Passwordless Authentication: Passwörter können Sie vergessen

Auf Passwörter (weitestgehend) zu verzichten, ist technisch längst möglich. Wir klären Sie über Ihre Passwordless-Optionen auf. [...]

Wenn Sie bereits auf Single Sign-On (SSO) oder Passwort-Manager setzen, sollten Sie diese Tools mit Passwordless Authentication kombinieren, um Ihren Mitarbeitern den Umstieg etwas angenehmer zu machen (c) pixabay.com

Im Lauf der letzten Jahre kamen immer mehr Experten zu der Überzeugung, dass die beste Passwort-Strategie darin besteht, überhaupt keine Kennwörter zu haben. Das nennt sich vielerorts dann „Passwordless Authentication“ – wobei die Namensgebung leicht irreführend ist – dazu aber an späterer Stelle mehr.

In Sachen Passwordless-Konzept haben bereits einige Innovationen das Licht der Welt erblickt, zum Beispiel Windows 10 Hello oder Okta Verify. Aber auch andere Anbieter wie Auth0 oder HYPR haben in diesem Bereich innovative Lösungen in petto.

Gründe für den Passwort-Verzicht

Geht es um die Vorteile, die ein Passwordless-Authentication-Konzept mit sich bringt, sollten Sie sich zunächst fragen, welche Ziele Sie erreichen möchten:

  • Wollen Sie wirklich alle Mitarbeiter komplett von Passwörtern befreien? Oder geht es Ihnen eher darum, eine Mehrfachnutzung derselben Kennwörter zu verhindern?
  • Setzen Sie derzeit Security Hardware wie etwa RSA SecurID ein und wünschen sich eine praktischere Lösung?
  • Geht es Ihnen darum, die Nutzung von Multi-Faktor-Authentifizierung (MFA) zu boosten, um Ihre Logindaten besser zu schützen?

Jeder dieser Fälle ist ein guter Grund, ein Passwordless-Modell in Erwägung zu ziehen – allerdings steckt der Teufel dabei im Detail: Nicht jede Applikation unterstützt die Passwordless-Option, manche noch nicht einmal jede MFA-Option. Wenn Sie eigene, maßgeschneiderte Applikationen ausgerollt haben, müssen Ihre Entwickler Passwordless-Fähigkeiten nachträglich integrieren. Dabei kann beispielsweise auch ein Software Development Kit helfen, Anbieter wie Auth0 und HYPR haben entsprechende Tools im Angebot.

Wenn Sie bereits auf Single Sign-On (SSO) oder Passwort-Manager setzen, sollten Sie diese Tools mit Passwordless Authentication kombinieren, um Ihren Mitarbeitern den Umstieg etwas angenehmer zu machen. Wenn Sie noch kein Identity-Management-System haben, sollten Sie sich die Angebote von Anbietern wie RSA, OneLogin oder Okta zu Gemüte führen. Allen drei Anbietern ist gemein, dass diese bemüht sind, Passwordless Authentication und MFA besser in ihre Lösungen zu integrieren.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Wie Passwordless funktioniert

Es gibt verschiedene Methoden, um Passwordless Authentication in der Praxis umzusetzen. Jede dieser Methoden bezieht auch Multi-Faktor-Authentifizierung mit ein, allerdings ohne dazu ein Einmalpasswort – beziehungsweise eine PIN – eingeben zu müssen. Sie sollten sich darüber im Klaren sein, dass ein solcher Paradigmenwechsel unter Umständen Schulungserfordernisse nach sich zieht.

Biometrie

Fingerabdruck- und Gesichtsscanner haben sich dank ihrer Allgegenwärtigkeit in Smartphones zu einer populären Methode für Multi-Faktor-Authentifizierung gemausert. Die meisten großen Authentifizierungs-Apps (inklusive Authy, Lastpass und Dashlane) unterstützen inzwischen Apples Face ID und Touch ID. Das dürfte auch den einfachsten Weg zu Passwordless Authentication darstellen- vorausgesetzt Ihre User fühlen sich damit wohl.

In Sachen Support kann der Verzicht auf Passwörter allerdings zur Herausforderung werden, schließlich muss die biometrische Authentifizierung zu jeder relevanten Applikation hinzugefügt werden. Wenn die User noch keine Erfahrung mit Systemen wie Face ID oder Touch ID haben, macht das die Sache nicht leichter. Unter Umständen ist es die bessere Lösung, zunächst ausschließlich auf die Smartphone Apps zu setzen, zumindest solange, bis biometrische Authentifizierungsmethoden besser mit Single Sign-On und Identity- Management-Systemen integrierbar sind.

Device Fingerprinting

Nicht wenige Experten sind davon überzeugt, dass ein Passwordless-Konzept mit dem altbekannten Schlüsselverfahren umgesetzt werden kann. Methoden, bei denen ein Public und ein Private Key zur Anwendung kommen, haben schon einige Jahrzehnte auf dem Buckel und entstammen der Kryptografie.

Der beste Weg um ein solches Konzept in der Praxis umzusetzen, führt über eine Firmware. Die kann entweder in einem Smartphone oder einer Security Hardware integriert sein. SSO-Anbieter Okta hat vor kurzem seine Verify App angekündigt, die ebenfalls auf Device Fingerprinting setzt, um Passwordless Authentication zu realisieren. Der Vorteil an der Okta-Lösung: Sie bietet relativ vielfältige Optionen zur Integration in bestehende SaaS-Applikationen, was den Umstieg erleichtern kann.

Eine Open-Source-Alternative ist das Tidas-Projekt. Es wurde bereits im Jahr 2016 ins Leben gerufen, kommt bis jetzt allerdings noch nicht wirklich in Gang. Die Technologie nutzt die Encryption Keys in neueren iPhone-Modellen (bislang kein Android Support), um Daten zu signieren und zu verschlüsseln. Um die Logins kümmert sich dabei das SDK – so dass die User sich keine Passwörter mehr ausdenken, sondern lediglich ihren Finger auf den Touch-ID-Sensor legen müssen.

FIDO2

Die Idee hinter FIDO (Fast Identity Online) ist es, offene, lizenzfreie und einheitliche Industriestandards in Sachen Authentifizierung zu schaffen – unabhängig davon, ob dazu dedizierte Hardware oder ein Smartphone mit Firmware zum Einsatz kommt. Auch die FIDO-Allianz kam zunächst eher schlecht in Gang – inzwischen sind allerdings genug Anbieter an Bord, um für den Unternehmenseinsatz attraktiv zu sein. Die aktuelle Spezifikation FIDO2 weist Hunderte von Unterstützern auf, darunter große Finanzinstitutionen, Security-Anbieter und Tech-Schwergewichte wie Microsoft, Google und Apple.

Wenn Sie bis jetzt noch Berührungsängste mit FIDO verspürt haben, könnte nun der richtige Zeitpunkt sein, um ein Pilotprojekt aufzusetzen. Dazu stehen Ihnen beispielsweise die Security Keys Google Titan oder Yubico Yubikey zur Verfügung. Beide kommen ohne die Übertragung von PINs aus: Ein simpler Knopfdruck genügt zur Authentifizierung. Beide Devices sind in unterschiedlichen Formfaktoren und mit verschiedenen Funk- und USB-Technologien erhältlich.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*David Strom schreibt unter anderem für unsere US-Schwesterpublikationen CSO Online, Network World und Computerworld.

**Florian Maier beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*