Sysbus
ArtikelAuthentifizierung

Status quo der passwortlosen Authentifizierung

dcg

Passwortlos: der Spagat zwischen Benutzerfreundlichkeit und Sicherheit

Bei der Implementierung einer Lösung für die passwortlose Anmeldung kommt es vor allem darauf an, den Spagat zwischen Benutzerfreundlichkeit und Sicherheit zu meistern. So sollte bei Beibehaltung einer Ein-Faktor-Methode zur Authentifizierung auf das Passwort nicht verzichtet werden. Einmalpasswörter (One Time Passwords, OTP) via SMS sind zum Beispiel notorisch unsicher. Werden sie als einzige Authentifizierungsform verwendet, kann von Sicherheit keine Rede mehr sein. Wenn nur eine Push-basierte Authentifizierung ohne eine weitere zusätzliche Methode zum Einsatz kommt, können Angreifer den Benutzer mittels MFA-Bombings dazu verleiten, einen Push zu akzeptieren, wenn der MFA-Prozess selbst nicht geschützt ist.

Bild: WatchGuard Technologies

Passwort-Manager mit MFA kombinieren

Der zunehmende Trend zur passwortlosen Anmeldung könnte viele Unternehmen auf den Gedanken bringen, die Notwendigkeit von Passwort-Managern in Frage zu stellen. Das Gegenteil ist der Fall. Gerade weil Kennwörter in absehbarer Zeit nicht verschwinden werden und es nahezu unmöglich ist, für jede einzelne Anwendung unterschiedliche und komplexe Passwörter zu verwenden, stellt ein Passwort-Manager eine großartige Möglichkeit dar, Benutzer zu sensibilisieren, Probleme mit schwer zu knackenden Dark-Web-Datenbanken zu entschärfen und gleichzeitig Anwendern ein passwortloses Erlebnis zu bieten. Die Lösung besteht darin, sich beim Passwort-Manager mittels MFA anzumelden und gewünschte Login-Anmeldevorgänge für Webseiten und Anwendungen anschließend automatisch anzustoßen.

Hier sind einige wichtige Erkenntnisse und Vorschläge zusammengefasst, die auf dem aktuellen Stand der passwortlosen Authentifizierung basieren:

  • „Passwortlos“ bedeutet nur, dass der Benutzer kein Passwort eingibt. Es bedeutet nicht, dass das Passwort nicht mehr existiert.
  • Passwörter werden nicht verschwinden, also müssen bessere Wege gefunden werden, um damit einhergehende Herausforderungen zu meistern.
  • Hinsichtlich cloudbasierter Geschäftsanwendungen stellt SAML eine hervorragende Möglichkeit für einen passwortlosen SSO-Zugang dar.
  • Für Computeranmeldungen können FIDO2-Tokens sowohl in Sachen Benutzerfreundlichkeit als auch Sicherheit punkten: Doch dies hat dann in der Regel auch seinen (hohen) Preis.
  • Ein Passwort-Manager kann Benutzern die passwortlose Anmeldung bei Anwendungen ermöglichen, die MFA nicht nativ unterstützen, und gleichzeitig mehrere Probleme im Zusammenhang mit Anmeldeinformationen lösen.

Je nach Zielsetzung kann eine vollständig passwortlose Methode die beste Lösung sein, muss es aber nicht. Tatsache ist, dass es immer noch keinen klaren Standard für die passwortlose Authentifizierung gibt, der für unterschiedlichste Geräte und Anwendungen funktioniert. Am nächsten dran kommen aktuell nur sehr teure Hardware-Token – aber dann auch nur für eine sehr begrenzte Anzahl von Anwendungen. Selbst gängige Methoden wie Windows Hello oder Face-ID können nicht für den Zugriff auf alle Websites verwendet werden, da jede eine eigene Anmeldemethode voraussetzt. In ein paar Jahren könnte FIDO2 zum De-facto-Standard für passwortlose Anmeldung werden, aber im Moment ist die Nutzung noch sehr begrenzt.

Es empfiehlt sich daher, zunächst die wichtigsten Anwendungen zu identifizieren, die geschützt werden sollen, und anschließend zu prüfen, welche passwortlosen Methoden dafür in Frage kommen. Dann ist es entscheidend, deren Benutzerfreundlichkeit und Sicherheit auf den Prüfstand zu stellen, ohne dabei die Verwaltungskosten aus den Augen zu verlieren.

Ähnliche Beiträge:

  1. Multi-Faktor-Authentifizierung: Diese 5 Funktionen sollte sie erfüllen
  2. Drei alternative Authentifizierungsmethoden für Online-Kunden
  3. Wie Hacker Authentifizierungskonzepte umschiffen – und wie man sie aufhalten kann
  4. Authentifizierung: Viel hilft viel

Das könnte dir auch gefallen

Legacy IT aus anderer Perspektive: Anforderungen der Digitalisierung bedingen neue Sicht auf IT-Prozesse

gg

Supply Chain 4.0 erfordert das Aufbrechen von Informationssilos

gg

Compliance bei verteilter Arbeit – Wie KI die Rechtsabteilung in 2022 verändern wird

gcg