Die Vorteile und Herausforderungen passwortloser Authentifizierung

Autor/Redakteur: Andreas Müller, VP DACH bei Delinea/gg

Bedenkt man, dass der Großteil der Datenschutzverletzungen heutzutage auf kompromittierte Passwörter zurückzuführen ist, liegt eine flächendeckende Durchsetzung passwortloser Authentifizierungsmethoden mehr als nahe. Auch die Tech-Giganten Google, Microsoft und Apple ließen vor einigen Wochen verlautbaren, zukünftig auf eine passwortfreie, rein gerätebasierte Authentifizierung setzen zu wollen, und gehen damit einen wichtigen Schritt in Richtung passwortloser Zukunft. Die Sicherheit von Unternehmen, aber auch die Benutzerfreundlichkeit und damit Produktivität der Mitarbeitenden kann davon nachhaltig profitieren, doch einige Cyberrisken bleiben dennoch bestehen.

Bild: Delinea

Welches IT-Betriebsteam kennt die Probleme nicht: Passwörter müssen zurückgesetzt werden, weil Benutzer sie vergessen haben, Authentifizierungsvorgänge schlagen wiederholt fehl, Zugangsdaten wurden kompromittiert und müssen schnell geändert werden, Mitarbeitende geben Kennwörter aus Bequemlichkeit an Dritte weiter und so weiter. Sicherheitsverantwortliche in Unternehmen wissen längst, dass die Sicherheit ihrer IT in hohem Maße auch von der Nahtlosigkeit ihrer Authentifizierungsmethoden abhängt. Kennwortlose Verifikationsmethoden machen dem Authentifizierungsklassiker Passwort nicht umsonst immer häufiger Konkurrenz, wie auch eine aktuelle Forrester-Studie zeigt. Demnach experimentiert bereits die Hälfte der Unternehmen mit passwortlosen Verfahren und führt Pilotprojekte, Proofs-of-Concept und kleine Implementierungen mit bestimmten Benutzergruppen durch.

Was versteht man unter passwortloser Authentifizierung?

Für einen traditionellen Anmeldevorgang braucht es einen Identifikator, das ist in der Regel ein Benutzername, sowie einen Verifikator, das heißt ein Passwort, eine Passphrase, eine PIN, einen Schlüssel, ein Zertifikat oder eine andere Art von Secret. Der Identifikator bestätigt dabei die Identität des Benutzers und bestimmt, welcher Verifikator für die Authentifizierung und die Erteilung der Zugriffsberechtigung erforderlich ist.  

Auch wenn die passwortlose Verifikation auf das manuelle oder automatisierte Eingeben von Kennwörtern verzichtet, so werden doch auch hier Secrets, etwa gerätegebundene Schlüssel oder Token, im Hintergrund ausgetauscht, um die Berechtigungen und die Zugriffsebene eines Benutzers zu überprüfen. Oft kommen kennwortfreie Anmeldeverfahren im Rahmen einer Multi-Faktor-Authentifizierung (MFA) zum Einsatz, die biometrische Muster, Sicherheitsschlüssel, geräte-basierte Sicherheitschecks und Mobilgeräte kombinieren. So soll etwa nach den Vorstellungen von Google das Smartphone schon bald der Generalschlüssel für sämtliche Geräte und Konten werden: Loggt sich ein Nutzer auf seinem Handy ein – beispielsweise über eine biometrische Fingerabdruckerkennung, aktiviert er damit auch einen sogenannten Passkey. Über diesen auf dem Gerät verschlüsselten Token loggt sich der User dann auch bei vielen anderen Diensten ein – ohne dort ein Passwort eingeben zu müssen.

Die Vorteile passwortloser Authentifizierung

  • Mindert riskantes Benutzerverhalten: Das Aufschreiben von Passwörtern auf Zetteln aber auch das Abspeichern in Excel-Tabellen hat sich in der Vergangenheit immer wieder als Türöffner für Cyberangriffe erwiesen. Und auch das Ablegen von Kennwörtern in herkömmlichen vermeintlich sicheren Passworttresoren wird den Anforderungen von Unternehmen an die Konsistenz und das Monitoring von Passwörtern bei weitem nicht gerecht. Denn viele Lösungen werden selbst nur mit einem einfachen Passwort abgesichert und verfügen nicht über eine ausreichend starke Identitätsprüfung. Zudem fehlt den Security-Teams hier die nötige Transparenz, um Risiken im Umgang mit Passwörtern angemessen bewerten zu können. Letztlich wird die Verantwortung für die Passwortpflege also auf die Schultern der Mitarbeitenden (die in ihrer Arbeit ganz andere Prioritäten setzen) gelegt.
    Darüber hinaus verhindert eine passwortlose Authentifizierung auch das weit verbreitete, aber riskante Password Sharing. Denn werden Zugangsdaten unter Mitarbeitenden geteilt, werden eventuell Least-Privilege- beziehungsweise Zero Trust-Vorgaben missachtet und Personen erhalten Zugriff auf Systeme und Daten, für die sie eigentlich keine Rechte haben. Außerdem sind Security-Verantwortliche hierdurch nicht mehr in der Lage, festzustellen, welcher Benutzer welche Aktivität durchgeführt hat. Compliance-Berichte, Audits und forensische Untersuchungen nach einem Vorfall sind so praktisch unmöglich.
  • Bietet mehr Schutz vor Account-Kompromittierungen: Erfahrungsgemäß gehen Menschen bei Passwörtern oft den Weg des geringsten Widerstands und erstellen Passwörter, die leicht zu merken und einzugeben, für Cyberkriminelle gleichzeitig aber auch leicht zu knacken sind – insbesondere mittels Brute-Force- und Pass-the-Hash-Angriffen. Aber auch starke, Maschinen-generierte Passwörter bieten längst nicht die Sicherheit, die sie versprechen. Das liegt vor allem daran, dass Hacker für die Kompromittierung von Accounts in vielen Fällen Berechtigungsnachweise nutzen, die sie zuvor von einem Server gestohlen oder im Darknet gekauft haben, und dessen Komplexität für das Vorankommen der Hacker also keine Rolle spielt. Authentifizieren sich Nutzer passwortlos minimiert sich die Angriffsfläche eines Unternehmens folglich stark.
  • Entlastet IT-Helpdesks: Untersuchungen zeigen, dass rund 50 Prozent aller IT-Helpdesk-Anfragen in Unternehmen Probleme mit Passwörtern und fehlgeschlagene Authentifizierungen betreffen. Für Unternehmen bedeutet dies nicht nur hohe Kosten und eine Bindung von Personal, das in Zeiten des Fachkräftemangels sowieso schon knapp ist, sondern führt auch zu einer hohen Frustration bei den Mitarbeitenden, die dadurch verleitet werden, Sicherheitskontrollen zu umgehen. Passwortlose Anwendungen ermöglichen es, sich schnell und reibungsfrei bei verschiedenen Anwendungen zu authentifizieren, störende Kontosperrungen und zeitaufwendige Passwortrücksetzungen zu vermeiden und so die Produktivität der Mitarbeitenden zu erhöhen.