Die Wahrheit über kennwortlose Authentifizierung

Kennwortlose Authentifizierung ist ein Mittel zur Verifizierung der Identität eines Benutzers ohne die Verwendung eines Kennworts. Stattdessen werden sichere Alternativen wie Besitzfaktoren (Einmalkennwörter [OTP], registrierte Smartphones) oder biometrische Merkmale (Fingerabdruck, Netzhautscans) verwendet.

Kennwörter sind schon seit langem nicht mehr sicher. Sie sind schwer zu merken und leicht zu verlegen. Darüber hinaus sind sie das Hauptziel von Cyberkriminellen. Und zwar in einem so hohen Umfang, dass 81 Prozent der Sicherheitsverletzungen mit schwachen oder gestohlenen Kennwörtern einhergehen.

Im folgenden Artikel möchten wir die kennwortlose Authentifizierung genauer untersuchen.

Kennwortlose Authentifizierung kann auf verschiedene Weise erreicht werden. Hier sind einige davon:

• Biometrie: Physische Merkmale wie Fingerabdrücke oder Netzhautscans oder Verhaltensmerkmale beim Tippen und der Nutzung von Touchscreens werden zur eindeutigen Identifizierung einer Person verwendet. Obwohl Hacker mit moderner KI bestimmte körperliche Merkmale durchaus fälschen können, gilt dies für Verhaltensmerkmale nach wie vor nur sehr eingeschränkt.
• Besitzfaktoren: Authentifizierung über etwas, das ein Benutzer besitzt oder bei sich trägt. Zum Beispiel der von einer Smartphone-Authentifizierungs-App generierte Code, per SMS empfangene OTPs oder ein Hardware-Token.
• Magische Links: Der Benutzer gibt seine E-Mail-Adresse ein, und das System schickt ihm eine E-Mail. Die E-Mail enthält einen Link, der dem Benutzer beim Anklicken Zugriff gewährt.

Bei der kennwortlosen Authentifizierung werden Kennwörter durch andere Authentifizierungsfaktoren ersetzt, die von Natur aus sicherer sind. Bei der kennwortbasierten Authentifizierung wird ein vom Benutzer eingegebenes Kennwort mit dem in der Datenbank gespeicherten abgeglichen.

Bei einigen kennwortlosen Systemen, z. B. der Biometrie, erfolgt der Vergleich in ähnlicher Weise, aber anstelle von Kennwörtern werden die charakteristischen Merkmale eines Benutzers verglichen. Ein System erfasst z. B. das Gesicht eines Benutzers, extrahiert daraus numerische Daten und vergleicht sie dann mit verifizierten Daten in der Datenbank.

Bei anderen kennwortlosen Implementierungen können die Vergleiche anders ablaufen. Ein System sendet z. B. einen einmaligen Passcode per SMS an das Mobiltelefon eines Benutzers. Der Benutzer gibt diesen in das Anmeldefeld ein. Das System vergleicht dann den vom Benutzer eingegebenen Passcode mit dem gesendeten.

Die kennwortlose Authentifizierung beruht auf den gleichen Prinzipien wie digitale Zertifikate: ein kryptografisches Schlüsselpaar mit einem privaten und einem öffentlichen Schlüssel. Obwohl beide als Schlüssel bezeichnet werden, sollte man sich den öffentlichen Schlüssel als das Vorhängeschloss und den privaten Schlüssel als den eigentlichen Schlüssel vorstellen, der es aufschließt.

Digitale Zertifikate dagegen funktionieren so, dass es nur einen Schlüssel für das Vorhängeschloss und nur ein Vorhängeschloss für den Schlüssel gibt. Ein Benutzer, der ein sicheres Konto erstellen möchte, verwendet ein Tool (eine mobile App, eine Browsererweiterung usw.), um ein öffentlich-privates Schlüsselpaar zu generieren.

Der private Schlüssel wird auf dem lokalen Gerät des Benutzers gespeichert und kann nur über einen Authentifizierungsfaktor, z. B. einen Fingerabdruck, eine PIN oder ein OTP, abgerufen werden. Der öffentliche Schlüssel wird dem System zur Verfügung gestellt, bei dem der Benutzer ein sicheres Konto haben möchte.

Ob kennwortlose Authentifizierung sicher ist oder nicht, hängt von Ihrer Definition von Sicherheit ab. Wenn „Sicherheit“ für Sie bedeutet, dass das Authentifizierungssystem schwerer zu knacken und weniger anfällig für die häufigsten Cyberangriffe ist, dann ist die kennwortlose Authentifizierung sicher.

Wenn Sie mit „Sicherheit“ meinen, dass das Authentifizierungssystem unempfindlich gegen Hackerangriffe ist, dann fällt die kennwortlose Authentifizierung nicht darunter. Denn: Es gibt kein Authentifizierungssystem, das nicht geknackt werden kann. Vielleicht gibt es keine offensichtliche Möglichkeit, das System zu hacken, aber das bedeutet nicht, dass die raffiniertesten Hacker die Verteidigungsmaßnahmen nicht umgehen können.

Allerdings sind kennwortlose Techniken von Natur aus sicherer als Kennwörter. Um z. B. ein kennwortbasiertes System zu hacken, kann ein böswilliger Akteur einen Wörterbuchangriff verwenden, der oft als die rudimentärste Hackertechnik angesehen wird (verschiedene Kennwörter ausprobieren, bis eine Übereinstimmung gefunden wird).

Selbst Amateur-Hacker können einen Wörterbuchangriff durchführen. Umgekehrt ist ein deutlich höheres Maß an Erfahrung und Raffinesse erforderlich, um ein kennwortloses System zu infiltrieren. So können z. B. nur die fortschrittlichsten KI-Algorithmen einen Hacker in die Lage versetzen, einen Fingerabdruck zu fälschen.

Bei der kennwortlosen Authentifizierung werden Kennwörter einfach durch einen besser geeigneten Authentifizierungsfaktor ersetzt. MFA (Multi-Faktor-Authentifizierung) hingegen verwendet mehr als einen Authentifizierungsfaktor, um die Identität eines Benutzers zu verifizieren.

Ein MFA-System kann zum Beispiel das Scannen von Fingerabdrücken als primären Authentifizierungsfaktor und SMS-OTPs als sekundären Faktor verwenden.

Manchmal verwechseln Leute kennwortlose Authentifizierung mit MFA oder verwenden die beiden Begriffe synonym. Das liegt daran, dass viele herkömmliche, kennwortbasierte Anmeldesysteme inzwischen eine kennwortlose Technik als zweiten Authentifizierungsfaktor verwenden.

Im Folgenden wird beschrieben, wie Sie kennwortlose Authentifizierung implementieren können:

1. Wählen Sie Ihren Modus: Der erste Schritt ist die Wahl des bevorzugten Authentifizierungsfaktors. Die verfügbaren Optionen reichen von Fingerabdrücken und Netzhautscans bis hin zu magischen Links und Hardware-Tokens.
2. Wie viele Faktoren sind optimal? Generell ist zu empfehlen, mehrere Authentifizierungsfaktoren mit oder ohne Kennwort zu verwenden. Sich auf einen einzigen Faktor zu verlassen, auch wenn er noch so sicher erscheint, ist hingegen wenig ratsam.
3. Erforderliche Hardware/Software kaufen: Möglicherweise müssen Sie Geräte kaufen, um biometrische kennwortlose Authentifizierung zu implementieren. Für andere Verfahren, z. B. magische Links oder mobile OTPs, müssen Sie möglicherweise nur eine Software beschaffen.
4. Benutzerprovisionierung: Beginnen Sie mit der Registrierung von Personen in Ihrem Authentifizierungssystem. Für ein Gesichtserkennungssystem müssen Sie z. B. die Gesichter aller Mitarbeiter scannen.

Die interne Implementierung der kennwortlosen Authentifizierung kann zeitaufwändig und kompliziert sein. Aus diesem Grund bevorzugen viele Unternehmen stattdessen das Outsourcing an IAM-Drittanbieter (wie OneLogin). Dies beschleunigt den Prozess und reduziert die Wartungskosten und -sorgen erheblich.

Obwohl Kennwörter heute weit weniger verbreitet sind als früher, werden sie immer noch weltweit verwendet. Der Hauptgrund ist, dass ein kennwortbasiertes Anmeldesystem am einfachsten und billigsten zu implementieren ist. Wir gehen jedoch davon aus, dass sich der kennwortlose Zugang bald durchsetzen wird.

In den letzten zwei Jahren gab es mehr Cyberangriffe als je zuvor. Dies lässt bei vielen Unternehmen die Alarmglocken schrillen, und es wird immer mehr in biometrische Verfahren und adaptive Authentifizierung investiert (mehr dazu im nächsten Abschnitt).

Außerdem haben viele Unternehmen inzwischen erkannt, dass Kennwörter der Hauptgrund für Datensicherheitsverletzungen sind. Die Kosten für die Einführung eines kennwortlosen Systems sind nichts im Vergleich zu den Geldstrafen und Verlusten, die durch eine Datensicherheitsverletzung entstehen.

Nicht zuletzt sind Kennwörter ein Ärgernis für Benutzer – sie sind schwer zu merken und mühsam zurückzusetzen. Kennwortlose Verfahren wie Biometrie sind dagegen bequem und viel benutzerfreundlicher.

Obwohl die kennwortlose Authentifizierung eine große Verbesserung gegenüber der Verwendung von Kennwörtern darstellt, ist sie nicht unfehlbar. Biometrische Daten können gefälscht werden, OTPs können abgefangen und Hardware-Token gestohlen werden. Aus diesem Grund benötigen Sie ein System, das über die bloßen Authentifizierungsfaktoren hinausgeht, um die Identität zu verifizieren, d. h. eine adaptive Authentifizierung.

Bei der adaptiven Authentifizierung wird maschinelles Lernen eingesetzt, um Muster des typischen Benutzerverhaltens zu entwickeln. Sobald das System eine Abweichung vom Muster feststellt, betrachtet es den Anmeldeversuch als riskant und ergreift entsprechende Maßnahmen.

Nehmen wir zum Beispiel an, ein Benutzer meldet sich an jedem Wochentag frühmorgens mit seinem Laptop im System an. Mit der Zeit stellt das System fest, dass dies sein typisches Anmeldeverhalten ist. Dann meldet sich der Benutzer eines Tages an einem Samstag im System an.

Er verwendet immer noch denselben Laptop, es ist immer noch früh am Morgen, und auch sein geografischer Standort ist derselbe. Das System berechnet für dieses Verhalten einen relativ hohen Risikowert, der die Verwendung eines sekundären Authentifizierungsfaktors, z. B. eines SMS-OTP, rechtfertigt.

Einige Tage später bemerkt das System einen Anmeldeversuch desselben Benutzers, der aus einem anderen Land und von einem anderen Gerät stammt. Es berechnet einen exponentiell höheren Risikowert und sperrt den Benutzer. Später stellte sich heraus, dass es sich um einen Anmeldeversuch eines Cyberkriminellen handelte, der die Identität des Benutzers gefälscht hatte.

Die Kombination von kennwortloser mit adaptiver Authentifizierung kann Ihr System wesentlich robuster machen. Es ist schwieriger, kennwortlose Faktoren zu hacken, aber nicht unmöglich. Mit der adaptiven Authentifizierung können Sie eine weitere, KI-gestützte Schutzebene hinzufügen.