Jochen Koehler, Leiter der Region Zentraleuropa bei HYPR
Alternative Authentifizierungsmethoden und vor allem die passwortlose Anmeldung liegen im Trend. Unternehmen wie Apple, Google oder Microsoft haben sich klar auf diesen Weg verständigt. Vor allem die Consumer-Welt wird passwortlos und dieser Entwicklung kann sich auch der Business-Bereich nicht verschließen.
Der Consumer-Bereich gibt die Richtung vor. Immer mehr Verbraucher steigen bei der Anmeldung am PC oder beim Zugriff auf Webapplikationen auf passwortlose Verfahren um. Warum? Sie sind einfacher und komfortabler. Erst jüngst haben sich Apple, Google und Microsoft erneut mit dem Versprechen zusammengeschlossen, Passwörtern den Garaus zu machen. In weniger als 18 Monaten sollen Hunderttausende Webseitenanbieter passwortlose Logins ermöglichen, während die Hardware-Anbieter ihre PCs und Smartphones entsprechend aufrüsten. Damit steigt auch der Druck auf die Unternehmen. Sie hinken bei der Usability derzeit noch weit hinterher, werden den Trend zur passwortlosen Anmeldung aber nicht auf Dauer ignorieren können. Die Anwender stellen auf Basis ihrer positiven Erfahrungen im privaten Umfeld neue Anforderungen an die Firmen-IT. Die Erwartungshaltung wird sich ändern und Unternehmen sollten rechtzeitig darauf reagieren und bereits jetzt den Weg in Richtung Passwortlosigkeit einschlagen.
Ein entscheidender Punkt, der Unternehmen zu einem raschen Umdenken motivieren kann, ist die IT-Sicherheit. Denn wenn ein Anwender kein Passwort mehr zum Login benötigt, kann auch ein Angreifer ein solches Benutzerkonto nicht mehr mit einem erratenen oder geklauten Kennwort kompromittieren. Dabei müssen die Unternehmen aber darauf achten, den Weg der echten Passwortlosigkeit einzuschlagen, das bedeutet den vollständigen Verzicht auf das Passwort als Anmelde-Option. Zwar wird bei »einfachen« passwortlosen Anmeldemöglichkeiten wie Windows Hello oder Touch ID die ständige Passworteingabe durch eine PIN, die Gesichtserkennung oder den Fingerabdruck ersetzt, das Passwort verschwindet aber nur auf den ersten Blick. Es bleibt dann nämlich als sogenanntes »Shared Secret« gespeichert und kann weiterhin zur Anmeldung verwendet werden – aus Sicherheitsgründen problematisch. Eine Anmeldung mit Kennwort ist erst dann nicht mehr möglich, wenn in den Unternehmen von zentraler Stelle aus auf tatsächlich passwortlose Logins umgestellt wird.
Die Möglichkeiten dazu sind vorhanden: Basierend auf Public-Key-Verschlüsselungsverfahren bieten verschiedene Hersteller Lösungen für eine echte Passwortlosigkeit. Passwörter werden dabei durch sichere kryptografische, asymmetrische Schlüsselpaare ersetzt. Damit existieren auch im Backend keine Kennwort-Datenbanken mehr, die für Angreifer ein besonders attraktives Ziel darstellen. Auf dieses Prinzip der zertifikatsbasierten Anmeldung stützen sich auch die Standards der FIDO-Allianz (Fast IDentity Online). Hier sind jedoch noch die Webseitenbetreiber und Anwendungsentwickler gefordert, denn nur wo ein passwortloser Login angeboten wird, können die User auch darauf umstellen. Als ideale Authentifizierungskomponente für die Umsetzung hat sich das Smartphone erwiesen: Jeder Anwender besitzt eines und die Geräte erfüllen höchste Sicherheitsansprüche an die Zertifikatsspeicherung, also die Speicherung des zur eindeutigen Identifizierung erforderlichen privaten Schlüsselmaterials. Damit ist eine hochsichere Authentifizierung an PC-Systemen wie auch an Webanwendungen möglich.
Schon bald nach der Einführung von passwortlosen Logins werden Unternehmen neben der größeren Mitarbeiterzufriedenheit und höheren IT-Sicherheit einen weiteren Effekt spüren: die Entlastung ihres Helpdesk. Denn wo sich Anwender kein Kennwort mehr merken müssen, können sie es auch nicht mehr vergessen, was zwangsläufig zu einer geringeren Anzahl von Password-Reset-Requests führt. Vielleicht ist es am Ende die damit verbundene Kostenersparnis, die Unternehmen den entscheidenden Schub gibt, Passwörter zu eliminieren.