foto freepik

Passwörter sind ein notwendiges Übel: Sie haben viele Nachteile, die jeder von uns im Umgang mit der IT täglich selbst erlebt. Die gute Nachricht: Notwendig sind sie bei weitem nicht. Es geht sogar besser ohne. Der passwortlose Zugriff erhöht den Schutz vor Cyberattacken.

IT-Verantwortlichen bleibt bei der Wahl des Security-Levels von Passwörtern meist nur die Entscheidung zwischen Pest und Cholera: Sind die Passwortrichtlinien zu streng, müssen sich Anwender komplizierte Passwörter merken und regelmäßig wechseln. Gerne werden sie deshalb auf gelbe Zettel geschrieben und an den Bildschirm gepinnt. Oder sie werden gerne vergessen. Die Fehlversuche lösen Alarm aus und der Support muss sich kümmern. Die Folge strenger Passwortrichtlinien ist oft nicht mehr Sicherheit, sondern frustrierte Anwender und genervte IT-Mitarbeitende.

Sicherheitsrisiko niederschwellige Passwort-Regeln

Dürfen die Passwörter dagegen einfach sein, teilen Nutzer die Passwörter gerne untereinander. Das kann zum Sicherheitsrisiko werden, weil niemand mehr weiß, wer mit welchem Passwort worauf zugreift. Bei gemeinsam genutzten Geräten wird sogar häufig komplett auf Passwörter verzichtet, weil es für Mitarbeitende und IT schlicht komfortabler ist. Ungeschützte Geräte sind aber ideale Einfallstore für Cyberkriminelle.

Zugriffsmanagement auf Basis von Identitäten

Passwörter, beziehungsweise der Umgang mit ihnen, zählen zu den häufigsten Schwachstellen in IT-Systemen. Sie bieten Cyberkriminellen Angriffsmöglichkeiten zum Beispiel via Phishing-Attacken. Schlechte oder mehrfach verwendete Passwörter erhöhen für Hacker die Trefferquote beim sogenannten Credential Stuffing, mit dem sie Passwörter automatisiert ermitteln.

Zugriffssicherheit muss deshalb einfach und effektiv in der Nutzung sein. Ein strategisches Access-Management im Rahmen einer Identitätsstrategie ist die Lösung. So wird sichergestellt, dass nur die berechtigten Personen zur erlaubten Zeit auf genehmigte Ressourcen zugreifen. Dazu gehören Mitarbeitende, privilegierte IT-Administratoren sowie Lieferanten und andere Beteiligte, die Zugang benötigen.

Sichere Alternativen zum Passwort

Lösungen, die auf Passwörter verzichten, sind in der Zugriffsstrategie ein Paradigmenwechsel. Biometrische Methoden oder hardwarebasierte Techniken ersetzen Passwörter und stärken die Sicherheitsarchitektur erheblich. Passwortfreie Authentifizierung beseitigt viele der oben genannten Risiken und trägt entscheidend zur Sicherheit moderner IT-Architekturen bei. Für die Einführung passwortfreier Authentifizierung müssen verschiedene Technologien kombiniert werden:

biometrische Verfahren wie Fingerabdruck- und Gesichtserkennung, zum Beispiel Windows Hello for Business,
hardwarebasierte Token wie FIDO2-konforme Schlüssel,
Bluetooth Low Energy für berührungslose Authentifizierung und
Single Sign-On (SSO) mit starker initialer Authentifizierung.

Besonders wichtig ist, dass Nutzer stets die Kontrolle über ihre Authentifizierungsmethoden behalten. Im Fall des Verlusts biometrischer Daten oder Sicherheitstoken müssen alternative Wege zur Kontowiederherstellung vorhanden sein. Die Kombination verschiedener passwortfreier Methoden gewährleistet ein sehr hohes Sicherheitsniveau und ist zugleich benutzerfreundlich, auch bei der Wiederherstellung des Zugangs.

Die Implementierung der passwortfreien Authentifizierung muss im Einklang mit bestehenden gesetzlichen Anforderungen wie der Datenschutzgrundverordnung (DSGVO) oder anderen branchenspezifischen Regelungen sein. Das gilt insbesondere für die Speicherung und Verarbeitung von biometrischen Daten und Identitätsnachweisen. In diesem Zusammenhang ist die Auswahl von Sicherheitsverfahren von entscheidender Bedeutung. Sie sollten auf anerkannten Standards und starker Verschlüsselung beruhen.

Vier Stufen zur passwortlosen Authentifizierung

Aufgrund der Komplexität moderner IT führt der Weg zur passwortlosen Authentifizierung über mehrere Schritte: Im ersten Schritt wird Single-Sign-On und berührungslose Authentifizierung eingeführt. Damit genügt eine Anmeldung, um im Idealfall an allen Systemen zugelassen zu werden.

Im zweiten Schritt wird die passwortlose Anmeldung für kritische Anwendungen ausgerollt. Dafür wird die berührungslose Authentifizierung mit MFA kombiniert. Technologien wie der FIDO-Sicherheitsschlüssel oder biometrische Authentifizierung kommen zum Einsatz. Beide Methoden sind gegen Phishing resistent und erhöhen das Sicherheitsniveau deutlich. Sie unterstützen den Zero-Trust-Ansatz und Privileged Access Management.

Im dritten Schritt werden Token und Biometrie eingesetzt. Der Anwender muss sich kein Passwort mehr merken. Die Passwortrichtlinien werden vom IT-System selbst überwacht und Passwörter bei Bedarf ohne Zutun des Nutzers geändert. Die Passwörter können stärker werden und Phishing oder Social Engineering bleiben erfolglos, was die Chancen eines illegalen Zugriffs über ausgespähte Passwörter praktisch gegen Null gehen lässt.

Der vierte Schritt ist, dass alle Anwendungen in Single-Sign-On integriert werden, wobei dafür moderne Authentifizierungsstandards wie OAuth (OpenAuthentication) oder OIDC (OpenID Connect) unterstützt werden müssen.

Für KRITIS-Organisationen ein Muss

Die Zukunft der passwortfreien Authentifizierung ist eng verknüpft mit Konzepten wie dezentralen Identitäten (DID) und Zero-Trust-Sicherheitsmodellen. Dezentrale Identitäten geben den Nutzern die vollständige Kontrolle über ihre persönlichen Daten und Authentifizierungsmethoden. Das erhöht die Sicherheit und reduziert Angriffsflächen. Zero-Trust-Sicherheit, die keiner Identität vertraut – auch nicht innerhalb des Unternehmensnetzwerks -, wird in Kombination mit passwortfreien Systemen immer wichtiger, da sie die Notwendigkeit einer durchgängigen Authentifizierung auf allen Sicherheitsebenen beibehält. Insbesondere für Unternehmen in den KRITIS-Branchen wie Energieversorgung, Gesundheitswesen, Behörden und Finanzdienstleistungen werden sich die Konzepte des passwortlosen Zugangs bald etablieren, da sie vor den derzeit gefährlichsten Attacken auf die IT-Sicherheit schützen.

Dirk Wahlefeld, Manager, Unimate Tech Services bei der Imprivata GmbH

43 Artikel zu „passwortlos“

News | Trends 2024 | Trends Security | IT-Security

Veraltete Technologien verhindern passwortlose Verfahren

25. November 2023

Die Mehrheit der Unternehmen schiebt die Implementierung von alternativen Authentifizierungsmethoden wie Biometrie und Passkeys noch auf. Obwohl die Authentifizierung mittels Passwörter unter Sicherheitsaspekten seit langem in Kritik steht, sind Unternehmen noch Jahre von einer passwortlosen Realität entfernt. Das zeigt eine neue Studie von Delinea«[1]. 68 Prozent der befragten IT-Entscheider gab demnach an, dass Passwörter…