Was ist passwortlose authentifizierung?

Die passwortlose Authentifizierung ist eine Methode zur Überprüfung der Identität eines Benutzers, ohne dass ein herkömmliches Passwort erforderlich ist. Stattdessen verifizieren die Nutzer ihre Identität mit anderen Mitteln wie biometrische Daten, Passkeys, magischen Links oder Einmal-Passwörter (One-Time Passwords, OTPs).

Wie funktioniert die passwortlose Authentifizierung?

Anstatt auf etwas zu vertrauen, das der Benutzer „weiß“, wie z. B. ein Passwort, verlässt sich die passwortlose Authentifizierung auf etwas, das der Benutzer „ist“ oder das er „hat“. Wenn sich der Benutzer bei einem Konto anmeldet, das die passwortlose Authentifizierung verwendet, gibt er zunächst seinen Benutzernamen oder seine E-Mail-Adresse ein. Dann werden sie aufgefordert, etwas vorzuweisen, damit sie ihre Identität bestätigen können. Dies kann ein Sicherheitsschlüssel oder ein magischer Link sein, der an ihr Gerät gesendet wird. Wenn sich die Authentifizierungsmethode des Benutzers auf etwas stützt, das er ist, würde er seine biometrischen Daten durch einen Gesichts-, Augen- oder Fingerabdruck-Scan oder durch Spracherkennung präsentieren.

Arten der passwortlosen Authentifizierung

Die passwortlose Authentifizierung kann in zwei Kategorien unterteilt werden: Besitz- und Inhärenzfaktoren.

Besitzfaktoren

Der Authentifizierungsfaktor „Besitz“ beruht auf etwas, das der Benutzer hat/besitzt. Hardware-Sicherheitsschlüssel sind ein gutes Beispiel für den Faktor Besitz, da es sich um physische, USB-ähnliche Schlüssel handelt, auf die nur der Nutzer Zugriff hat. Andere Methoden der passwortlosen Authentifizierung, die in diese Kategorie fallen, sind magische Links, Passkeys und zeitbasierte Einmal-Passwörter (TOTPs).

Inhärenzfaktoren

Der Authentifizierungsfaktor „Inhärenz“ basiert auf den physischen Charaktereigenschaften eines Benutzers. Zu den Inhärenzfaktoren zählen jede Art von biometrischen Daten wie Fingerabdruck, Gesichtserkennung und Netzhautscans.

Ist die passwortlose Authentifizierung sicher?

Die passwortlose Authentifizierung ist sicherer als die passwortbasierte Authentifizierung. Der Grund dafür ist, dass passwortlose Authentifizierungsmethoden nicht durch gängige passwortbasierte Angriffe wie Credential Stuffing und Brute Force kompromittiert werden können.

Die herkömmliche passwortbasierte Authentifizierung nutzt Wissen als Authentifizierungsfaktor. Passwortlose Authentifizierungssysteme erkennen diesen Wissensfaktor als möglichen Angriffsvektor für Phishing, Ransomware und passwortbasierte Angriffe, da „etwas, das Sie wissen“ auch jemand anderes herausfinden kann – und möglicherweise gegen Sie oder Ihr Unternehmen einsetzen kann.

Vorteile der passwortlosen Authentifizierung

Hier sind zwei Vorteile der Verwendung einer passwortlosen Authentifizierung.

Erhöht die Sicherheit

Da die passwortlose Authentifizierung sicherer ist als die Verwendung herkömmlicher Passwörter, beseitigt sie die Bedrohung durch schwache Anmeldeinformationen und eliminiert das Potenzial von passwortbasierten Angriffen. Dies verringert nicht nur die Angriffsfläche eines Unternehmens, sondern stärkt auch seine allgemeine Sicherheit.

Verbessert die Benutzererfahrung

Bei so vielen Passwörtern kann es schwierig sein, sich alle zu merken, was oft zu einem Zurücksetzen des Passworts führt. Diese Rücksetzungen sind für Unternehmen nicht nur kostspielig, sondern können auch zu Produktivitätsverlusten führen. Die Implementierung der passwortlosen Authentifizierung senkt die mit Passwörtern verbundenen IT-Supportkosten und steigert die Produktivität, während sie gleichzeitig ein reibungsloses Anmeldeerlebnis für die Benutzer bietet.

Nachteile der passwortlosen Authentifizierung

Ein großer Nachteil bei der Implementierung der passwortlosen Authentifizierung ist, dass sie für Unternehmen kostspielig sein kann. Der Grund dafür ist, dass Unternehmen möglicherweise zusätzliche Hardware und Software kaufen müssen, um die Implementierung zu unterstützen. Obwohl es teuer sein kann, ist die Investitionsrendite (Return on Investment, ROI) eines Unternehmens hoch. Schließlich werden Schritte unternommen, um das Risiko eines erfolgreichen Cyberangriffs zu mindern, der zu erheblichen finanziellen Verlusten und einem geschädigten Ruf führen kann.