Anwendungen eine Vertrauensbeziehung zu einem Identitätsprovider (SAML IdP) aufbauen. Im Rahmen dieses Vertrauensverhältnisses werden Anwender, sobald sie auf eine Cloud-Anwendung wie etwa Salesforce zugreifen möchten, zur Authentifizierung an den Identitätsprovider weitergeleitet. Die Vorteile dieser Methode sind für ein Unternehmen enorm und ermöglichen es den Mitarbeitern, eine einzige Anmeldemethode für diese Cloud-Anwendungen zu nutzen – und das völlig ohne Passwort. Die Anwender müssen sich nur einmal beim Identitätsprovider anmelden und haben danach Zugriff auf alle konfigurierten Anwendungen, sodass keine Passwörter mehr erforderlich sind. Die Voraussetzung dafür ist jedoch der zwingende Einsatz einer zuverlässigen Lösung zur Multifaktor-Authentifizierung (MFA). Ohne MFA geht es nicht.

Die zweite Möglichkeit ist die Einführung eines FIDO2-Geräts, das ebenfalls einen passwortlosen Zugang ermöglicht. Die FIDO Alliance hat Spezifikationen erstellt, um darüber eine Anmeldung bei Websites und Anwendungen zu ermöglichen. In der Regel wird ein Hardware-Token benötigt, der sich über eine bestimmte Verbindungsmethode – USB, Bluetooth, NFC und so weiter – bei einer FIDO2-fähigen Anwendung authentifiziert. Wie bei der Windows Hello- oder Face-ID-Gesichtserkennung können FIDO2-Geräte auch dazu verwendet werden, sich ohne Passwort bei einem Computer anzumelden. Es handelt sich um eine hervorragende und absolut sichere Methode, die jedoch mit Hindernissen verbunden ist: Zum einen ist die Anzahl der unterstützten Anwendungen begrenzt und zum anderen sind Backups für die Authentifizierung notwendig, falls der Token vergessen oder verloren wird. Ganz zu schweigen von der Kostenbarriere – FIDO2-Geräte können ziemlich teuer werden.