Sabrina - stock.adobe.com
Passwortlos: Zukunft der IT-Sicherheit oder Hype?
Das Anmelden mit Benutzername und Kennwort ist trotz aller Risiken vielerorts noch Standard. Dabei existieren Alternativen, die mehr Sicherheit und Benutzerfreundlichkeit bieten.
Erst Ende Januar 2020 hat es der Branchenverband Bitkom wieder eindeutig belegt: Mehr als jeder dritte Online-Nutzer setzt auf ein einziges Passwort für mehrere Dienste. Das zeigt eine repräsentative Umfrage, deren Ergebnisse am 31. Januar 2020 veröffentlicht wurden.
Im Umkehrschluss heißt das auch: 36 Prozent der Deutschen sind massiv angreifbar. Wobei auch klar ist, dass Passwörter eigentlich nur ein Zwischenschritt hin zu besserer IT-Sicherheit sein können. Denn die wenigsten können sich – ohne geeignete Hilfsmittel wie Passwortmanager – für jeden einzelnen Dienst ein eigenes Passwort merken, das sämtliche Kriterien in Punkto Sicherheit erfüllt.
Doch welche Alternativen zum klassischen Passwort gibt es überhaupt? Die Multifaktor-Authentifizierung (MFA) ist eine Möglichkeit, für mehr Sicherheit zu sorgen. Doch auch diese Technologie kommt nicht immer komplett ohne Passwörter aus. Ein Beispiel dafür wäre der TAN-Versand beim Online-Banking, mit dem Überweisungen trotz Eingabe von Benutzername und Passwort noch einmal extra authentifiziert werden. Aber es geht auch komplett ohne, quasi passwortlos.
Was ist passwortlose Authentifizierung?
Stattdessen werden Methoden eingesetzt, die die Identität der Anwender verifizieren, ohne dass diese ein Passwort eingeben müssen. Eine Möglichkeit ist hier die bei Smartphones bereits geläufige Authentifizierung über biometrische Merkmale – also Fingerabdruck oder Gesichtsscan. Diese Technik findet seit Windows 10 unter dem Namen „Windows Hello“ auch im Desktop-Bereich immer mehr Anwendung.
Eine weitere Option ist die intelligente Verhaltensanalyse der Benutzeraktivitäten zur allmählichen Verringerung der Passwortaufforderungen. So ist zwar anfangs noch ein Passwort notwendig, im Laufe der Zeit wird diese Notwendigkeit aber heruntergefahren.
Schrittweise passwortlos
Ein Beispiel dafür ist, wenn sich ein und derselbe Benutzer Tag für Tag zur selben Uhrzeit mit seinem Passwort am selben Computer anmeldet. Dies wird vom System als Verhaltensmuster registriert und – sofern dieses Muster beibehalten wird – als Grundlage für ein schrittweises Zurückfahren der Passwortabfragen genutzt.
So kann beispielsweise der Anwender in der ersten Woche bei jeder Anmeldung sein Passwort eingeben müssen. Bei gleichbleibendem Nutzerverhalten wird dann anschließend während des ersten Monats auf einmal täglich reduziert.
Wird in der Folge das typische Verhalten beibehalten, kann ab dem zweiten Monat sogar auf eine Passworteingabe einmal pro Woche zurückgegriffen werden. Dabei darf jedoch nicht vergessen werden, für die Authentifizierung einen weiteren Faktor, beispielsweise den Fingerabdruck, zu nutzen. Ansonsten kann auch eine andere Person dieses Verhalten imitieren und sich so unberechtigt Zugang zu vertraulichen Informationen verschaffen.
Passwortlose Authentifizierung in der Praxis
Ein Beispiel dafür, wie passwortlose Authentifizierung im Arbeitsalltag aussehen kann, zeigt sich zum Beispiel in der Versicherungsbranche. Denn gerade hier, wie auch im Finanzwesen, hat Sicherheit einen besonders hohen Stellenwert. Dabei muss jedoch in Anbetracht der Anwenderfreundlichkeit berücksichtigt werden, dass die Sicherheitsmaßnahmen auch nicht so restriktiv ausfallen dürfen, dass sie die Arbeit mit den vertraulichen Informationen übermäßig behindern und erschweren. Daher bietet sich hier der Verzicht auf Passwörter an – für noch mehr Sicherheit als passwortlose MFA.
„Von passwortloser Authentifizierung spricht man immer dann, wenn ein anderer Authentifizierungsfaktor verwendet wird als ein Passwort.“
Wesley Dunnington, Ping Identity
Dabei könnten beispielsweise Push-Nachrichten auf die Smartphones der Anwender zum Einsatz kommen, die dann über Fingerabdruck- oder Gesichtserkennung verifiziert werden. Dies gewährleistet die Sicherheit, ohne die Produktivität maßgeblich zu beeinträchtigen.
Ist passwortlos wirklich sicherer?
Von passwortloser Authentifizierung spricht man immer dann, wenn ein anderer Authentifizierungsfaktor verwendet wird als ein Passwort. Dieser muss jedoch nicht zwingend sicherer sein, da jede Authentifizierungsart ihre ganz eigenen Stärken und Schwächen hat.
So müssen bei der Wahl des präferierten Authentifizierungsschemas auf jeden Fall für jeden Faktortyp die verschiedenen Aspekte gegeneinander abgewogen werden. Die Authentifizierungsfaktoren lassen sich dabei in drei Kategorien einteilen: Etwas, das man weiß; etwas, das man besitzt; etwas, das man ist.
Wissen:
- Zum Beispiel: Passwort, PIN, Antwort auf Sicherheitsfrage
- Vorteil: Leicht zu implementieren
- Nachteil: Kann vergessen oder mittels Phishing erschlichen werden.
Besitz:
- Zum Beispiel: Telefon, RSA-Key, E-Mail-Konto, FIDO-Authentifikator
- Vorteil: Sind meistens aus der Ferne schwer zu stehlen
- Nachteil: Im Fall eines Defekts oder Verlusts ist eine Alternative nötig
Sein:
- Zum Beispiel: Fingerabdruck, Gesichtsscan, Stimme
- Vorteil: Kann nicht vergessen oder gestohlen werden
- Nachteil: Ist nicht universell nutzbar
Betrachtet man diese zahlreichen unterschiedlichen Authentifizierungsfaktoren, muss im nächsten Schritt, das passende Verhältnis zwischen Sicherheit, Anwenderfreundlichkeit und Kosten herausgefunden werden. Dafür gilt es, im ersten Schritt einen Überblick über die verwendeten Anwendungen zu bekommen – und vor allem über die jeweiligen Sicherheitsanforderungen.
Im nächsten Schritt müssen die Verantwortlichen festlegen, welche Benutzergruppen auf sie zugreifen müssen. Ist das klar, können anschließend Zugangsszenarien eingerichtet werden, um für jeden Anwender und jede Anwendung die optimalen Authentifizierungsmethoden herauszufinden.
Über den Autor:
Wesley Dunnington ist Field CTO bei Ping Identity.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.