Passwortlos und trotzdem sicher?

Die Validierung mit biometrischen Merkmalen durch einen Scan des Fingerabdrucks oder des Gesichts hat das Potenzial, diesen Spagat zu schaffen.

Trotz der berechtigten Sorge vor Sicherheitsvorfällen halten viele Nutzer das Passwortverfahren immer noch für sicher. Dass diese Methode längst als überholt und veraltet gilt, hat einen guten Grund. Viele erfolgreiche Cyberangriffe lassen sich auf die Verwendung gestohlener Anmeldedaten wie Benutzername plus Passwort zurückführen. Diese sind mittlerweile leicht im Dark Web zu finden, wo sie nach Datenpannen zum Verkauf angeboten werden.

Aber auch die Nutzer selbst erhöhen das Risiko, wenn sie ein rein passwortbasiertes Verfahren verwenden. Denn trotz aller Empfehlungen, möglichst lange und komplexe Kennwörter zu benutzen, werfen die bevorzugten Passwörter der Deutschen ein ernüchterndes Licht auf die Realität. Nach Angaben des Hasso-Plattner-Instituts, Deutschlands universitärem Exzellenzzentrum für Digital Engineering, liegen auf den ersten drei Plätzen die einfachen Kombinationen „123456“, „passwort“ und „12345“.

Die Besorgnis der IT-Sicherheitsexperten dürfte durch die Ergebnisse der vom Login-Spezialisten Nevis in Auftrag gegebenen Studie „Sicherheitsbarometer 2022“ noch verstärkt werden.

Von über 1.000 befragten deutschen Verbrauchern ab 14 Jahren gaben mehr als die Hälfte an, dass sie im privaten Umfeld dasselbe Passwort für verschiedene Onlinekonten verwenden. Diese Praxis birgt erhebliche Sicherheitsrisiken und verdeutlicht, wie wichtig es ist, ein stärkeres Bewusstsein für die Bedeutung sicherer Authentifizierungspraktiken zu schaffen.

Um Zugänge, die durch einfache Passwörter potenziell gefährdet sind, besser zu schützen, haben Sicherheitsexperten Tools wie Passwortmanager und Methoden wie die Zwei- oder Multi-Faktor-Authentifizierung entwickelt. Der Knackpunkt dabei ist, dass diese zusätzlichen Sicherheitsmaßnahmen mit einem gewissen Mehraufwand beim Anmeldeprozess verbunden sind, was zulasten der Benutzerfreundlichkeit geht.

Passwortlose Authentifizierung mittels Biometrie

Abhilfe kann die biometrische Authentifizierung schaffen, die auf Passwörter verzichtet und deshalb besonders nutzerfreundlich ist. Durch die Kombination mehrerer eindeutiger Identifikatoren oder biometrischer Merkmale wie Fingerabdruck, Gesichtserkennung und Iris-Scan wird das Anmeldeverfahren nicht nur vereinfacht, sondern auch sicherer. Benutzer müssen sich nicht mehr eine Vielzahl von Passwörtern merken.

Zudem sind biometrische Authentifizierungsfaktoren nicht leicht reproduzierbar, was sicherer ist als selbst das komplexeste Passwort. Wie funktioniert das? In diesem Bereich haben sich FIDO-Protokolle (Fast Identity Online Alliance) als führende Lösung etabliert. Vereinfacht gesagt, basieren FIDO-Protokolle auf der Verwendung von Schlüsselkryptografie.

Bei der Registrierung für einen Dienst werden zwei Schlüssel generiert: ein privater Schlüssel, der ausschließlich auf dem Endgerät des Nutzers verbleibt, und ein öffentlicher Schlüssel, der dem jeweiligen Onlinedienst zur Verfügung gestellt wird. Ab diesem Zeitpunkt kann der Online-Dienst die Identität des Nutzers authentifizieren, indem er während des Anmeldevorgangs den privaten Schlüssel anstelle eines Passworts abfragt. Letzten Endes wird die Passwortauthentifizierung durch einen einfachen und schnellen Scan der einzigartigen biometrischen Merkmale des Nutzers ersetzt, quasi durch ein biometrisches „Passwort“.

Der Einsatz von passwortlosen Authentifizierungsmethoden bietet erhebliche Vorteile. Der lästige Faktor der Passwörter wird obsolet und die Authentifizierung bei allen Diensten, die diese Technologie nutzen, kinderleicht. Darüber hinaus müssen Nutzer für die Passwortgenerierung keine komplizierten Kombinationen aus Buchstaben, Zahlen und Sonderzeichen mehr erstellen, sich merken und eingeben, was besonders auf mobilen Geräten oft mühsam ist.

Auf diese Weise erhöhen Unternehmen nicht nur die Sicherheit des Anmeldevorgangs, sondern bieten ihren Kunden auch ein komfortableres Benutzererlebnis. Das ist ein entscheidender Faktor, um im harten Wettbewerb um die Gunst der Konsumenten die Nase vorn zu haben.

Stolpersteine bei der Implementierung

Chief-Information-Security-Officer (CISOs), die eine passwortlose Authentifizierung einführen wollen, können auf Hindernisse stoßen. Entscheidungsträger in kleinen und mittleren Unternehmen (KMU) sind möglicherweise besorgt über die Auswirkungen passwortloser Authentifizierungsmethoden auf die Mitarbeitererfahrung und befürchten, dass sie den täglichen Betrieb verlangsamen oder stören.

Eine weitere Herausforderung stellt die technische Komplexität der Einbindung biometrischer Verfahren dar. Die verschiedenen Systeme arbeiten oft nicht nahtlos zusammen. So verfügen Cloud-Plattformen häufig über eigene, konkurrierende Sicherheits- und Identitätsprüfungssysteme, die sich beispielsweise nicht ohne Weiteres mit den unternehmensinternen Servern synchronisieren lassen.

Für die Implementierung biometrischer Authentifizierungsverfahren müssen Unternehmen zum einen Investitionen tätigen. Zum anderen müssen die internen IT-Verantwortlichen – in kleinen Unternehmen ist dies häufig nur ein Mitarbeiter – über die erforderlichen Kapazitäten verfügen. Dabei sollte man die Komplexität der Aufgabe nicht unterschätzen. Unter anderem ist es erforderlich, die bestehende Infrastruktur sowie die Zugriffsrichtlinien zu überarbeiten. Es kann zudem notwendig sein, dass sich bisherige Nutzer neu verifizieren müssen, um ihnen geänderte Authentifizierungsfaktoren zuzuweisen.

CIAM-Systeme für eine passwortlose Zukunft

Für die erfolgreiche und schnelle Einführung von passwortlosen Authentifizierungsmethoden eignen sich cloudbasierte Customer-Identityand-Access-Management-(CIAM)-Systeme. Vor der Implementierung empfiehlt es sich für KMU, die spezifischen Anforderungen an das CIAM genau zu definieren. Dabei sollten nicht nur der aktuelle Status, sondern auch zukünftige Entwicklungen berücksichtigt werden. Erfahrene CIAM-Experten unterstützen in diesem Schritt bei der Planung einer Strategie für die Verwaltung digitaler Benutzeridentitäten und bei der Auswahl geeigneter Anwendungen.

Die Integration der zentralen Anwendungen eines CIAM-Systems erfordert in der Regel keine eigenständige Infrastruktur. Stattdessen erfolgt eine schrittweise Implementierung in die bestehende IT-Architektur, wobei CIAM-Experten die Einhaltung aller regulatorischen Anforderungen sorgfältig prüfen. Moderne Lösungen ermöglichen zudem ein konsistentes Branding über alle Interaktionspunkte mit den Nutzern hinweg.

Das bedeutet, dass beispielsweise eine spezielle Authenticator App für die Multi-Faktor-Authentifizierung problemlos im Design der jeweiligen Marke gestaltet werden kann, um ein durchgängiges Markenerlebnis sicherzustellen.

Kein Passwort bietet mehr Sicherheit

Immer wieder wird kritisiert, dass die passwortlose Authentifizierung nicht hundertprozentig sicher ist. So können Cyberkriminelle eventuell Gesichtsscans oder Fingerabdrücke stehlen. Aber auch hier gibt es Lösungen: Mithilfe von Behavior-Analytics, einer oft nachgelagerten Authentifizierungsmethode, lässt sich ein weiterer Sicherheitsfaktor einbauen.

Behavior-Analytics bezeichnet die Verarbeitung verhaltensbezogener Daten bei der Authentifizierung.
Merkmale wie die Dynamik des Tippens, die Schreibgeschwindigkeit oder das Swipe-Verhalten sind bei jedem Menschen einzigartig.

Anhand dessen ermöglicht Behavior-Analytics es zu erkennen, wenn der Benutzer im Rahmen eines Zugriffs von gespeicherten Verhaltensmustern abweicht. Das kann darauf hinweisen, dass sich eine andere Person als der berechtigte User Zugang zu einem Account verschafft hat. Auf diese Weise lassen sich Transaktionen so lange stoppen, bis der Nutzer seine Identität durch andere Authentifizierungsfaktoren zweifelsfrei verifiziert hat.

Die passwortlose Authentifizierung ermöglicht es KMU nicht nur ihre Cybersicherheit zu erhöhen,
sondern auch ihren Kunden eine nahtlose Benutzererfahrung zu bieten.