Hand hält Schloss auf Tisch

08.08.2022 – Lesezeit: 6 Minuten

Geschäftsführung / Technologie

Passwordless – Kein Passwort ist sicherer!

Egal wie lang und komplex ein Passwort ist – es ist unsicher. Für einen sicheren Login gibt es mit Passwordless Authentication einen besseren Weg.

 

„Ihr Passwort ist bedeutungslos.“ So beginnt Alex Weinert, Director of Identity Security bei Microsoft, einen Artikel auf dem Microsoft Tech-Community-Blog. Diese Aussage mag erst einmal befremdlich wirken. Schließlich nutzen die meisten von uns Passwörter täglich. Und wenn ein Passwort lang genug ist – also Zahlen, Groß- und Kleinschreibung sowie Sonderzeichen enthält – ist es doch ein starkes Passwort, oder etwa nicht?

Stimmt. Allerdings schwindet die Bedeutung starker Passwörter immer weiter. Hacker arbeiten heutzutage eher daran, das Passwort herauszufinden, als es zu knacken. Phishing Mails, die zu vermeintlichen Log-ins führen, Social Engineering, Passwortlisten aus dem Darknet oder Log-Programme, die Tastatureingaben speichern: Es gibt einige Möglichkeiten, Passwörter herauszubekommen, ohne sie klassisch zu hacken.

Deswegen ist es gerade im beruflichen Bereich, wo viele Zugänge mit geschäftskritischen Privilegien einhergehen, sinnvoll, ganz auf Passwörter zu verzichten. Und das geht: mit Passwordless Authentication. Meldet sich ein Nutzer an einem System an, geht es darum, seine Identität zu beweisen. Dafür gibt es mehrere Möglichkeiten; Passwörter sind nur eine davon.

Wie kann Passwordless Authentication also aussehen? Mittelstand Heute stellt drei Konzepte vor:

 

1. PIN oder biometrische Authentifizierung für den PC

Mitarbeiter mit einer eigenen dezidierten Workstation können sich per PIN oder mit biometrischen Merkmalen wie ihrem Fingerabdruck oder Gesicht einloggen. Ein nativer Dienst wie beispielsweise Windows Hello for Business nutzt sichere kryptografische Verfahren, um die Authentifizierung zu übermitteln. Dem Verfahren liegt eine Public Key Infrastructure (PKI) zugrunde. Der private Schlüssel, mit dem das Endgerät des Nutzers arbeitet, wird dabei nicht verschickt, sondern nur zur Authentifizierung genutzt. Nur die Datenpakete, über die die Freigabe zum Login abgewickelt werden, werden versandt. Da sie verschlüsselt sind und nur von an der Authentifizierung beteiligten Stellen entschlüsselt werden können, kann ein Hacker aus diesen Datenpaketen keine lesbaren Informationen extrahieren.

 

2. Authentifizierung des Nutzers über mobile Endgeräte

Anwender können sich auch über ihr Mobiltelefon digital ausweisen. Der Authentifizierungsprozess läuft über eine App, zum Beispiel Microsoft Authenticator. Wenn sich ein Nutzer über eine App für eine Firmenanwendung oder eine Workstation anmeldet, gibt er zuerst seinen Nutzernamen bei dem jeweiligen Login ein. Anschließend erhält er auf seinem mobilen Endgerät eine Push-Benachrichtigung. Dann führt der Nutzer entweder eine zuvor festgelegte Geste aus oder authentifiziert sich biometrisch oder gibt einen PIN ein. Dem folgt wieder ein kryptografischer Prozess, um den Nutzer freizuschalten. Das Prinzip ist dabei das gleiche wie bei der Authentifizierung über eine feste Workstation.

 

3. Authentifizierung über FIDO2 Security Keys

Fast Identity Online (FIDO) ist ein weiteres Verfahren für Passwordless Authentication. FIDO2 steht für die zweite Version des offenen Standards. Hier wird das Passwort durch ein Hardware-Token ersetzt. Auf diesem Token sind die Authentifizierungsmechanismen des FIDO-Standards gespeichert. Um möglichst sicher zu sein, können die Token nicht von mehreren Personen verwendet werden. Sie sind an eine Identität gebunden. Ein FIDO-Token kann ein USB-Sick oder eine Smart Card mit integrierter Near Field Communication (NFC) sein. Wird die NFC-Variante genutzt, muss das Gerät, auf dem man sich einloggen will, auch NFC-Signale verarbeiten können.

Der eigentliche Authentifizierungsprozess wird bei FIDO ebenfalls über kryptografische Schlüssel abgewickelt. Softwareanbieter, die mit dem FIDO-Standard arbeiten, ermöglichen es Nutzern auf der Login-Oberfläche, sich für diese Methode zu registrieren. Ist der Hardware-Token registriert, muss der User zukünftig auch keinen Nutzernamen mehr angeben. Sobald er den Token mit einem Gerät verbindet, wird der Login-Prozess eingeleitet. Dann folgt noch die biometrische Authentifizierung. Danach ist der Login-Prozess abgeschlossen.

 

 

Vier Mythen um Passwordless Authentication:

 

  1. Ein PIN und ein Passwort sind dasselbe...
    Oberflächlich sind sich ein PIN und ein Passwort durchaus ähnlich. Je nach Vorgaben der IT kann ein PIN auch aufgebaut sein wie ein Passwort. Die Struktur ist jedoch nicht ausschlaggebend. Der Unterschied liegt in der Funktionalität. Ein PIN ist an das „Objekt“ gebunden, mit dem es initial verknüpft wurde. Beispiel EC-Karte: Wer die Karte nutzen möchte, benötigt den zugehörigen PIN. Ohne die Karte ist der PIN ebenfalls nutzlos. Ein Passwort ist hingegen nicht an ein Gerät gebunden. Wer sich in seinen E-Mail-Account einloggen will, kann das über jedes internetfähige Endgerät tun.

  2. Passwordless Authentication? Das funktioniert auf älteren Geräten oder Legacy-Systemen doch gar nicht...
    Es gibt Möglichkeiten, Systeme im Nachhinein noch mit Passwordless Authentication auszustatten. Um die Verfahren einzubinden, kann ein Administrator ein zeitlich begrenztes Einmalpasswort erstellen, über das sich die Funktion freischalten lässt.

  3. Biometrische Zugangssysteme können auch gehackt oder getäuscht werden...
    Die biometrischen Zugangsdaten sind lokal auf dem Gerät gespeichert, über welches die Authentifizierung initiiert wird. Sie werden nur dazu genutzt, den Nutzer auszuweisen. Diese Daten werden nicht im Netzwerk geteilt. Sie sind außerdem nur ein Schritt auf dem Weg zur Freigabe. Wenn sich ein Nutzer beispielsweise über sein Gesicht oder den Fingerabdruck ausgewiesen hat, läuft ein kryptografischer Prozess ab, der mit dem biometrischen Verfahren nichts mehr zu tun hat. Die Authentifizierungsdaten werden verschlüsselt übertragen. Nur die Stellen, die die Authentifizierung bestätigen und freigeben, verfügen über die digitalen Schlüssel, um das Datenpaket zu lesen.

  4. Ohne Passwort verlieren Nutzer ihren Zugang, wenn ein Gerät verlorengeht oder gestohlen wird...
    Deswegen sollten Unternehmen mehrere Authentifizierungsverfahren implementieren. Über ein Backup des Systems in der Cloud kann der Login ebenfalls wiederhergestellt werden. Wenn man FIDO nutzt, ist es ratsam, einen FIDO-Security-Key als Backup vorzuhalten. Das bereits erwähnte Einmalpasswort lässt sich auch einsetzen, um einen Account wieder zugänglich zu machen.

 

>>> Lesetipp: Microsoft Security eBook: „Passwordless protection - Reduce your risk exposure with passwordless authentication

 

 

 

Passwordless Authentication entlastet Administratoren und die Belegschaft

Mit diesen drei Verfahren lassen sich Passwörter ersetzen. Logins werden dadurch noch sicherer. Aber das ist nicht der einzige Vorteil von Passwordless Authentication. Systemadministratoren und die Angestellten werden ebenfalls entlastet: Wird ein Passwort vergessen, muss sich die IT um den Reset kümmern. Werden in regelmäßigen Abständen alle Passwörter der Belegschaft zurückgesetzt und neu vergeben, geht das auch mit Verwaltungsaufwand für die IT einher. Gibt es hingegen keine Passwörter, fallen diese Aufgaben weg. Mitarbeitende müssen sich keine Passwörter mehr merken und sich auch nicht in regelmäßigen Abständen neue überlegen. Passwörter einzugeben, nur um sie dann ein zweites oder drittes Mal zu tippen, weil man sich verschrieben hat, gehört auch der Vergangenheit an.

Unternehmen, die ihre Logins noch sicherer gestalten wollen, können Passwordless Authentication optimal im Rahmen von Multifaktor-Authentifizierung (MFA) einsetzen. Häufig sind Passwörter ein Faktor einer MFA. Werden sie durch eines der drei genannten Verfahren ersetzt, wird der MFA-Prozess noch sicherer und komfortabler für Nutzer und Administratoren. Damit wäre auch ein wichtiger Baustein für Zero Trust gesetzt.

 

Darauf sollten Unternehmen bei der Implementierung von Passwordless Authentication achten

Da Passwörter als Teil von Login-Vorgängen tief im digitalen Alltag vieler Menschen verwurzelt sind, trifft Passwordless Authentication nicht unbedingt sofort auf Gegenliebe. Firmen, die ein Projekt dazu planen, sollten es nicht einfach von oben her einführen, sondern den Angestellten die Vorteile zuerst klar darlegen.

Es kann außerdem helfen, ein Pilotprojekt durchzuführen, das sich nur auf einige besonders schützenswerte, privilegierte Zugänge beschränkt. Der Rest der Belegschaft sieht dadurch die Vorteile des Konzepts, ohne sich sofort selbst damit beschäftigen zu müssen.

Natürlich ist es auch wichtig zu klären, ob alle Hard- und Softwareanforderungen erfüllt sind. Dabei kann ein erfahrener IT-Berater helfen.

Am wichtigsten bleiben jedoch die Mitarbeitenden. Sie müssen das Konzept annehmen und verinnerlichen. Denn nur wenn sie die Verfahren richtig anwenden, können diese ihre Wirkung entfalten.

 

 

Benötigen Sie Unterstützung bei Passwordless Authentication?

Business-IT-Spezialisten, wie die der All for One Group, beraten Sie zur Umsetzung von Passwordless Authentication in Ihrem Unternehmen.

 

 

 

 

Quelle Aufmacherbild: Tiko/stock.adobe.com