{"id":22178,"date":"2022-11-05T11:38:00","date_gmt":"2022-11-05T10:38:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22178"},"modified":"2022-10-31T10:51:25","modified_gmt":"2022-10-31T09:51:25","slug":"status-quo-der-passwortlosen-authentifizierung","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22178","title":{"rendered":"Status quo der passwortlosen Authentifizierung"},"content":{"rendered":"\n<p>Autor\/Redakteur: <a href=\"https:\/\/www.watchguard.com\/de\">Michael Haas, Regional Vice President Central Europe bei WatchGuard Technologies<\/a>\/gg<\/p>\n\n\n\n<p>Die Verwaltung von Passw\u00f6rtern stellt f\u00fcr Unternehmen seit jeher eine besondere Herausforderung dar und legt dar\u00fcber hinaus den Anwendern gro\u00dfe Verantwortung auf. Denn letztere m\u00fcssen in ihrem digitalen Leben jeden Tag so sorgsam wie m\u00f6glich mit Hunderten von privaten und beruflichen Passw\u00f6rtern umgehen. Der Gedanke an eine \u201epasswortlose\u201c Zukunft klingt in dem Zusammenhang zu sch\u00f6n, um wahr zu sein. Doch bevor dieser Weg beschritten werden kann, soll an dieser Stelle zun\u00e4chst gekl\u00e4rt werden, was das \u00fcberhaupt bedeutet und mit welchen Optionen und Herausforderungen Unternehmen konfrontiert werden.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/10\/Stock_Men_with_Smartphone-scaled.webp\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"495\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/10\/Stock_Men_with_Smartphone-1024x495.webp\" alt=\"\" class=\"wp-image-22180\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/10\/Stock_Men_with_Smartphone-1024x495.webp 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/10\/Stock_Men_with_Smartphone-300x145.webp 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/10\/Stock_Men_with_Smartphone-768x372.webp 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/10\/Stock_Men_with_Smartphone-1536x743.webp 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/10\/Stock_Men_with_Smartphone-2048x991.webp 2048w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/10\/Stock_Men_with_Smartphone-1320x639.webp 1320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption>Bild: WatchGuard Technologies<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p><strong>Was ist mit \u201epasswortlos\u201c gemeint?<\/strong><\/p>\n\n\n\n<p>Moderne Mobilger\u00e4te k\u00f6nnen mittels Fingerabdruck entsperrt werden. Diese Funktionalit\u00e4t kann bei vielen Anwendungen optional auch zur Anmeldung genutzt werden. Das gilt ebenso f\u00fcr Gesichtserkennungen wie Windows Hello auf Laptops oder Face-ID auf Apple-Ger\u00e4ten. Der Vorteil f\u00fcr den Anwender: Diese Art der Anmeldung ist vor allem bequem. Immer dann, wenn eine solche M\u00f6glichkeit zur Anmeldung ohne Kennwort Verwendung findet, kann von \u201epasswortloser\u201c Authentifizierung gesprochen werden.<\/p>\n\n\n\n<p>Bei passwortlosen Anmeldekonzepten gibt es jedoch einige Punkte zu beachten:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Passwortlos bedeutet nicht unbedingt, dass das Kennwort generell obsolet wird. Der Anwender kommt nur in den Genuss, keines eingeben zu m\u00fcssen. Sobald jedoch eine alternative Authentifizierungsmethode wie etwa der Finger-Scan oder die Gesichtserkennung fehlschl\u00e4gt, ist die korrekte Eingabe des Kennworts in der Regel immer noch der zielf\u00fchrende Weg.<\/li><li>Die passwortlosen Methoden, die auf Telefonen und Laptops verwendet werden, sind in der Regel nicht miteinander kompatibel. Wer sich etwa mit seinem Fingerabdruck bei seiner mobilen Banking-App anmeldet und anschlie\u00dfend \u00fcber den Laptop darauf zugreifen m\u00f6chte, kommt um die Eingabe des Passworts nicht herum.<\/li><\/ul>\n\n\n\n<p>Es ist leider eine Tatsache, dass Passw\u00f6rter in absehbarer Zeit nicht verschwinden werden. Websites, Streaming-Abonnements, Laptops, Bankkarten und Bankwebsites setzen alle bestimmte Einmalphrasen voraus, die zudem oft unterschiedliche Anforderungen erf\u00fcllen m\u00fcssen, wie etwa eine bestimmte L\u00e4nge in Kombination mit Zahlen und Sonderzeichen sowie Gro\u00df- und Kleinschrift.<\/p>\n\n\n\n<p><strong>Passwortlose Anmeldung im Unternehmen<\/strong><\/p>\n\n\n\n<p>Interessiert sich ein Unternehmen f\u00fcr den Umstieg auf eine passwortlose Umgebung, gibt es eine Reihe von M\u00f6glichkeiten. Diese decken jedoch nur einen Teil der Bed\u00fcrfnisse ab.<\/p>\n\n\n\n<p>Die erste Option ist die Verwendung von SAML (Security Assertion Markup Language). \u00dcber dieses XML-basierte Protokoll k\u00f6nnen Cloud-Anwendungen eine Vertrauensbeziehung zu einem Identit\u00e4tsprovider (SAML IdP) aufbauen. Im Rahmen dieses Vertrauensverh\u00e4ltnisses werden Anwender, sobald sie auf eine Cloud-Anwendung wie etwa Salesforce zugreifen m\u00f6chten, zur Authentifizierung an den Identit\u00e4tsprovider weitergeleitet. Die Vorteile dieser Methode sind f\u00fcr ein Unternehmen enorm und erm\u00f6glichen es den Mitarbeitern, eine einzige Anmeldemethode f\u00fcr diese Cloud-Anwendungen zu nutzen \u2013 und das v\u00f6llig ohne Passwort. Die Anwender m\u00fcssen sich nur einmal beim Identit\u00e4tsprovider anmelden und haben danach Zugriff auf alle konfigurierten Anwendungen, sodass keine Passw\u00f6rter mehr erforderlich sind. Die Voraussetzung daf\u00fcr ist jedoch der zwingende Einsatz einer zuverl\u00e4ssigen L\u00f6sung zur Multifaktor-Authentifizierung (MFA). Ohne MFA geht es nicht.<\/p>\n\n\n\n<p>Die zweite M\u00f6glichkeit ist die Einf\u00fchrung eines FIDO2-Ger\u00e4ts, das ebenfalls einen passwortlosen Zugang erm\u00f6glicht. Die FIDO Alliance hat Spezifikationen erstellt, um dar\u00fcber eine Anmeldung bei Websites und Anwendungen zu erm\u00f6glichen. In der Regel wird ein Hardware-Token ben\u00f6tigt, der sich \u00fcber eine bestimmte Verbindungsmethode \u2013 USB, Bluetooth, NFC und so weiter \u2013 bei einer FIDO2-f\u00e4higen Anwendung authentifiziert. Wie bei der Windows Hello- oder Face-ID-Gesichtserkennung k\u00f6nnen FIDO2-Ger\u00e4te auch dazu verwendet werden, sich ohne Passwort bei einem Computer anzumelden. Es handelt sich um eine hervorragende und absolut sichere Methode, die jedoch mit Hindernissen verbunden ist: Zum einen ist die Anzahl der unterst\u00fctzten Anwendungen begrenzt und zum anderen sind Backups f\u00fcr die Authentifizierung notwendig, falls der Token vergessen oder verloren wird. Ganz zu schweigen von der Kostenbarriere \u2013 FIDO2-Ger\u00e4te k\u00f6nnen ziemlich teuer werden.<\/p>\n\n\n\n<!--nextpage-->\n\n\n\n<p><strong>Passwortlos: der Spagat zwischen Benutzerfreundlichkeit und Sicherheit<\/strong><\/p>\n\n\n\n<p>Bei der Implementierung einer L\u00f6sung f\u00fcr die passwortlose Anmeldung kommt es vor allem darauf an, den Spagat zwischen Benutzerfreundlichkeit und Sicherheit zu meistern. So sollte bei Beibehaltung einer Ein-Faktor-Methode zur Authentifizierung auf das Passwort nicht verzichtet werden. Einmalpassw\u00f6rter (One Time Passwords, OTP) via SMS sind zum Beispiel notorisch unsicher. Werden sie als einzige Authentifizierungsform verwendet, kann von Sicherheit keine Rede mehr sein. Wenn nur eine Push-basierte Authentifizierung ohne eine weitere zus\u00e4tzliche Methode zum Einsatz kommt, k\u00f6nnen Angreifer den Benutzer mittels <a href=\"https:\/\/www.watchguard.com\/de\/wgrd-news\/blog\/wie-sich-prompt-bombing-angriffe-im-zuge-von-multifaktor-authentifizierung-vermeiden\">MFA-Bombings<\/a> dazu verleiten, einen Push zu akzeptieren, wenn der MFA-Prozess selbst nicht gesch\u00fctzt ist.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/10\/AuthPoint_Pitch_Deck-4-80.webp\"><img loading=\"lazy\" decoding=\"async\" width=\"648\" height=\"365\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/10\/AuthPoint_Pitch_Deck-4-80.webp\" alt=\"\" class=\"wp-image-22181\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/10\/AuthPoint_Pitch_Deck-4-80.webp 648w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/10\/AuthPoint_Pitch_Deck-4-80-300x169.webp 300w\" sizes=\"auto, (max-width: 648px) 100vw, 648px\" \/><\/a><figcaption>Bild: WatchGuard Technologies<\/figcaption><\/figure>\n\n\n\n<p><strong>Passwort-Manager mit MFA kombinieren<\/strong><\/p>\n\n\n\n<p>Der zunehmende Trend zur passwortlosen Anmeldung k\u00f6nnte viele Unternehmen auf den Gedanken bringen, die Notwendigkeit von Passwort-Managern in Frage zu stellen. Das Gegenteil ist der Fall. Gerade weil Kennw\u00f6rter in absehbarer Zeit nicht verschwinden werden und es nahezu unm\u00f6glich ist, f\u00fcr jede einzelne Anwendung unterschiedliche und komplexe Passw\u00f6rter zu verwenden, stellt ein Passwort-Manager eine gro\u00dfartige M\u00f6glichkeit dar, Benutzer zu sensibilisieren, Probleme mit schwer zu knackenden Dark-Web-Datenbanken zu entsch\u00e4rfen und gleichzeitig Anwendern ein passwortloses Erlebnis zu bieten. Die L\u00f6sung besteht darin, sich beim Passwort-Manager mittels MFA anzumelden und gew\u00fcnschte Login-Anmeldevorg\u00e4nge f\u00fcr Webseiten und Anwendungen anschlie\u00dfend automatisch anzusto\u00dfen.<\/p>\n\n\n\n<p>Hier sind einige wichtige Erkenntnisse und Vorschl\u00e4ge zusammengefasst, die auf dem aktuellen Stand der passwortlosen Authentifizierung basieren:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>\u201ePasswortlos\u201c bedeutet nur, dass der Benutzer kein Passwort eingibt. Es bedeutet nicht, dass das Passwort nicht mehr existiert.<\/li><li>Passw\u00f6rter werden nicht verschwinden, also m\u00fcssen bessere Wege gefunden werden, um damit einhergehende Herausforderungen zu meistern.<\/li><li>Hinsichtlich cloudbasierter Gesch\u00e4ftsanwendungen stellt SAML eine hervorragende M\u00f6glichkeit f\u00fcr einen passwortlosen SSO-Zugang dar.<\/li><li>F\u00fcr Computeranmeldungen k\u00f6nnen FIDO2-Tokens sowohl in Sachen Benutzerfreundlichkeit als auch Sicherheit punkten: Doch dies hat dann in der Regel auch seinen (hohen) Preis.<\/li><li>Ein Passwort-Manager kann Benutzern die passwortlose Anmeldung bei Anwendungen erm\u00f6glichen, die MFA nicht nativ unterst\u00fctzen, und gleichzeitig mehrere Probleme im Zusammenhang mit Anmeldeinformationen l\u00f6sen.<\/li><\/ul>\n\n\n\n<p>Je nach Zielsetzung kann eine vollst\u00e4ndig passwortlose Methode die beste L\u00f6sung sein, muss es aber nicht. Tatsache ist, dass es immer noch keinen klaren Standard f\u00fcr die passwortlose Authentifizierung gibt, der f\u00fcr unterschiedlichste Ger\u00e4te und Anwendungen funktioniert. Am n\u00e4chsten dran kommen aktuell nur sehr teure Hardware-Token \u2013 aber dann auch nur f\u00fcr eine sehr begrenzte Anzahl von Anwendungen. Selbst g\u00e4ngige Methoden wie Windows Hello oder Face-ID k\u00f6nnen nicht f\u00fcr den Zugriff auf alle Websites verwendet werden, da jede eine eigene Anmeldemethode voraussetzt. In ein paar Jahren k\u00f6nnte FIDO2 zum De-facto-Standard f\u00fcr passwortlose Anmeldung werden, aber im Moment ist die Nutzung noch sehr begrenzt.<\/p>\n\n\n\n<p>Es empfiehlt sich daher, zun\u00e4chst die wichtigsten Anwendungen zu identifizieren, die gesch\u00fctzt werden sollen, und anschlie\u00dfend zu pr\u00fcfen, welche passwortlosen Methoden daf\u00fcr in Frage kommen. Dann ist es entscheidend, deren Benutzerfreundlichkeit und Sicherheit auf den Pr\u00fcfstand zu stellen, ohne dabei die Verwaltungskosten aus den Augen zu verlieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Verwaltung von Passw\u00f6rtern stellt f\u00fcr Unternehmen seit jeher eine besondere Herausforderung dar und legt dar\u00fcber hinaus den Anwendern gro\u00dfe Verantwortung auf. Denn letztere m\u00fcssen in ihrem digitalen Leben jeden Tag so sorgsam wie m\u00f6glich mit Hunderten von privaten und beruflichen Passw\u00f6rtern umgehen. Der Gedanke an eine \u201epasswortlose\u201c Zukunft klingt in dem Zusammenhang zu sch\u00f6n, um wahr zu sein. Doch bevor dieser Weg beschritten werden kann, soll an dieser Stelle zun\u00e4chst gekl\u00e4rt werden, was das \u00fcberhaupt bedeutet und mit welchen Optionen und Herausforderungen Unternehmen konfrontiert werden.<\/p>\n","protected":false},"author":81,"featured_media":22180,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,15078],"tags":[11342,1035,3753,11996,4956,4256,12139],"class_list":["post-22178","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-authentifizierung","tag-fido2","tag-otp","tag-passwort","tag-passwortmanager","tag-saml","tag-sms","tag-watchguard"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22178","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=22178"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22178\/revisions"}],"predecessor-version":[{"id":22182,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22178\/revisions\/22182"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/22180"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=22178"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=22178"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=22178"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}