Passwortlose Authentifizierung
Zur passwortlosen Authentifizierung gehören Methoden wie biometrische Verfahren, Sicherheits-Token und das Huckepack-Verfahren. Bei letzterem hat bereits eine andere Anwendung, ein anderer Dienst oder ein Gerät den Benutzer authentifiziert.
Die passwortlose Authentifizierung wird häufig auf mobilen Geräten wie Smartphones, Tablets oder Notebooks und Anwendungen wie WhatsApp oder Slack eingesetzt. Zu den Vorteilen der passwortlosen Authentifizierung gehören:
- Verbesserte Benutzerfreundlichkeit (UX, User Experience);
- Schnellere Anmeldung bei Anwendungen oder Geräten;
- Weniger Passwortmanagement durch IT-Teams erforderlich;
- Geringere Wahrscheinlichkeit für Phishing-Angriffe, Passwortwiederverwendung oder Passwortverlust.
Die Arten der kennwortlosen Authentifizierung
Bei der passwortlosen Authentifizierung werden dem Benutzer eine oder mehrere Methoden zur Anmeldung bei einer Anwendung oder einem Gerät angeboten, ohne dass er ein Passwort eingeben muss. Gängige Arten der passwortlosen Authentifizierung sind E-Mail-basiert, SMS-basiert, Multifaktor-Authentifizierung, Biometrische Verfahren oder passwortlose Authentifizierung für bereits angemeldete Benutzer.
Die Authentifizierung per E-Mail umfasst die Verifizierung eines Benutzers mit einem Bestätigungslink oder einem einmaligen Code. Bei der Variante mit dem Link gibt der Benutzer zunächst seine E-Mail-Adresse ein, woraufhin ein eindeutiger Token für den Benutzer erstellt und per Mail an ihn gesendet wird. Der Benutzer klickt auf den Link und der verwendete Dienst identifiziert den Token und tauscht es gegen einen Live-Token aus, um den Benutzer anzumelden. Bei einem One-Time-Code oder Einmalpasswort gibt der Benutzer seine E-Mail-Adresse ein, woraufhin ihm eine E-Mail mit einem eindeutigen One-Time-Code zugeschickt wird. Der Benutzer gibt dann den Code in den Dienst ein, der den Benutzer verifiziert und ihn anmeldet.
Die Authentifizierung per SMS beginnt damit, dass der Benutzer seine Telefonnummer eingibt, woraufhin ein eimaliger Code an die Telefonnummer gesendet wird. Der Benutzer gibt den Code beim Dienst ein, wo dieser den Code und die Telefonnummer verifiziert und den Benutzer anmeldet. Die passwortlose Authentifizierung per SMS steht jedoch in der Kritik, da sie weniger sicher als andere Methoden der passwortlosen Authentifizierung ist. In der Vergangenheit wurde bereits Angriffe auf SMS-Authentifizierungen verzeichnet. SMS- und E-Mail-basierte passwortlose Authentifizierung kann sich auch über ein zweites Gerät durch Push-Bestätigungen bei einem Dienst anmelden, wobei das erste verbundene Gerät als Kommunikationskanal verwendet wird.
Multifaktor-Authentifizierung erlaubt unterschiedliche Arten der Anmeldung, beispielsweise über eine entsprechende App auf dem Smartphone, die dann wiederum ein Einmalpasswort für einen Dienst zur Verfügung stellt.
Biometrische Verfahren sind eine weitere gängige Form der passwortlosen Authentifizierung. Die Biometrie konzentriert sich auf Technologien wie Fingerabdruckscanner oder Gesichtserkennung. Diese Form ist häufig auf mobilen Geräten wie Smartphones anzutreffen.