Was ist passwortlos (passwordless)?
Im allgemeinen Sprachgebrauch steht “passwortlos” für “passwortlose Authentifizierung”.
Die Informationen, die Benutzer zur Authentifizierung bereitstellen können, lassen sich hauptsächlich in drei Typen kategorisieren:
- Etwas, das der Benutzer weiß, wie Passwörter, Passwort-Wiederherstellungsfragen und -antworten (oft basieren Fragen und Antworten auf persönlichen Erfahrungen aus der Vergangenheit).
- Etwas, das der Benutzer hat, wie ein Mobiltelefon, Einmalpasswort (One-time password, OTP) , oder ein Hardware-Token.
- Etwas, das der Benutzer ist, wie Fingerabdrücke, Gesichtserkennung und andere biometrische Identifikatoren.
Passwortlose Authentifizierung ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, sich in Computersysteme einzuloggen, ohne ein Passwort oder ein anderes wissensbasiertes Geheimnis eingeben (oder sich merken) zu müssen. In den häufigsten Implementierungen müssen Benutzer ihren Benutzeridentifikator (Benutzername, E-Mail-Adresse, Telefonnummer usw.) eingeben und dann den Authentifizierungsprozess abschließen, indem sie auf andere Weise einen sicheren Identitätsnachweis erbringen.
Warum passwortlose Authentifizierung verwenden?
Während die Verwendung von Passwörtern allmählich abnimmt, werden sie weltweit immer noch weit verbreitet eingesetzt. Der Hauptgrund ist, dass passwortbasierte Systeme am einfachsten und kostengünstigsten zu implementieren sind.
Darüber hinaus sind Passwörter die Hauptursache für Datenverletzungen. Um sie leichter merkbar zu machen, verwenden viele Menschen feste Muster in ihren Passwörtern, wie z. B. Geburtstage oder Buchstabenkombinationen von einem Zahlenblock für rein numerische Passwörter. Dies macht das Knacken von Passwörtern viel einfacher. In Wirklichkeit verwenden viele Menschen unwissentlich dasselbe Passwort auf mehreren Plattformen, was das Risiko eines Passwortkompromisses weiter erhöht.
Nicht zuletzt sind Passwörter für Benutzer lästig: Sie sind schwer zu merken und umständlich zu verwalten. Um die Verwendung eines einheitlichen Passworts in allen Szenarien zu vermeiden, benötigen Benutzer spezielle Werkzeuge, um verschiedene Passwörter zu speichern. Da Passwörter an verschiedenen Orten verwendet werden, müssen sie möglicherweise ständig nachgeschlagen werden. Dies stellt eine erhebliche Unannehmlichkeit bei der Passwortnutzung dar.
Andererseits sind passwortlose Technologien wie Biometrie oder OTP äußerst bequem und benutzerfreundlich. Idealerweise könnten Benutzer jederzeit und überall mit ihren biometrischen Daten authentifizieren. In der heutigen Welt, in der Mobiltelefone unverzichtbar sind, kann jede Verifizierung im Zusammenhang mit “etwas, das der Benutzer hat” in der Regel über das Telefon erfolgen.
Was ist der Unterschied zwischen passwortloser Authentifizierung und Multi-Faktor-Authentifizierung (MFA)?
Passwortlose Authentifizierung und Multi-Faktor-Authentifizierung (Multi-factor authentication, MFA) werden manchmal in ähnlichen Kontexten erwähnt. Daher ist es notwendig, diese beiden Begriffe separat zu definieren und den Unterschied zwischen ihnen zu verstehen:
- Passwortlose Authentifizierung ersetzt passwortbasierte Authentifizierung durch andere Faktoren.
- MFA bezieht sich auf die Verwendung von zwei oder mehr Authentifizierungsfaktoren, um die Identität eines Benutzers zu überprüfen.
“Faktoren” sind ernsthaft die drei verschiedenen Arten von Autorisierungsinformationen, die wir zuvor erwähnt haben. Zum Beispiel, wenn ein Benutzer nur eine E-Mail-Adresse + OTP während der Authentifizierung verwendet, ist dies ein Faktor, der mit „etwas, das der Benutzer hat“ verbunden ist, und wir können die Authentifizierung des Benutzers als passwortlos betrachten.
Gängige MFA-Implementierungen umfassen die Verwendung eines zweiten (passwortlosen) Authentifizierungsfaktors zur Verstärkung eines Passworts, aber MFA kann auch vollständig passwortlos sein. Zum Beispiel könnte eine Anwendung einen Fingerabdruck als ersten Authentifizierungsfaktor und E-Mail-Adresse + OTP als zweiten Authentifizierungsfaktor verwenden.
Was ist der Unterschied zwischen passwortlos und SSO?
Basierend auf der vorherigen Definition von passwortlos ist Single Sign-on (SSO) eine Art passwortlose Methode (Benutzer hat/besitzt ein Konto für den SSO-Anbieter).
Darüber hinaus haben SSO-Anbieter-Konten in der Regel eine hohe Sicherheit. Neben Benutzernamen und Passwörtern erfordern die meisten Fälle eine obligatorische MFA, um sicherzustellen, dass Benutzer die vollständige Kontrolle über das Konto haben. MFA beinhaltet oft die Verwendung von passwortlosen Faktorverifizierungen, einschließlich, aber nicht beschränkt auf Passkeys, OTPs und Fingerabdrücke.