Was ist passwortlose Authentifizierung (Passwordless authentication)?
Passwortlose Authentifizierung (Passwordless authentication) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, sich in Computersysteme einzuloggen, ohne ein Passwort oder ein anderes wissensbasiertes Geheimnis eingeben (oder sich merken) zu müssen.
Zum Beispiel, wenn du dein Smartphone mit deinem Fingerabdruck oder Gesichtserkennung entsperrst oder wenn du einen Einmalcode per SMS erhältst, um dich in dein E-Mail-Konto einzuloggen - dies sind alles gängige Methoden der passwortlosen Authentifizierung (Passwordless authentication), die wir in unserem täglichen Leben verwenden.
Welche Arten der passwortlosen Authentifizierung (Passwordless authentication) gibt es?
Es gibt mehrere gängige Arten der passwortlosen Authentifizierung (Passwordless authentication), die wir in unserem täglichen Leben antreffen:
Biometrische Authentifizierung
Biometrische Authentifizierung nutzt unsere einzigartigen körperlichen Merkmale zur Identitätsüberprüfung, hauptsächlich durch Fingerabdruck-Scans, Gesichtserkennung und Iris-Scans. Wir begegnen diesen in alltäglichen Situationen:
- Entsperren deines iPhones mit Face ID beim Kaffeekauf
- Einloggen in deine Banking-App mit deinem Fingerabdruck
- Zugang zu sicheren Einrichtungen mit Iris-Scannern
Magic Links
Magic Links sind spezielle Einmal-Links, die an deine E-Mail gesendet werden und ein nahtloses Authentifizierungserlebnis bieten. Du findest sie in vielen beliebten Diensten:
- Klicken auf einen “Sign in”-Link von Slack in deiner E-Mail
- Mediums “Sign in with email”-Option, die dir einen Login-Link sendet
- Notions E-Mail-basierte Authentifizierungssystem
Siehe Magic Link für weitere Details.
Einmalcodes (OTP)
Einmalcodes, die typischerweise per SMS oder E-Mail geliefert werden, sind eine der am weitesten verbreiteten passwortlosen Methoden:
- Erhalt eines 6-stelligen Codes, um sich in dein Google-Konto einzuloggen
- Erhalt eines Verifizierungscodes für Online-Banking-Transaktionen
- Verwendung einer Authenticator-App wie Google Authenticator
Siehe Einmalpasswort (One-time password, OTP) für weitere Details.
Passkeys
Passkeys sind FIDO-basierte sichere Alternativen zu traditionellen Passwörtern, die fortschrittliche Kryptographie verwenden, um deine Konten vor Phishing-Angriffen zu schützen. So funktionieren sie:
- Einzigartig pro Dienst: Wenn du dich für einen Dienst registrierst, erstellt dein Gerät einen einzigartigen Passkey, der mit der Domain dieses speziellen Dienstes verknüpft ist
- Gerätebasiert: Passkeys werden typischerweise in Hardware-Sicherheitsmodulen gespeichert, entweder in deinen Geräten eingebaut oder als separate Sicherheitsschlüssel
- Öffentlich-private Schlüsselpaare: Das Gerät speichert den privaten Schlüssel sicher, während es den öffentlichen Schlüssel mit dem Dienst teilt. Diese kryptographischen Schlüsselpaaren nennen wir Passkeys
- Hardware-Sicherheit: Viele Passkeys sind durch dedizierte Hardware-Sicherheitsmodule geschützt, was sie extrem schwer zu kompromittieren macht
- Geräteübergreifende Synchronisation: Passkeys können sicher über Geräte hinweg synchronisiert werden, indem Cloud-Speicher verwendet wird (z.B. Apples iCloud-Schlüsselbund oder Google Password Manager)
Gängige Nutzungsszenarien:
- Verwendung eines USB-Sicherheitsschlüssels, um auf deinen Arbeitslaptop zuzugreifen
- Antippen deines Telefons (als Sicherheitsschlüssel), um sich in dein Google-Konto einzuloggen
- Anschließen eines Hardware-Sicherheitsschlüssels, um auf hochsichere Systeme zuzugreifen
Siehe Passkey für weitere Details.
Warum passwortlose Authentifizierung (Passwordless authentication) verwenden?
Seit Jahrzehnten sind Passwörter die Standardmethode zur Authentifizierung. Auch heute noch verlassen sich die meisten unserer Online-Konten auf Passwörter. Diese traditionelle Methode steht jedoch vor zunehmenden Herausforderungen, was uns dazu bringt, die Frage zu stellen: Warum sollten wir passwortlose Authentifizierung (Passwordless authentication) verwenden?
Passwörter sind nicht sicher genug
Wenn ein Unternehmen einen Datenverstoß erlebt, können Millionen von Passwörtern auf einmal offengelegt werden. Angreifer können diese Passwörter leicht mit automatisierten Tools ausnutzen, insbesondere da viele Benutzer ihre Passwörter über verschiedene Dienste hinweg wiederverwenden. Wenn ein Angreifer beispielsweise das Passwort eines Benutzers von einer kompromittierten Gaming-Website erhält, könnte er mit denselben Anmeldedaten auf das E-Mail- oder Bankkonto dieser Person zugreifen.
Siehe diesen Blog, um zu erfahren, Wie werden deine Passwörter geknackt? .
Passwörter sind schwer zu verwenden und zu verwalten
Denke an die Verwaltung deiner Online-Konten: Du hast Dutzende von Konten auf verschiedenen Websites und Diensten, jedes mit seinen eigenen Passwortanforderungen. Selbst wenn du versuchst, ein konsistentes Passwort zu verwenden, zwingen dich unterschiedliche Passwortrichtlinien dazu, Sonderzeichen, Zahlen oder andere Variationen hinzuzufügen. Eine Website erfordert mindestens ein Sonderzeichen, eine andere erlaubt bestimmte Symbole nicht, und eine dritte verlangt mindestens 12 Zeichen.
Wenn du versuchst, dich einzuloggen, kannst du dich nicht erinnern, welche Variation du für diese spezielle Seite verwendet hast. War es das mit dem Ausrufezeichen am Ende? Oder das mit dem ”@“-Symbol? Nach mehreren fehlgeschlagenen Versuchen wirst du ausgesperrt und musst einen weiteren zeitaufwändigen Passwort-Reset-Prozess durchlaufen.
Dieses frustrierende Szenario spielt sich täglich millionenfach in Organisationen ab und führt zu ständigen Passwort-Resets, verschwendeter Zeit und verminderter Produktivität.
Passwortlose Authentifizierung (Passwordless authentication) ist sicherer als Passwörter
Stell dir stattdessen vor, du verwendest deinen Fingerabdruck oder Gesichtserkennung, um auf alle deine Arbeitsanwendungen zuzugreifen. Da diese biometrischen Faktoren nicht gestohlen oder erraten werden können wie Passwörter, können Angreifer selbst dann, wenn sie die Datenbank des Unternehmens kompromittieren, diese Informationen nicht verwenden, um Benutzer zu imitieren. Darüber hinaus bieten passwortlose Methoden wie Sicherheitsschlüssel Schutz vor Phishing-Angriffen, da sie sowohl die Authentizität des Benutzers als auch der Website überprüfen.
Passwortlose Authentifizierung (Passwordless authentication) benutzerfreundlich
Mit passwortloser Authentifizierung (Passwordless authentication) wird der Zugriff auf deine Konten so einfach wie das Entsperren deines Smartphones.
Zum Beispiel, wenn du eine Push-Benachrichtigung auf deinem Telefon erhältst, um einen Anmeldeversuch zu genehmigen, kannst du dich mit nur einem Tippen oder einem kurzen Blick auf dein Gerät authentifizieren. Dieses nahtlose Erlebnis eliminiert die kognitive Belastung, sich mehrere Passwörter merken zu müssen, während hohe Sicherheitsstandards beibehalten werden.
Wie funktioniert passwortlose Authentifizierung (Passwordless authentication)?
Authentifizierung basiert im Allgemeinen auf drei Arten von Faktoren:
- Etwas, das der Benutzer weiß: wie Passwörter oder PINs
- Etwas, das der Benutzer hat: wie physische Geräte oder Tokens
- Etwas, das der Benutzer ist: wie biometrische Merkmale.
Passwortlose Authentifizierung (Passwordless authentication) entfernt sich von dem traditionellen Ansatz “etwas, das du weißt” und konzentriert sich stattdessen auf die anderen beiden Faktoren.
Bei der Verwendung von “etwas, das du hast” beginnt der Authentifizierungsprozess typischerweise mit deiner E-Mail-Adresse oder Telefonnummer. Stell dir vor, du loggst dich in dein Bankkonto ein - anstatt ein Passwort einzugeben, könntest du einen Einmalcode per SMS oder E-Mail erhalten. Oder vielleicht hast du eine Authentifizierungs-App auf deinem Telefon eingerichtet, die diese Codes automatisch generiert. Einige Dienste senden sogar Push-Benachrichtigungen an dein Telefon, sodass du einfach auf “Genehmigen” tippen kannst, um dich einzuloggen. Für höhere Sicherheitsanforderungen könntest du einen physischen Sicherheitsschlüssel verwenden, der in dein Gerät eingesteckt wird, ähnlich wie das Einfügen eines digitalen Schlüssels.
Der Ansatz “etwas, das du bist” ist noch einfacher und dir wahrscheinlich bereits vertraut. Wenn du dein Smartphone mit deinem Fingerabdruck oder durch Blick auf den Bildschirm zur Gesichtserkennung entsperrst, verwendest du biometrische Authentifizierung. Einige Systeme verwenden auch Spracherkennung, bei der das Sprechen eines bestimmten Satzes deine Identität verifizieren kann. Diese biometrischen Faktoren sind einzigartig für dich und werden sicher auf deinem Gerät verarbeitet.
Was ist der Unterschied zwischen passwortloser Authentifizierung (Passwordless authentication) und Multi-Faktor-Authentifizierung (MFA)?
Passwortlose Authentifizierung (Passwordless authentication) und Multi-Faktor-Authentifizierung (Multi-factor authentication, MFA) werden manchmal in ähnlichen Kontexten erwähnt. Daher ist es notwendig, diese beiden Begriffe separat zu definieren und den Unterschied zwischen ihnen zu verstehen:
- Passwortlose Authentifizierung (Passwordless authentication) ersetzt passwortbasierte Authentifizierung durch andere Faktoren.
- MFA bezieht sich auf die Verwendung von zwei oder mehr Authentifizierungsfaktoren, um die Identität eines Benutzers zu überprüfen.
“Faktoren” sind ernsthaft die drei verschiedenen Arten von Autorisierungsinformationen, die wir zuvor erwähnt haben. Zum Beispiel, wenn ein Benutzer nur eine E-Mail-Adresse + OTP während der Authentifizierung verwendet, ist dies ein Faktor, der mit “etwas, das der Benutzer hat” verbunden ist, und wir können die Authentifizierung des Benutzers als passwortlos betrachten.
Gängige MFA-Implementierungen beinhalten die Verwendung eines zweiten (passwortlosen) Authentifizierungsfaktors, um ein Passwort zu verstärken, aber MFA kann auch vollständig passwortlos sein. Zum Beispiel könnte eine Anwendung einen Fingerabdruck als ersten Authentifizierungsfaktor und E-Mail-Adresse + OTP als zweiten Authentifizierungsfaktor verwenden.
Was ist der Unterschied zwischen passwortlos und SSO?
Single Sign-on (SSO) (SSO) und passwortlose Authentifizierung (Passwordless authentication) sind zwei unterschiedliche Konzepte im Identitätsmanagement:
- SSO dreht sich um die Zentralisierung der Benutzer-Authentifizierung, sodass Benutzer mit einem einzigen Login auf mehrere Anwendungen zugreifen können
- Passwortlose Authentifizierung (Passwordless authentication) konzentriert sich darauf, wie Benutzer ihre Identität ohne die Verwendung von Passwörtern nachweisen
Obwohl sie unterschiedliche Zwecke erfüllen, können sie zusammenarbeiten.
Zum Beispiel kann ein SSO-System passwortlose Methoden (wie Biometrie oder Sicherheitsschlüssel) für die Authentifizierung verwenden. Diese Kombination bietet sowohl den Komfort von Single Sign-On als auch die Sicherheitsvorteile der passwortlosen Authentifizierung (Passwordless authentication).