/ Blog DE
TschĂŒss Passwort – ein einfacher Weg zur Passwortlosen Authentifizierung mit cidaas

TschĂŒss Passwort – ein einfacher Weg zur passwortlosen Authentifizierung mit cidaas

05.04.2023 / 17:00
Erfahren Sie, wie Unternehmen ihre Mitarbeiter, Kunden und Partner von einem traditionellen Benutzer-ID und Passwort zu einfacheren und sichereren Authentifizierungsmethoden fĂŒhren können. TschĂŒss Passwort – ein einfacher Weg zur passwortlosen Authentifizierung mit cidaas und warum dieser Weg sehr wichtig ist, fĂŒr die Sicherheit aller.

Machen wir uns nichts vor

Kennworte haben eine lange Geschichte und eine PIN (Persönliche Identifikationsnummer) ist auch nichts anderes. Sie werden verwendet zur Authentifizierung des Benutzers in Verbindung mit vorgegebenen oder selbstkreierten Benutzerkennungen oder heute vielmehr verbreitet, einer Kommunikationsadresse, wie der eMail-Adresse oder der Mobilfunknummer. Letztere haben den Vorteil, dass man sich diese Benutzerkennungen viel besser merken kann und diese auch zur Kommunikation genutzt werden können. Die Passwort-basierte Authentifizierungsmethode ist im Grunde auch einfach zu implementieren. Die sichere Ablage dieser Daten und auch die Verwaltung der Authentifizierung ist da leider etwas aufwÀndiger.

Jedes GerĂ€t, welches man benutzt und jedes Portal haben noch bis vor kurzem – wenn Sie ehrlich sind, machen Sie das heute noch 😉 – von seinen Nutzern fĂŒr die Einrichtung des Benutzerkontos eine Benutzerkennung und vor allem ein Passwort verlangt.

Was haben wir in der IT damit erreicht?

  • einen vermeintlich einfachen, funktionierenden Login
  • Viel Frust bei Benutzern, die sich Passworte nicht merken können und die durch umstĂ€ndliche Passwort-ZurĂŒcksetzungsprozesse gehen mĂŒssen
  • Benutzer, die ihre Passwörter/PINs an unsicheren Orten aufschreiben
  • StilblĂŒten, wie Passwort-Manager, mit dem die Benutzer ihre Passwörter oder PINs vermeintlich sicher verwalten. Dazu muss man wissen, dass ein Passwort-Manager durchaus auch Ziel von Hacker-Angriffen sein kann. Der Zugang zum Passwort-Manager nicht unbedingt sicher ist und die VerschlĂŒsselung der Benutzerkennungen immer bidirektional ist, weil die Passwörter nur im Klartext angewendet werden können
  • Eine Vielzahl von tĂ€glichen Hackerangriffen, die mit geschickten Benutzer-ID + Passwortkombinationen zahlreiche Portale hacken (wollen)

(Neue) Verfahren der Benutzerauthentifizierung

Neben dem Passwort wurden daher in den letzten Jahren eine Reihe weiterer Verfahren zur Authentifizierung entwickelt, diese reichen von Einmalpasswörtern (One-Time-Password / OTP) ĂŒber Push-Verfahren auf das Smartphone bis hin zu Device Biometrics und FIDO2. Viele dieser Verfahren werden dabei heute schon als Multi-Faktor-Authentifizierung eingesetzt und sind daher durchaus vielen Nutzern bereits bekannt. Die Verfahren unterscheiden sich im Wesentlichen dadurch, dass man nicht mehr auf den Faktor Wissen setzt, sondern vielmehr auf die Faktoren Besitz und InhĂ€renz, und insbesondere eine Kombination beider Faktoren. Mit diesen Faktoren erhöht man somit nicht nur die Sicherheit, sondern schafft ein gutes und durchgĂ€ngiges Nutzererlebnis durch eine komfortable und einfache passwortlose Authentifizierung.

(Neue) Verfahren der Benutzerauthentifizierung fĂŒr Passwortlose und Multi-Faktor-Authentifizierung

FĂŒr viele Unternehmen stellt sich nun die Frage wie etabliere ich eine passwortlose Authentifizierung und ermögliche den Nutzern eine Umstellung vom Passwort auf z.B. FIDO2. Auch wenn die EinfĂŒhrung der passwortlosen Authentifizierung von verschiedenen Faktoren abhĂ€ngt und sich je nach Unternehmen, Anwendungsfall und Zielgruppe unterscheidet, lĂ€sst sich doch ein grundlegender Ansatz fĂŒr die EinfĂŒhrung festlegen.

Viele Unternehmen setzen heute auf einen klassischen Login mit Benutzername und Passwort, wobei der Benutzername in den allermeisten FĂ€llen die E-Mail-Adresse ist.

  1. Die passwortlose Authentifizierung neben dem klassischen Login mit Passwort anzubieten, ermöglicht eine schrittweise EinfĂŒhrung, bei der erste Erfahrungen gesammelt werden und sich Nutzer mit der passwortlosen Authentifizierung vertraut machen können. Wenn bereits eine Multi-Faktor-Authentifizierung im Einsatz ist, können diese Verfahren direkt als passwortlose Alternative genutzt werden, z.B. ein OTP per E-Mail oder die Push-Nachricht auf das Smartphone.
  2. Die Konfiguration der passwortlosen Authentifizierungsverfahren kann einfach in den bestehenden Login Prozess integriert werden, um so Nutzer auf die neuen Authentifizierungsmöglichkeiten hinzuweisen und diese onzuboarden.
  3. Nach einer Übergangszeit, in der sich Nutzer schrittweise selbst auf die passwortlose Authentifizierung umgestellt haben, kann eine Umstellung auf nur noch passwortlose Authentifizierung angestrebt werden. Das Ausphasen des Passwortes kann dabei ebenso schrittweise erfolgen, z.B. indem der Login mit Passwort als Option unterhalb der Passwortlosen Authentifizierung angeboten wird.
  4. Die passwortlose Authentifizierung und die Abschaltung des Passwortes sind fĂŒr viele Unternehmen heute vermutlich noch nicht vorstellbar, dennoch ist auch der letzte Schritt die Abschaltung des Passwortes schon in der Vision zu betrachten. Die Abschaltung des passwortbasierten Logins sollte mit entsprechender Vorlaufzeit angekĂŒndigt werden, um auch die letzten noch nicht umgestellten Nutzer zur Nutzung der passwortlosen Authentifizierung zu motivieren.

Schritt fĂŒr Schritt zur passwortlosen Authentifizierung

Die immer gleichen Herausforderungen

Registrierung

Manche Unternehmen sehen beim Zugang fĂŒr Ihre Kunden ein hohes Risiko, das die Registrierung zu aufwĂ€ndig oder komplex wird, was die Churn-Rate (Absprungrate) erhöht. Bei anderen Organisationen ist dies möglicherweise kein Grund, weil sie aufgrund der Benutzer-Accounts das notwendige Übel ist, welches im Rahmen des Gesamt-Serviceangebots verwendet werden muss. FĂŒr alle Unternehmen gilt jedoch, dass die Gefahr von Hackerangriffen mit Benutzerkennung und Passwort basierten Accounts unglaublich groß ist und es nur eine Zeitfrage ist, bis dadurch ein unberechtigter Zugang möglich ist.

Auswahl von Alternativen

Je nach aktueller Implementierung der Benutzerverwaltung ergeben sich unterschiedliche Alternativen fĂŒr die Implementierung.

Sehr hĂ€ufig wird der Wunsch von Unternehmen geĂ€ußert, dass man im Grunde nur eine „2-Faktorauthentifizierung“ einfĂŒhren möchte, um Accounts sicherer zu machen oder im Kundenumfeld entsprechende Captcha-Technologien einsetzen möchte, um die einfachen Hackerangriffe wenigstens erschweren zu können. Wir bezeichnen diesen Ansatz “On-Top-Ansatz“, weil er nichts substanziell verĂ€ndert, sondern lediglich zusĂ€tzliche Verfahren verwendet.

Dieser “On-Top-Ansatz“ hat allerdings eine Reihe von Limitierungen, weil

  1. nach wie vor die Benutzerauthentifizierung mit Benutzerkennung + Passwort erfolgt,
  2. meist nur ein, zwei alternative Methoden fĂŒr die 2-Faktor-Authentifizierung implementiert werden können,
  3. die Implementierungen meist sperrig wirken und durchaus kostspielig sind, wenn zusÀtzliche Hardware benötigt wird.

TatsÀchlich sollte die Auswahl von Alternativen folgenden Prinzipien folgen:

  1. In welche Richtung entwickeln sich die Authentifizierungsmethoden, welche Protokolle und Technologien bieten bspw. EndgerÀtehersteller heute an?
  2. Welche Benutzererfahrung haben ihre unterschiedlichen Nutzer mit den Authentifizierungsverfahren – reicht es wirklich ein oder zwei Alternativen anzubieten?

Ein ganz wesentlicher Punkt ist jedoch, dass ihre Nutzer Benutzer-IdD+ Passwort nicht mehr als primÀre Authentifizierungsmethode verwenden, damit sich Hacker nicht mit Benutzerlisten aus dunklen KanÀlen an ihrer Benutzerverwaltung abarbeiten können.

Kommunikationskonzept und Benutzer-Selfservices fĂŒr die Umstellung

VerÀnderungen von gewohnten AblÀufen ist nicht immer einfach. Aus dem Grund gehört zu jeder Umstellung auch ein einfaches und einleuchtendes Kommunikationskonzept implementiert in die Software.

Klare Linien

Motivieren sie ihre Benutzer alternative Verifikationsmethoden zu verwenden und stellen sie das Passwort nur noch als zweite Option zur Multifaktorauthentifizierung zur VerfĂŒgung.

  1. Setzen sie gÀngige und intuitive Benutzerverifikationen bereits bei der Registrierung ein. Benutzer können so ihre Verifikationsmethoden sukzessive einrichten.
  2. Erzwingen sie nicht das Setzen eines Passwortes – nehmen sie das Passwort als alternative Methode fĂŒr 2FA, eingerichtet durch den Nutzer.
  3. Ermöglichen sie ihren Benutzern eine signifikante Auswahl und die Konfiguration von Verifikationsmethoden – sicher: ein Benutzer wird nicht alle Verfahren aktivieren.
  4. Legen sie die zu verwendenden Verifikationsmethoden auch auf Basis der KritikalitÀt der Applikationen fest.
  5. Motivieren sie den Nutzer beim Login eine neue, passwortlose Verifikationsmethode einzurichten, ggf. erinnern sie ihn daran.

Fazit

Die passwortlose Authentifizierung ist die Zukunft und wird ĂŒber die Zeit den traditionellen Login ĂŒber Passwörter ablösen. Dabei sind neben dem Nutzer, der schwache oder vorhersehbare Passwörter wĂ€hlt, auch die zunehmende Anzahl von Datenlecks und Phishing-Angriffen zu einem Problem und großen Risiko fĂŒr Passwörter geworden.

FĂŒr Unternehmen ist es wichtig heute den Schritt Richtung passwortloser Authentifizierung zu gehen und dabei geeignete Methoden der Authentifizierung, je nach Use Case und Applikation, auszuwĂ€hlen, um so ein höchstes Maß an Sicherheit und Benutzerfreundlichkeit zu erreichen.

Klar ist, wir alle benutzen heutzutage noch hier und da Passwörter, sei es im privaten oder geschĂ€ftlichen Umfeld – und ja, hin und wieder sind es auch die gleichen Passwörter. Aber uns muss bewusstwerden, dass es schon heute bessere und sichere Alternativen zu dem Einsatz von Passwörtern gibt oder man zumindest durch eine Multi-Faktor Authentifizierung – also durch den Einsatz eines zweiten Faktors zur Authentifizierung – die Sicherheit erhöhen kann! Wir bei cidaas setzen uns daher fĂŒr passwortlose Login-Alternativen ein!