Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Passwordless Authentication | Ping Identity
Basiswissen über Identität
Authentifizierung
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Expand All | Collapse All

Passwortlose Authentifizierung

 

Mit der passwortlosen Authentifizierung lässt sich die Identität eines Benutzers ohne die Verwendung eines Passworts überprüfen. Bei diesem Authentifizierungstyp handelt es sich nicht um eine bestimmte Technologie, sondern eher um ein Ziel oder ein gewünschtes Ergebnis.

 

Passwörter geraten immer mehr ins Hintertreffen, denn sie sind oft die schwächste Komponente beim Schutz digitaler Ressourcen. Abgesehen davon, dass es mühselig ist, sie sich zu merken, sie oft wiederverwendet werden und man sie häufig ändern muss, sind der Support und die Wartung von Passwörtern in vielen IT-Abteilungen nicht selten der größte Kostenfaktor.

 

Das Ersetzen der Passwörter durch Authentifizierungsfaktoren, die mehr Sicherheit bieten, macht Angreifern den Weg zum Erfolg schwerer und kostspieliger. Mit FIDO (Fast Identity Online), dem ersten offenen Identitätsstandard, der die passwortlose Authentifizierung unterstützt, verlassen die Benutzerdaten nie das Gerät und werden nicht auf einem Server gespeichert. Dies verringert die Anfälligkeit für Phishing, Passwortdiebstahl und Replay-Angriffe. Zusätzliche Authentifizierungsmechanismen wie das Tracking von Risikosignalen und vertrauenswürdige Geräte machen passwortlose Authentifizierungsmethoden noch sicherer.

 

Am allerwichtigsten ist aber wohl, dass die passwortlose Authentifizierung das Nutzererlebnis verbessert. Passwörter sind mit verschiedenen Nachteilen für die Benutzerfreundlichkeit verbunden, die sich in schlechten Online-Erfahrungen niederschlagen. Den meisten Nutzern fällt es oft wesentlich leichter, ihren Fingerabdruck abzugeben oder in ein Mikrofon zu sprechen, als sich Passwörter zu merken und sie nachzuverfolgen. Ein großer Teil des Authentifizierungsprozesses läuft im Hintergrund und vom Benutzer unbemerkt ab.

 


Wie funktioniert das?


Die passwortlose Authentifizierung liegt dann vor, wenn statt Passwörtern andere Authentifizierungsfaktoren für den Zugriff auf digitale Ressourcen verwendet werden. Einer oder mehrere der folgenden Faktoren können dabei zum Einsatz kommen:
 

  • Inhärente Faktoren
  • Besitzfaktoren
  • Magische Links

 

Beachten Sie, dass die passwortlose Authentifizierung nicht unbedingt dasselbe ist wie die Multi-Faktor-Authentifizierung (MFA). Bei der Multi-Faktor-Authentifizierung müssen Benutzer die Angaben über ihre Identität mit zwei oder mehr Faktoren belegen, wobei einer dieser Faktoren eine passwortlose Authentifizierungsmethode sein kann. Bei der passwortlosen Authentifizierung können die Benutzer zur Eingabe nur eines Faktors aufgefordert werden, der aber kein Passwort ist. Wenn bei der Authentifizierung mehr als ein passwortloser Faktor gefordert wird, bezeichnet man sie als passwortlose MFA. 
 

  • Inhärente Faktoren
    Inhärente Faktoren verwenden biologische Eigenschaften, wie beispielsweise Fingerabdrücke oder Netzhautscans, oder es werden Verhaltensmerkmale wie Sprachmuster und Cursorbewegungen verwendet, um die Identitäten der Nutzer verifizieren. Die charakteristischen Merkmale der Benutzer werden erfasst, in numerische Daten umgewandelt und mit den in einer Datenbank gespeicherten Daten verglichen. Bei Übereinstimmung mit den Daten in der Datenbank wird den Nutzern der Zugang zur digitalen Ressource gewährt. 

  • Besitzfaktoren
    In diesem Fall authentifizieren sich die Nutzer durch den Nachweis, dass sich ihr Gerät in ihrem Besitz befindet. Das System sendet einen Einmal-Passcode an das Gerät des Benutzers, und dieser gibt den Code ein, um sich beim System anzumelden. Public-Key-Verfahren, also kryptografische Schlüsselpaare mit öffentlichen und privaten Schlüsseln, können ebenfalls bei der Authentifizierung verwendet werden. Man kann sich einen öffentlichen Schlüssel wie ein Vorhängeschloss vorstellen und einen privaten Schlüssel als den Schlüssel, der es aufschließt. Die gesamte Kommunikation ist verschlüsselt und die privaten Schlüssel verlassen nie die Geräte der Benutzer. Damit verringert sich die Wahrscheinlichkeit, dass sie bei der Übertragung offenbart werden.

  • Magische Links
    Bei magischen Links geben die Nutzer ihre E-Mail-Adressen an, woraufhin ein eindeutiges Token oder ein Code erstellt und gespeichert wird. Das System sendet den Benutzern E-Mails mit URLs, auf denen diese eindeutigen Token oder Codes zu finden sind. Beim Klicken der Benutzer auf diese Links, werden das Token bzw. der Code vom Server überprüft und gegen ein langlebiges Token (oft als Browser-Cookie gespeichert) ausgetauscht. Auf diese Weise erhalten die Benutzer Zugang zur Ressource.
     

Anwendungsfälle für die passwortlose Authentifizierung


Es gibt eine Vielzahl von passwortlosen Authentifizierungsmethoden und -technologien und unendlich viele Möglichkeiten, sie zum Schutz digitaler Ressourcen einzusetzen und zu kombinieren. Einige Methoden lassen sich einfach implementieren und eignen sich möglicherweise für den Zugriff auf Ressourcen, die keine sensiblen Informationen enthalten, wohingegen die Implementierung anderer Methoden, die robuste Sicherheitsmechanismen bieten, kostspieliger ist. Kein Fall ist wie der andere.  


So werden beispielsweise in der Finanzbranche aufgrund der Sensibilität der Daten häufig passwortlose Authentifizierungsverfahren eingesetzt. In den folgenden beiden Anwendungsfällen werden verschiedene passwortlose Authentifizierungsmethoden für den Zugriff auf Kontoinformationen verwendet.
 

Anwendungsfall 1: Zugriff auf den Saldo einer Kunden-Geschenkkarte 


Um auf das Guthaben eines Geschenkgutscheins zuzugreifen, muss ein Einzelhandelsunternehmen ein neues Konto mit E-Mail-Adresse und Passwort anlegen. Wenn der Kunden zum ersten Mal mit einem Gerät seinen Kontostand abrufen möchte, geschieht folgendes:

  • Entweder schickt ihm das System einen Einmal-Passcode für die Autorisierung, den er angibt, um Zugriff zu erhalten,
  • oder das System bietet dem Kunden die Option an, das neue Gerät mit einem Fingerabdruck zu registrieren, mit dem er dann Zugriff erhält.

Anwendungsfall 2: Zugang zu den Akten von Versicherungsvertretern


Im Falle des Zugangs zu sensibleren Informationen können zusätzliche Sicherheitsmaßnahmen erforderlich sein. Wenn beispielsweise eine Versicherungsvertreterin Zugang zu den Unterlagen ihres Kunden benötigt, kann es sein, dass ihre Identität mit einer Reihe von passwortlosen Methoden authentifiziert wird.


Möglicherweise wird zur Authentifizierung eine Push-Benachrichtigung an eine telefonbasierte Authentifizierungs-App gesendet, die mit Fingerabdruck- oder Gesichtserkennung arbeitet.


Sollte diese Methode aus irgendeinem Grund nicht funktionieren, kann sie durch eine andere Authentifizierungsmethode, z. B. einen YubiKey, ersetzt werden. Da der YubiKey als FIDO-Authentifikator nicht an das Telefon oder den Laptop gebunden ist, könnte die Schadenssachverständige den Authentifikator mit einer PIN entsperren und auf diese Weise Zugang erhalten. Die Sicherheit wird ohne Beeinträchtigung der Produktivität gewährleistet.


Weitere Informationen zu den FIDO-Protokollen und ihrer Funktionsweise finden Sie unter FIDO (Fast Identity Online).
 

Ressourcen zu diesem Thema

Blog

   

Whitepaper
Passwortlose Authentifizierung

   

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.