Passwordless Authentication

Passwörter können Sie vergessen

01.08.2021
Von  und


David schreibt unter anderem für unsere US-Schwesterpublikationen CSO Online, Network World und Computerworld.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Auf Passwörter (weitestgehend) zu verzichten, ist technisch längst möglich. Wir klären Sie über Ihre Passwordless-Optionen auf.
Schluss mit Kennwort: Lesen Sie, wie Passwordless Authentication künftig auch Ihr Unternehmen bereichern kann.
Schluss mit Kennwort: Lesen Sie, wie Passwordless Authentication künftig auch Ihr Unternehmen bereichern kann.
Foto: zef art - shutterstock.com

Im Lauf der letzten Jahre kamen immer mehr Experten zu der Überzeugung, dass die beste Passwort-Strategie darin besteht, überhaupt keine Kennwörter zu haben. Das nennt sich vielerorts dann "Passwordless Authentication" - wobei die Namensgebung leicht irreführend ist - dazu aber an späterer Stelle mehr. In Sachen Passwordless-Konzept haben bereits einige Innovationen das Licht der Welt erblickt, zum Beispiel Windows 10 Hello oder Okta Verify. Aber auch andere Anbieter wie Auth0 oder HYPR haben in diesem Bereich innovative Lösungen in petto.

Gründe für den Passwort-Verzicht

Geht es um die Vorteile, die ein Passwordless-Authentication-Konzept mit sich bringt, sollten Sie sich zunächst fragen, welche Ziele Sie erreichen möchten:

  • Wollen Sie wirklich alle Mitarbeiter komplett von Passwörtern befreien? Oder geht es Ihnen eher darum, eine Mehrfachnutzung derselben Kennwörter zu verhindern?

  • Setzen Sie derzeit Security Hardware wie etwa RSA SecurID ein und wünschen sich eine praktischere Lösung?

  • Geht es Ihnen darum, die Nutzung von Multi-Faktor-Authentifizierung (MFA) zu boosten, um Ihre Logindaten besser zu schützen?

Jeder dieser Fälle ist ein guter Grund, ein Passwordless-Modell in Erwägung zu ziehen - allerdings steckt der Teufel dabei im Detail: Nicht jede Applikation unterstützt die Passwordless-Option, manche noch nicht einmal jede MFA-Option. Wenn Sie eigene, maßgeschneiderte Applikationen ausgerollt haben, müssen Ihre Entwickler Passwordless-Fähigkeiten nachträglich integrieren. Dabei kann beispielsweise auch ein Software Development Kit helfen, Anbieter wie Auth0 und HYPR haben entsprechende Tools im Angebot.

Wenn Sie bereits auf Single Sign-On (SSO) oder Passwort-Manager setzen, sollten Sie diese Tools mit Passwordless Authentication kombinieren, um Ihren Mitarbeitern den Umstieg etwas angenehmer zu machen. Wenn Sie noch kein Identity-Management-System haben, sollten Sie sich die Angebote von Anbietern wie RSA, OneLogin oder Okta zu Gemüte führen. Allen drei Anbietern ist gemein, dass diese bemüht sind, Passwordless Authentication und MFA besser in ihre Lösungen zu integrieren.

Wie Passwordless funktioniert

Es gibt verschiedene Methoden, um Passwordless Authentication in der Praxis umzusetzen. Jede dieser Methoden bezieht auch Multi-Faktor-Authentifizierung mit ein, allerdings ohne dazu ein Einmalpasswort - beziehungsweise eine PIN - eingeben zu müssen. Sie sollten sich darüber im Klaren sein, dass ein solcher Paradigmenwechsel unter Umständen Schulungserfordernisse nach sich zieht.

Biometrie

Fingerabdruck- und Gesichtsscanner haben sich dank ihrer Allgegenwärtigkeit in Smartphones zu einer populären Methode für Multi-Faktor-Authentifizierung gemausert. Die meisten großen Authentifizierungs-Apps (inklusive Authy, Lastpass und Dashlane) unterstützen inzwischen Apples Face ID und Touch ID. Das dürfte auch den einfachsten Weg zu Passwordless Authentication darstellen- vorausgesetzt Ihre User fühlen sich damit wohl.

In Sachen Support kann der Verzicht auf Passwörter allerdings zur Herausforderung werden, schließlich muss die biometrische Authentifizierung zu jeder relevanten Applikation hinzugefügt werden. Wenn die User noch keine Erfahrung mit Systemen wie Face ID oder Touch ID haben, macht das die Sache nicht leichter. Unter Umständen ist es die bessere Lösung, zunächst ausschließlich auf die Smartphone Apps zu setzen, zumindest solange, bis biometrische Authentifizierungsmethoden besser mit Single Sign-On und Identity- Management-Systemen integrierbar sind.

Device Fingerprinting

Nicht wenige Experten sind davon überzeugt, dass ein Passwordless-Konzept mit dem altbekannten Schlüsselverfahren umgesetzt werden kann. Methoden, bei denen ein Public und ein Private Key zur Anwendung kommen, haben schon einige Jahrzehnte auf dem Buckel und entstammen der Kryptografie.

Der beste Weg um ein solches Konzept in der Praxis umzusetzen, führt über eine Firmware. Die kann entweder in einem Smartphone oder einer Security Hardware integriert sein. SSO-Anbieter Okta hat vor kurzem seine Verify App angekündigt, die ebenfalls auf Device Fingerprinting setzt, um Passwordless Authentication zu realisieren. Der Vorteil an der Okta-Lösung: Sie bietet relativ vielfältige Optionen zur Integration in bestehende SaaS-Applikationen, was den Umstieg erleichtern kann.

Eine Open-Source-Alternative ist das Tidas-Projekt. Es wurde bereits im Jahr 2016 ins Leben gerufen, kommt bis jetzt allerdings noch nicht wirklich in Gang. Die Technologie nutzt die Encryption Keys in neueren iPhone-Modellen (bislang kein Android Support), um Daten zu signieren und zu verschlüsseln. Um die Logins kümmert sich dabei das SDK - so dass die User sich keine Passwörter mehr ausdenken, sondern lediglich ihren Finger auf den Touch-ID-Sensor legen müssen.

FIDO2

Die Idee hinter FIDO (Fast Identity Online) ist es, offene, lizenzfreie und einheitliche Industriestandards in Sachen Authentifizierung zu schaffen - unabhängig davon, ob dazu dedizierte Hardware oder ein Smartphone mit Firmware zum Einsatz kommt. Auch die FIDO-Allianz kam zunächst eher schlecht in Gang - inzwischen sind allerdings genug Anbieter an Bord, um für den Unternehmenseinsatz attraktiv zu sein. Die aktuelle Spezifikation FIDO2 weist Hunderte von Unterstützern auf, darunter große Finanzinstitutionen, Security-Anbieter und Tech-Schwergewichte wie Microsoft, Google und Apple.

Wenn Sie bis jetzt noch Berührungsängste mit FIDO verspürt haben, könnte nun der richtige Zeitpunkt sein, um ein Pilotprojekt aufzusetzen. Dazu stehen Ihnen beispielsweise die Security Keys Google Titan oder Yubico Yubikey zur Verfügung. Beide kommen ohne die Übertragung von PINs aus: Ein simpler Knopfdruck genügt zur Authentifizierung. Beide Devices sind in unterschiedlichen Formfaktoren und mit verschiedenen Funk- und USB-Technologien erhältlich.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.