Logo Logo
GitHub Designed by Logto
authentication
Auf GitHub bearbeiten

Passwortlos (Passwordless)

Passwortlos (Passwordless) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, sich bei Computersystemen anzumelden, ohne ein Passwort oder ein anderes wissensbasiertes Geheimnis eingeben oder sich merken zu müssen.

Was ist passwortlos (Passwordless)?

Im allgemeinen Sprachgebrauch ist “passwortlos” eine Kurzform für “passwortlose Authentifizierung (passwordless authentication).”

Die Informationen, die Benutzer zur Authentifizierung bereitstellen können, lassen sich hauptsächlich in drei Kategorien einteilen:

  1. Etwas, das der Benutzer weiß, wie Passwörter, Passwort-Wiederherstellungsfragen und -antworten (oft basieren Fragen und Antworten auf persönlichen vergangenen Erfahrungen).
  2. Etwas, das der Benutzer hat, wie ein Mobiltelefon, Einmalpasswort (OTP) oder Hardware-Token.
  3. Etwas, das der Benutzer ist, wie Fingerabdrücke, Gesichtserkennung und andere biometrische Identifikatoren.

Die passwortlose Authentifizierung (passwordless authentication) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, sich bei Computersystemen anzumelden, ohne ein Passwort oder ein anderes wissensbasiertes Geheimnis eingeben oder sich merken zu müssen. In den häufigsten Implementierungen müssen Benutzer ihre Benutzerkennung (Benutzername, E-Mail-Adresse, Telefonnummer usw.) eingeben und dann den Authentifizierungsprozess abschließen, indem sie durch andere Mittel einen sicheren Identitätsnachweis erbringen.

Warum passwortlose Authentifizierung verwenden?

Während die Verwendung von Passwörtern allmählich abnimmt, sind sie weltweit noch weit verbreitet. Der Hauptgrund dafür ist, dass passwortbasierte Systeme am einfachsten und billigsten zu implementieren sind.

Darüber hinaus sind Passwörter der Hauptgrund für Datenverstöße. Um sie leichter merken zu können, verwenden viele Menschen feste Muster in ihren Passwörtern, wie Geburtstage oder Buchstabenkombinationen von der Zifferntastatur für rein numerische Passwörter. Dies macht es viel einfacher, Passwörter zu knacken. Tatsächlich verwenden viele Menschen unwissentlich dasselbe Passwort über mehrere Plattformen hinweg, was das Risiko eines Passwortkompromisses weiter erhöht.

Last but not least sind Passwörter für Benutzer eine Last: Sie sind schwer zu merken und umständlich zu verwalten. Um die Verwendung eines einheitlichen Passwortes in allen Szenarien zu vermeiden, benötigen Benutzer spezielle Tools, um verschiedene Passwörter zu speichern. Da Passwörter in unterschiedlichen Bereichen eingesetzt werden, müssen sie möglicherweise ständig nachgeschlagen werden. Dies stellt eine erhebliche Unannehmlichkeit für die Verwendung von Passwörtern dar.

Auf der anderen Seite sind passwortlose Technologien wie Biometrie oder OTP äußerst bequem und benutzerfreundlich. Idealerweise könnten sich Benutzer jederzeit und überall mit ihrer Biometrie authentifizieren. In der heutigen Welt, in der Mobiltelefone unverzichtbar sind, kann die gesamte Verifizierung im Zusammenhang mit “etwas, das der Benutzer hat” normalerweise über das Telefon durchgeführt werden.

Was ist der Unterschied zwischen passwortloser Authentifizierung und Multi-Faktor-Authentifizierung (MFA)?

Passwortlose Authentifizierung (passwordless authentication) und Multi-Faktor-Authentifizierung (MFA) werden manchmal in ähnlichen Kontexten erwähnt. Daher ist es notwendig, diese beiden Begriffe separat zu definieren und den Unterschied zwischen ihnen zu verstehen:

  • Passwortlose Authentifizierung ersetzt die passwortbasierte Authentifizierung durch andere Faktoren.
  • MFA bezieht sich auf die Verwendung zweier oder mehrerer Authentifizierungsfaktoren zur Verifizierung der Identität eines Benutzers.

„Faktoren“ sind im Grunde die drei verschiedenen Arten von Autorisierungsinformationen, die wir zuvor erwähnt haben. Wenn ein Benutzer beispielsweise während der Authentifizierung nur eine E-Mail-Adresse + OTP verwendet, handelt es sich hierbei um einen Faktor im Zusammenhang mit „etwas, das der Benutzer hat“, und wir können die Authentifizierung des Benutzers als passwortlos (passwordless) betrachten.

Häufige MFA-Implementierungen umfassen die Verwendung eines zweiten (passwortlosen) Authentifizierungsfaktors zur Verstärkung eines Passwortes, aber MFA kann auch vollständig passwortlos sein. Beispielsweise könnte eine Anwendung einen Fingerabdruck als ersten Authentifizierungsfaktor und E-Mail-Adresse + OTP als zweiten Authentifizierungsfaktor verwenden.

Was ist der Unterschied zwischen passwortlos und SSO?

Basierend auf der vorherigen Definition von passwortlos (passwordless) ist SSO eine Art passwortlose Methode (Benutzer hat/besitzt ein Konto für den SSO-Anbieter).

Darüber hinaus haben SSO-Anbieterkonten im Allgemeinen eine hohe Sicherheit. Neben Benutzernamen und Passwörtern erfordern die meisten Fälle eine obligatorische MFA, um sicherzustellen, dass Benutzer die vollständige Kontrolle über das Konto haben. MFA beinhaltet oft die Verwendung passwortloser Faktorverifikation, einschließlich, aber nicht beschränkt auf Passkeys, OTPs und Fingerabdrücke.