Multi-Faktor-Authentifizierung: warum es Zeit für eine passwortlose Zukunft ist

Passwörter sind schwer zu merken und kosten Geld. Dabei sind selbst die stärksten unter ihnen nicht vor raffinierten Phishing-Attacken geschützt. Aber wie kann die Authentifizierung gleichzeitig funktional und sicher gelingen, wenn der Systemzugriff von überall und zu jeder Zeit möglich sein soll? Ist die passwortlose Multi-Faktor-Authentifizierung via FIDO2 & Co. eine Lösung?

In den letzten Jahren hat sich die Multi-Faktor-Authentifizierung (MFA) zu einer Authentifizierungsmethode entwickelt, die der primären Kennwortanmeldung noch einen weiteren oder mehrere Berechtigungsnachweise hinzufügt. Je nach Implementierung kann die MFA allerdings auch zu einer komplexeren Benutzererfahrung führen. Und da sie meist eben nicht ohne Passwort auskommt, bleibt dieses immer noch erhalten mit all seinen Nachteilen. Nicht bei jeder Anmeldung ist MFA tatsächlich implementiert.

Passwortmanagement kann aufwändig sein

IT-Teams versuchen zwar, das Passwortrisiko zu verringern, indem sie eine höhere Komplexität und häufige Änderungen verlangen. Jedoch kann diese Taktik auch die Support-Kosten in die Höhe treiben. Zudem sind die Benutzererfahrungen beim Zurücksetzen von Passwörtern nicht unbedingt die besten. Vor allem aber reicht dieser Ansatz nicht mehr aus, um den aktuellen Cyber-Security-Bedrohungen zu begegnen.

So wird die Notwendigkeit von Passwörtern mehr denn je in Frage gestellt. Und immer häufiger werden sie durch sichere, kennwortlose und gleichzeitig einfachere Authentifizierungsmethoden ersetzt.

Vorteile kennwortloser Multi-Faktor-Authentifizierung:

  • Verbessertes Benutzererlebnis
  • Schnellere Anmeldung an Geräten oder Applikationen
  • Weniger Passwortmanagement durch IT-Teams erforderlich
  • Geringere Wahrscheinlichkeit für erfolgreiche Phishing-Angriffe
  • Weniger Aufwand durch eventuelle Passwortverluste

Die kennwortlose Multi-Faktor-Authentifizierung ermöglicht vor allem die sichere Umstellung auf ein mobiles und Cloud-First-Unternehmen, was in Zeiten hybriden Arbeitens immer wichtiger wird. Benutzer können sich von überall und zu jeder Zeit mit Hilfe von Biometrie, Sicherheitsschlüsseln oder einem Hardware-Token für jeden Anwendungsfall (Hybrid-, Cloud-, lokale und Legacy-Apps) authentifizieren.

Wie funktioniert die passwortlose MFA?

Das Prinzip ist einfach: Der Nutzer identifiziert sich bei der passwortlosen Authentifizierung mit etwas, dass er besitzt oder ist (Hardware, Schlüssel, biometrisches Merkmal) und nicht mit etwas, dass er weiß (Passwort).

Dabei ist die passwortlose MFA im Grunde nichts anderes als eine Multi-Faktor-Authentifizierung, bei der auch der primäre Berechtigungsnachweis durch andere Methoden ersetzt wird. Statt einem Passwort kommen also biometrische Merkmale wie ein Fingerabdruck oder das Gesicht (FaceID), Sprachmuster, eine PIN oder eine Public/Private-Key-Kryptografie zum Einsatz.

So kann die kennwortlose Authentifizierung auf einem Verschlüsselungssystem mit einem öffentlichen und privaten Schlüssel basieren. Für ein sicheres Benutzerkonto wird über ein spezielles Tool ein solches Schlüsselpaar generiert, das nur zusammen gültig und nutzbar ist. Während der private Schlüssel auf dem lokalen Gerät gespeichert und mit einem der genannten Authentifizierungsfaktoren verknüpft ist, wird der öffentliche Schlüssel an das System übermittelt, bei dem der Nutzer ein Konto erstellen oder sich anmelden möchte und dort gespeichert. Die Anmeldung an sich erfolgt dann über ein Challenge/Response-Verfahren und digitale Signatur.

Passwortlose Technik: was ist der FIDO2-Standard?

FIDO2 (Fast Identity Online) ist ein neuer, passwortloser Sicherheitsstandard, der eine starke Authentifizierungslösung im Web realisiert. Die verwendete Zwei-Faktor-Authentifizierung basiert auf der Nutzung der oben beschriebenen Public/Private-Key-Kryptografie und externen Authentifikatoren (FIDO-Security Keys, Wearables, mobile Geräte, etc.) oder im Endgerät integrierten Modulen, die durch Biometrie oder Pin geschützt sind. Das Verfahren ist aus der Zusammenarbeit der nichtkommerziellen FIDO-Allianz (und dem World Wide Web Consortium (W3C) entstanden.

Im Kern kombiniert es das Client to Authenticator Protocol (CTAP) und den W3C-Standard WebAuthn, die zusammen eine sichere Multi-Faktor-Authentifizierung ermöglichen. Die Anwender können sich mit den genannten Authentifikatoren bei einer vertrauenswürdigen WebAuthn-Gegenstelle ausweisen. Während des gesamten Authentifizierungsvorgangs verlassen die verwendeten Faktoren wie Private Key, PIN, oder biometrische Merkmale das lokale Endgerät bzw. den Authentifikator nicht.

Ein erfolgreiches Projekt aus der Praxis

Folgend ein Beispiel, wie die Multi-Faktor-Authentifizierung in der Praxis funktionieren kann: Bei einer großen deutschen Massengutreederei haben wir eine bestehende lokale RSA SecurID Access Umgebung für 2-Faktor-Anmeldung mit Tokens um eine Cloud-Anbindung zu einer hybriden Lösung erweitert, die die Nutzung moderner Authentifizierungsfaktoren wie Push-Bestätigung und Biometrie möglich macht.

Aktuell wurden Microsoft Azure Applikationen, das Citrix ADC (NetScaler) Portal und Cisco Anyconnect VPN (Radius) in die Lösung integriert. Je nach Applikation und Risiko bestimmen Policies, welche Authentifizierungsfaktoren angefordert werden.

Der Kunde profitiert von der verbesserten Sicherheit sowie von geringerem Aufwand für Rollout der Tokens (Benutzer registrieren und verwalten ihre Devices), die Nutzer zusätzlich von erhöhtem Komfort. Es sind noch weitere Integrationen wie z. B. Windows Desktop Anmeldung geplant (auch passwortlos mit FIDO2 Keys).

Schaffen Sie ein passwortloses Ökosystem

Mittel- und langfristig bewegt sich die IT-Sicherheit also immer mehr in Richtung passwortlose Authentifizierung mit fortschrittlichen Vehikeln wie Biometrie, Hardware-Tokens und Public/Private-Key-Kryptografie. Dabei ermöglichen neue Standards wie Web Authentication API (WebAuthN) und Fast Identity Online (FIDO2) die passwortlose Multi-Faktor-Authentifizierung über alle Plattformen hinweg.

Im Idealfall entsteht ein passwortloses Ökosystem, das die organisatorischen Anforderungen an hohe Sicherheit und Datenschutz, Benutzerfreundlichkeit und Interoperabilität zwischen verschiedenen Geräten vereint. Dann müssen Endbenutzer sich nicht mehr mit komplexen Passwörtern rumschlagen. Und durch den verringerten Verwaltungsaufwand sinken auch die Kosten deutlich.

Wie Sie passwortlose Wege gehen

Sie sehen: Das Konzept der Multi-Faktor-Authentifizierung lässt sich auch ohne Passwörter realisieren – und das, ohne einen Riesenaufwand zu verursachen. Identifizieren Sie die Anwendungsfälle in Ihrem Unternehmen, die zukünftig ohne Kennwort auskommen sollen und implementieren Sie Ihr Tool-Set für eine starke Multi-Faktor-Authentifizierung. Sorgen Sie auch dafür, dass das Vertrauen aller Stakeholder in die kennwortlose Authentifizierung steigt.

Im Grunde geht es darum, ein passwortloses Erlebnis zu schaffen, das so einfach und sicher ist, dass man nicht mehr darauf verzichten möchte. Fragen Sie uns –gerne unterstützen wir Sie dabei!

Schauen Sie sich den Fachvortrag unseres Cyber-Security-Experten, Michael Simon, zum Thema „Passwortlose Authentifizierung und biometrisch basierte Multi-Faktor-Authentifizierung“ an.

Zum Video

Diesen Beitrag kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.