OpenText-Startseite.
Technische Themen

Was ist passwortlose Authentifizierung?

Illustration von IT-Elementen mit Schwerpunkt auf einer Glühbirne

Passwortlose Authentifizierung

Was bedeutet passwortlose Authentifizierung?

Bei der passwortlosen Authentifizierung wird die Identität einer Person ohne die Verwendung des typischen Claims (Benutzernamen) und des Passworts überprüft. Tools, die herkömmliche Anmeldedaten in eine Anmeldeaufforderung einfügen, sind nicht passwortlos.

Die gebräuchlichsten passwortlosen Authentifizierungsmethoden sind biometrische Verfahren wie Fingerabdruck- und Gesichtserkennung sowie Out-of-Band-Apps, wie sie auf Smartphones üblich sind. Diese Smartphone-Apps erfordern häufig eine biometrische ID-Verifizierung, bei der mehrere Faktoren in einem einzigen Authentifizierungsprozess kombiniert werden.

OpenText IAM unterstützt Ihr Unternehmen

OpenText™ Identity and Access Management (NetIQ) bietet ein umfassendes Angebot an Identitäts- und Zugriffsdiensten, die es Mitarbeitern ermöglichen, von überall, auf jedem Gerät, an jedem Ort und zur richtigen Zeit sicher auf Ressourcen zuzugreifen. OpenText Cybersecurity ermöglicht es Unternehmen außerdem, effektiv und sicher mit ihren Kunden zu interagieren.

Warum ist die kennwortlose Authentifizierung so beliebt?

Das Versprechen, dass die passwortlose Authentifizierung herkömmliche Anmeldeinformationen ersetzen kann, gibt es zwar schon seit über drei Jahrzehnten, aber die heute verfügbare Technologie hat es Wirklichkeit werden lassen. Im Jahr 2022 belief sich der Markt für passwortlose Lösungen auf 15,6 Mrd. US-Dollar, doch bis 2030 soll er auf über 53 Mrd. US-Dollar anwachsen. Ein großer Teil der heutigen passwortlosen Nutzung wird durch Smartphones ermöglicht. Der von OpenText in Auftrag gegebene Dark Reading Report "The State of Passwordless" berichtet, dass 64% der Befragten es für wichtig halten, zu einem vollständig passwortlosen Authentifizierungsmodell überzugehen.

In den letzten zehn Jahren war die Einhaltung staatlicher Auflagen die treibende Kraft für Unternehmen, passwortlose Technologien einzuführen:

  • Behördenund öffentliche Einrichtungen unterliegen jetzt besonderen Anforderungen an die Multifaktor-Authentifizierung. Diese Anforderungen begannen als Empfehlungen, wurden aber im Laufe der Jahre zu einer Politik. Die Richtlinien wurden zunächst als allgemeine Leitlinien eingeführt, entwickelten sich aber im Laufe der Zeit zu spezifischen Zwei-Faktor-Mandaten für den Zugang zu Verschlusssachen.
  • Verletzungen des Gesundheitswesens -Verletzungen des Gesundheitswesensin den USA und weltweit fügen Organisationen in diesem Markt mehr finanziellen Schmerz zu als in jedem anderen, selbst im Finanzsektor. Staatliche Einrichtungen haben darauf mit speziellen Anforderungen für passwortlose und Zwei-Faktor-Authentifizierung reagiert.
  • Finanzdienstleistungen - Währendstaatliche Vorschriften den Schutz privater finanzieller und persönlicher Daten von Kunden vorschreiben, ist die Aufrechterhaltung des Verbrauchervertrauens der Grund für die Notwendigkeit von Datensicherheit. Während Finanzdienstleistungen eine führende Rolle bei der Einführung der Multifaktor-Authentifizierung spielen, haben Smartphone-Plattformen die passwortlose Identitätsüberprüfung weiter vorangetrieben. 

Identitätsüberprüfung für die Belegschaft

In der Vergangenheit war die Verwendung passwortloser Technologien für die Sicherheit von Mitarbeitern auf spezielle Anwendungen und Benutzer beschränkt. Erst in den letzten zehn Jahren wurden die vier größten Hindernisse für die Einführung dieser Technologie beseitigt:

  1. Harte Token, unternehmenstaugliche Fingerabdruckleser und andere biometrische Geräte sind für den unternehmensweiten Einsatz nicht mehr zu teuer.
  2. Die Kosten für die Registrierung und die Einrichtung der Geräte, die früher für eine Masseneinführung unerschwinglich waren - insbesondere für Mitarbeiter an entfernten Standorten und in Büros, die zu klein sind, um einen IT-Support vor Ort zu rechtfertigen - sind jetzt erschwinglicher.
  3. Die fortlaufende Fernadministration von Authentifizierungsgeräten, die früher unmöglich war, wird nun zur Routine, wobei Fernrückstellungen und Neukonfigurationen zur Norm werden.
  4. Während die Sicherheitsteams, das Management und vor allem die Benutzer früher kein Vertrauen in passwortlose Technologien hatten, hat die jüngste Verbreitung von Anwendungsfällen eine Welle der Authentifizierungsmodernisierung und -planung ausgelöst.

Neben der Entwicklung der Geräte haben sich auch die Anwendungsfälle für die Authentifizierung und die damit verbundenen Anforderungen geändert, und zwar nicht nur aufgrund staatlicher Vorgaben.

Fernarbeit

Außendienstmitarbeiter greifen heute mehr denn je über mobile Plattformen auf private Informationen zu. In den letzten drei Jahren hat die Telearbeit nicht nur bei den "Road Warriors", sondern auch bei den Arbeitnehmern erheblich zugenommen. Während das Arbeiten von überall aus schon vor der Pandemie stetig zunahm, haben sich die neuen Richtlinien für die Telearbeit seitdem in allen Branchen durchgesetzt.

Cloud 

Strukturierte und unstrukturierte private Daten werden zunehmend in der Cloud und nicht mehr im Rechenzentrum gespeichert und abgerufen. Da der Einsatz von Rechenzentren, in denen Unternehmensdienste gehostet werden und die den Fernverkehr weiterleiten, drastisch abgenommen hat, werden Firewall-Sicherheitstechniken zunehmend irrelevant.

Persönliche Nutzung von Geräten

Die zunehmende Verbreitung von Bring-Your-Own-Device (BYOD) untergräbt die Sicherheitskontrolle weiter. Der Fernzugriff auf in der Cloud gehostete Ressourcen über BYOD verlagert die rudimentäre Abhängigkeit von verwalteten Geräten auf identitätsbasierte Sicherheit. Dieses Vertrauen führt zu einer erhöhten Anfälligkeit für Phishing- und andere Identitätsangriffe, die die Identitätsüberprüfung umgehen.

Die Abkehr von verwalteten Netzwerken, firmeneigenen digitalen Ressourcen (Dienste und unstrukturierte Daten) und Unternehmensgeräten bedeutet, dass sich Sicherheitsteams nicht mehr auf sie als Teil ihrer Strategie verlassen können. Stattdessen erfordert die Sicherheit auf der Grundlage der Identität eine verifizierte Strategie, die sehr widerstandsfähig gegen Betrüger ist. Und während die Akzeptanz der Multifaktor-Authentifizierung weiter zunehmen wird, erhöht die passwortlose Ein-Faktor-Authentifizierung die Sicherheitsstandards im Vergleich zu Benutzername und Passwort und vereinfacht gleichzeitig den Authentifizierungsprozess. Die Mitarbeiter genießen die Geschwindigkeit und den Komfort der Gesichtserkennung, des verifizierten Fingerabdrucks oder anderer passiver Erfahrungen. Gleichzeitig erhält das Unternehmen einen besseren Schutz vor Phishing - der bekanntesten Schwachstelle und Quelle von Sicherheitsverletzungen.

Umstellung der Verbraucher auf passwortlose Kommunikation

Das wichtigste Instrument für die passwortlose Nutzung ist das Smartphone. Mit ihrer enormen Rechenleistung in einem kleinen Paket sind sie für viele von uns unentbehrlich geworden und machen sie zu einer neuen Art des passwortlosen Spiels. Wir nutzen sie für alles - von SMS über soziale Medien bis hin zu Online-Shopping und Online-Banking. Wir machen sofort Fotos, suchen nach Wegbeschreibungen oder suchen nach Antworten.

Diese Abhängigkeit von Handheld-Computern hat zu einem nie dagewesenen Paradigmenwechsel bei der Authentifizierung geführt:

  • Die universelle Konnektivität ermöglicht eine Out-of-Band-Überprüfung der Identität einer Person während der Authentifizierung.
  • Die tragbare Rechenleistung kann Seeds und Schlüssel erzeugen, die als einmalige Pins fungieren.
  • Biometrische und passive Authentifizierungsmethoden werden sich mit der Weiterentwicklung der Smartphones weiterentwickeln, so dass die Verifizierung immer ausgefeilter werden kann.

Die Verbraucher werden sich immer mehr der Gefahren bewusst, die die herkömmliche Authentifizierung für sie mit sich bringt. Unternehmen erkennen diesen Wandel und sehen Möglichkeiten, ihre digitalen Dienste zu verbessern.

Wie sicher ist die passwortlose Authentifizierung?

Das Data Breach Team von Verizon hat Spear-Phishing als die von Kriminellen am häufigsten genutzte Methode zum Abfangen von Zugangsdaten identifiziert. Spear-Phishing wird eingeleitet, wenn der Angreifer eine E-Mail sendet, die scheinbar von einer vertrauenswürdigen Quelle stammt, z. B. von einer Bank, einem Kollegen oder einer anderen Quelle, die das Opfer auf eine gefälschte Website leitet. Diese Website erfordert eine Authentifizierung und verleitet die Opfer dazu, ihre Anmeldedaten, Kreditkartennummern oder andere private Informationen preiszugeben.

Eine Variante dieses Angriffs bietet einen Link an, der, wenn er angeklickt wird, Malware auf den Computern der Opfer installiert.

Die passwortlose Technologie ist gut geeignet, um sich gegen diese Art von Angriffen zu schützen. Bei Plattformen, die so konfiguriert sind, dass sie keine Kennwörter zulassen, kann keines durch Eingabe oder Tastenanschlagserfassung erfasst werden. Bei Plattformen, die neben der passwortlosen auch eine passwortlose Option anbieten, kann diese durch eine passwortlose Multifaktor-Authentifizierung verstärkt werden, z. B. durch etwas, das der Benutzer hat - wie ein Smartphone - oder etwas, das er ist - biometrisch.

Diese Abhängigkeit von Smartphones rückt deren Schwachstellen in den Vordergrund der Sicherheitsdiskussion. Unbeaufsichtigte mobile Geräte können in die Hände von Hackern und anderen Übeltätern fallen, die PINs, OTPs und Out-of-Band-Push-Genehmigungen abfangen und biometrische Daten so umgestalten können, dass sie zu ihnen passen. Auch der Diebstahl von SIM-Karten stellt ein SMS/OTP-Risiko dar. Selbst wenn die Nutzer vorsichtig sind, kann ihre Sicherheit verletzt werden, wenn Angreifer die Dienstanbieter dazu bringen, wichtige Informationen von legitimen SIM-Karten zu löschen und zu übertragen.

Auch wenn kein Unternehmen alle Bedrohungen abwehren kann, so schützt doch die Umstellung auf ein passwortloses Paradigma vor den häufigsten Bedrohungen. Selbst bei der Ein-Faktor-Authentifizierung erhöht der Verzicht auf die Eingabe von Anmeldeinformationen die Sicherheit. Es kann noch mehr getan werden, z. B. durch Anhebung der Sicherheitsstufen mittels risikobasierter Authentifizierung (RBA). RBA hat sich seit langem bewährt, um festzustellen, wann zusätzliche Schritte zur Überprüfung der Identität eines Nutzers erforderlich sind. Unternehmen können eine Zweitfaktor-Authentifizierung unter vordefinierten Bedingungen aufrufen, wie z. B.:

  • Wurde das Gerät schon einmal gesehen?
    • Geräte-Fingerprinting
    • Browser-Cookie
  • Befindet sich der Benutzer an dem Ort, an dem er sich aufhalten soll?
    • IP-Geolokalisierungsdienst
    • Geofencing (GSM)
  • Verhält sich der Benutzer wie erwartet?
  • Wie hoch ist das Risiko der Informationen?

Anhand solcher Kriterien können Organisationen bestimmen, wie viele Stufen der Identitätsüberprüfung erforderlich sind. Zum Beispiel wird für den Zugriff auf Informationen ein Fingerabdruck verlangt. Dennoch gibt es eine empfindlichere Untergruppe, die bei erhöhtem Risiko eine Multifaktor-Authentifizierung benötigt.

Leitfaden für Passwortlose Käufer

Ein praktischer Leitfaden zur Verringerung von Risiken und Reibungsverlusten bei der digitalen Identität.

Lesen Sie den Leitfaden für Käufer

Wie man sie umsetzt

Wie man passwortlose Authentifizierung implementiert

Die Implementierung einer passwortlosen Anmeldung erfordert mehr als nur die Abschaffung der Verwendung von Passwörtern - sie erfordert eine sorgfältige Gestaltung der Benutzerabläufe, die Auswahl starker Authentifikatoren und die Planung von Ausweichpfaden. Hier ist eine Roadmap (weitere Details finden Sie im OpenText Passwordless Buyer's Guide):

1. Definition von Sicherheitsstufen und Zuordnung von Anwendungsfällen. Beginnen Sie damit, Ihre Ressourcen nach Risikostufen zu klassifizieren (z. B. grundlegende Kontoinformationen vs. Finanzoperationen). Verwenden Sie Standards wie die Authentication Assurance Levels (AAL) des NIST, um zu entscheiden, wie stark Ihre Authentifizierung für jedes Szenario sein muss. Ordnen Sie dann jede Benutzeraktion (Anmeldung, Transaktion, Verwaltungsaktion) einer entsprechenden Sicherheitsstufe zu.

2. Wählen Sie die richtigen Authentifizierungsmethoden. Wählen Sie eine oder mehrere passwortlose Methoden aus, die Ihren Risiko-, Benutzerfreundlichkeits- und Kostenzielen entsprechen. Im Idealfall werden interoperable Standards (z. B. FIDO2), damit Sie anbieterunabhängig und plattformübergreifend bleiben. Die Optionen umfassen:

  • Hardware-Sicherheitsschlüssel/FIDO2/WebAuthn
  • Mobile Anwendungen mit Out-of-Band-Push oder TOTP
  • Biometrische Überprüfung (Fingerabdruck, Gesicht, Stimme)
  • Kontextbezogene/passive Faktoren (Gerätestellung, Geolokalisierung, Bluetooth)

3. Entwerfen Sie einen sicheren Registrierungsablauf. Die Bindung zwischen einem Benutzer und seinem Authentifikator ist entscheidend. Verifizieren Sie die Identität (z. B. über vorhandene Ausweise, Identitätsnachweise oder persönliche Kontrollen) und registrieren Sie dann den Authentifikator kryptografisch. Unterstützung mehrerer Authentifikatoren pro Konto (damit die Benutzer Backups haben) und die Möglichkeit, Methoden zu deaktivieren oder zu ändern.

4. Implementierung von Authentifizierungsabläufen. Für jede Interaktion (Anmeldung, Transaktion, Sitzungserneuerung):

  • Den registrierten Authentifikator des Benutzers herausfordern.
  • Verwenden Sie kryptografisch sichere Austauschverfahren (z. B. WebAuthn, CTAP).
  • Einbeziehung von Betrugs-/Risikosignalen (Gerätefingerabdruck, Standort, Verhalten) zur Anpassung der erforderlichen Stärke.
  • Öffnen oder eskalieren Sie nur bei Bedarf (blockieren Sie nicht den Zugang mit geringem Risiko).

5. Bereitstellung von Ausweich-/Wiederherstellungspfaden. Kein System ist perfekt. Benutzer können ihr Telefon oder ihren Schlüssel verlieren. Bieten Sie sichere Wiederherstellungsoptionen mit hoher Zuverlässigkeit (z. B. Identitätsüberprüfung, alternative Authentifikatoren oder Challenge-Response-Fallback) unterstützen, um den Zugang wiederherzustellen, ohne die Sicherheit zu schwächen.

6. Überwachung, Iteration und phasenweise Einführung. Beginnen Sie mit begrenzten Pilotgruppen oder unkritischen Pfaden. Überwachen Sie Benutzer-Feedback, Abbruchraten, Support-Tickets und Sicherheitsereignisse. Nutzen Sie diese Daten, um Ihre Abläufe zu verfeinern, die Risikoschwellen zu kalibrieren und die Abdeckung zu erweitern. Stellen Sie sicher, dass Protokollierung und forensische Spuren vorhanden sind, um Anomalien zu erkennen.

Häufig gestellte Fragen

Was bedeutet "passwortlose Authentifizierung"?

Passwortlose Authentifizierung bedeutet, dass Benutzer sich anmelden können, ohne sich Passwörter zu merken oder einzugeben. Stattdessen stützt sich die Authentifizierung auf kryptografische Anmeldeinformationen, die an ein Gerät (oder eine biometrische/ PIN) gebunden sind, um die Identität nachzuweisen.

Wie unterscheidet sich die passwortlose Authentifizierung von der Multifaktor-Authentifizierung (MFA)?

Bei MFA werden in der Regel zusätzlich zum Passwort weitere Prüfungen durchgeführt. Die passwortlose Authentifizierung verzichtet gänzlich auf Passwörter und verlässt sich ausschließlich auf stärkere Faktoren (Gerät, biometrische Daten oder Besitz) und mischt optional weitere Faktoren hinzu.

Welche Technologien oder Methoden ermöglichen eine passwortlose Anmeldung?

Zu den gängigen passwortlosen Ansätzen gehören:

  • Hardware-Sicherheitsschlüssel/FIDO2/WebAuthn
  • Biometrische Kontrollen (Fingerabdruck, Gesicht) oder Geräte-PIN
  • Mobile Push-Benachrichtigungen oder Apps
  • Magische Links oder einmalige Codes (wenn sie sicher gestaltet sind)

Ist passwortlos sicherer als Passwörter?

In vielen Fällen ist passwortloses Arbeiten sicherer als Passwörter - vor allem, wenn es richtig umgesetzt wird. Da es kein Passwort zu stehlen gibt, ist es resistent gegen die Wiederverwendung von Zugangsdaten, Brute-Force-Angriffe und viele Phishing-Angriffe.

Was passiert, wenn ein Nutzer sein Gerät verliert?

Sie sollten Ausweich- oder Wiederherstellungsoptionen einrichten, z. B. alternative Authentifikatoren, Schritte zur Identitätsüberprüfung oder vorregistrierte Wiederherstellungsmethoden, damit Benutzer wieder Zugriff erhalten können, ohne die Sicherheit zu beeinträchtigen.

Ist das passwortlose System schwer einzuführen oder teuer?

Der Verzicht auf Passwörter kann mit Vorlaufkosten verbunden sein (Infrastruktur, Benutzereinführung, Gerätebereitstellung), die jedoch häufig durch die geringeren Kosten für das Zurücksetzen von Passwörtern, die geringere Belastung des Helpdesks und das geringere Sicherheitsrisiko ausgeglichen werden.

Werden die Benutzer die passwortlose Nutzung als einfach empfinden?

Im Allgemeinen ja. Viele Nutzer finden biometrische oder push-basierte Methoden einfacher und schneller als Passwörter. Um Reibungsverluste zu vermeiden, sind jedoch Aufklärung der Nutzer und ein reibungsloser Ablauf unerlässlich.

Verwandte Produkte

OpenText™ Advanced Authentication (NetIQ)

Aktivieren Sie die kennwortlose und mehrstufige Authentifizierung

OpenText™ Access Manager (NetIQ)

Bieten Sie Single Sign-On und Zugangskontrolle für alle Ihre Plattformen.

OpenText™ Privileged Access Manager (NetIQ)

Sichern und kontrollieren Sie den privilegierten Zugriff zum Schutz kritischer Ressourcen

Identity and Access Management

Sichern Sie Ihre digitalen Ressourcen durch eine zuverlässige Verwaltung von Identitäten und Zugriff

Alle Produkte anzeigen

Wie können wir behilflich sein?