Ein Handbuch zur passwortlosen Anmeldung

Die meisten Benutzer bzw. Mitarbeiter, Partner und Kunden finden Passwörter äußerst lästig. Zudem sind Passwörter sind nicht gerade besonders gut für den Schutz von Ressourcen geeignet! Als IT-Verantwortlicher ist Ihnen die Thematik der Maximierung von Sicherheit bei gleichzeitiger Minimierung von Reibung für Nutzer sicherlich bekannt. Dies lässt sich mit vielen unterschiedlichen Strategien bewerkstelligen, aber wahrscheinlich kann keine Sicherheitsinitiative die Balance effektiver herstellen, als die passwortlose Authentifizierung.

Es ist allerdings nicht so einfach, diese einzuführen.

Trotz der eindeutigen Vorteile und der zahlreichen Anwendungsfälle für eine passwortlose Anmeldung, ist das Gesamtkonzept eines vollständigen Verzichts auf Passwörter ein komplexer Vorgang, der viele Fragen aufwirft. Was genau bedeutet es genau, sich ohne Passwörter zu authentifizieren? Ist das weniger sicher? Wie funktioniert das überhaupt?

Lesen Sie weiter, wenn Sie der passwortlosen Authentifizierung auf die Spur kommen und herausfinden wollen, wie Sie mit ihrer Hilfe den Benutzerkomfort und auch Ihre gesamte Sicherheitslage verbessern können.

Obwohl die meisten von uns an Passwörter gewöhnt sind, betrachten wir sie doch eher als ein notwendiges Übel und darüber hinaus bergen sie mehr Risiken, als man akzeptieren kann. Erstens sind die meisten Passwörter leicht zu stehlen oder zu erraten. Der Verizon Data Breach Investigations Report 2020 bestätigt dies und stellt fest, dass es sich bei 80% der Datenschutzverletzungen im Jahr 2020 um Brute-Force-Angriffe oder die Folgen von verlorenen oder gestohlenen Zugangsdaten handelte.

Trotz aller Bemühungen, das Bewusstsein für die Passwortsicherheit zu stärken und die Richtlinien zu verschärfen, halten sich ungeeignete und riskante Passwortpraktiken. Ein einzelner Benutzer hat schätzungsweise durchschnittlich 100 Passwörter zu verwalten, und diese Zahl könnte sich bis 2023 sogar verdoppeln. Infolgedessen verwenden viele Menschen weiterhin eher schwache Passwörter, unter anderem auch mehrfach, oder sie halten an ungeeigneten Gewohnheiten fest, wie z. B. das Aufschreiben von Passwörtern auf Klebezetteln.

Unternehmen versuchen diesen Tendenzen entgegenzuwirken, indem sie ihre Benutzer zur Verwendung komplexer Passwörter und zu häufigeren Passwortänderungen nötigen. Das Problem wird dadurch jedoch nur noch verschärft, denn damit steigt die Wahrscheinlichkeit, dass die Benutzer ihre Passwörter aufschreiben, dasselbe Passwort für mehrere Websites verwenden oder sie einfach komplett vergessen. Dies kann auch die Produktivität untergraben, da sowohl die Benutzer als auch die Administratoren gezwungenermaßen mehr Zeit und Mühe für die Passwortpflege aufbringen müssen.

Dies ist der Punkt, an dem die passwortlose Authentifizierung ins Spiel kommt.

Es gibt verschiedene Ansätze, die passwortlose Authentifizierung zu erklären, die allgemein akzeptierte Definition ist jedoch, dass es sich um eine Methode zur Authentifizierung von Nutzern handelt, bei der neben dem Passwort ein alternativer Faktor verwendet wird. Dabei kann es sich z.B um einen Daumenabdruck oder Gesichts-Scan, um einen Sicherheitsschlüssel oder einen per E-Mail oder Textnachricht erhaltenen Einmalpasscode handeln.

Die meisten Menschen sind bereits mit der Benutzererfahrung der passwortlosen Authentifizierung vertraut, die Schwierigkeit liegt jedoch bei der Implementierung. Die Umstellung auf eine passwortlose Anmeldung muss in mehreren Schritten erfolgen, damit Ihr Unternehmen sie effizient umsetzen kann.

Ein Passwort ist ein Wissensfaktor, d. h. etwas, das Sie kennen. Das Problem, wenn man sich allein auf einen Wissensfaktor verlässt, ist, dass er gestohlen, weitergegeben, verschiedentlich verwendet und missbraucht werden kann und auch anderweitigen Risiken ausgesetzt ist. Die passwortlose Authentifizierung hingegen stützt sich zum Zweck stärkerer Gewissheit auf einen Besitzfaktor (etwas, über das ein Nutzer verfügt) oder auf einen inhärenten Faktor (etwas, das ihn kennzeichnet).

Der Verzicht auf Passwörter bedeutet eine stärkere Sicherheitslage

Verlorene und gestohlene Passwörter haben seit jeher die Sicherheit gefährdet. Das Ersetzen der Passwörter durch Sicherheitsfaktoren, die mehr Sicherheit bieten, macht den Weg zum Erfolg für Angreifer schwerer und kostspieliger. Wenn fortschrittliche Authentifizierungsmechanismen wie das Nachverfolgen von Risikosignalen und die Vertrauenswürdigkeit von Geräten hinzukommen, erzielen Sie noch mehr Sicherheit bei der Anmeldung.

Der Verzicht auf Passwörter sorgt für bessere Benutzererfahrungen

Passwörter sind mit verschiedenen Nachteilen für die Benutzerfreundlichkeit verbunden, die sich in schlechten Online-Erfahrungen niederschlagen. Wenn sich Ihr Kunde oder Mitarbeiter beispielsweise nicht mehr an sein Passwort erinnern kann, besteht die Gefahr, dass er den Kauf abbricht oder einen Vorgang nicht wie beabsichtigt beendet, um sich nicht durch den Prozess der Passwortwiederherstellung zu quälen. Wenn Sie Ihren Nutzern eine passwortlose Authentifizierung anbieten, müssen diese keine Passwörter mehr erstellen, verwalten und sich daran erinnern.

Die passwortlose Authentifizierung fördert die Mitarbeiterproduktivität

Durch das allmähliche Abschaffen von Passwörtern schwindet auch die Notwendigkeit von Passwortrücksetzungen. Bereits diese Umstellung kann zu einer maßgeblichen Steigerung der Produktivität führen, da die Mitarbeiter weniger Zeit von Ihren Systemen ausgesperrt sind. Mit bequemeren und sichereren Authentifizierungsoptionen erhalten Ihre Benutzer einen schnelleren und einfacheren Zugang zu Ressourcen und sind weniger frustriert.

Einloggen ohne Passwörter senkt die Kosten

Die passwortlose Authentifizierung entlastet Ihren IT-Helpdesk, da sie Anfragen zur Passwortrücksetzung und die damit verbundenen Kosten minimiert oder ganz eliminiert. Wenn Sie modernere Methoden für die passwortlose Anmeldung einführen, können Sie zudem die teuren Token und Karten der Zwei-Faktor-Authentifizierung durch günstigere Push-Benachrichtigungen ersetzen oder eine bereits in den Smartphones der Benutzer eingebettete biometrische Authentifizierungs-Technologie nutzen.

Die Antwort lautet: Nein! Die Multi-Faktor-Authentifizierung steigert das Vertrauen in die verlässliche Feststellung von Benutzeridentitäten, indem ein zusätzlicher Authentifizierungsfaktor für die Zugriffsgenehmigung abgefragt wird. Sie verursacht allerdings auch zusätzliche Reibung, weil ein weiterer Schritt notwendig ist. Im Gegensatz dazu beruht die passwortlose Authentifizierung immer noch auf nur einem Faktor und umgeht das Passwort vollständig. Wenn beim Authentifizierungsprozess mehrere Faktoren ohne Passwort zum Einsatz kommen, dann handelt es sich um eine passwortlose MFA.

Ja! Die kennwortlose Authentifizierung ist prinzipiell sicherer als eine passwortbasierte Authentifizierung, weil Sie Ihnen ermöglicht, das Verwenden und Speichern von Passwörtern durch Authentifizierungsmechanismen zu ersetzen, die mehr Sicherheit bieten.

Identitätslösungen wie beispielsweise PingOne for Workforce und PingOne for Customers unterstützen FIDO2, den ersten offenen Identitätsstandard, der speziell für die passwortlose Authentifizierung geschaffen wurde. FIDO2 arbeitet mit der asymmetrischen Kryptographie (oder Public-Key-Kryptographie) und bietet damit die sicherste Methode der passwortlosen Authentifizierung. Die Zugangsdaten verlassen weder das Gerät des Benutzers, noch werden sie je auf einem Server gespeichert und sind somit nicht durch Phishing, Passwortdiebstahl oder Replay-Angriffe bedroht. Die passwortlose Authentifizierung unterstützt zudem den Einsatz ausgefeilter Technologien zur Erkennung von Bedrohungen und zur Risikominimierung, um die Sicherheit weiter zu verstärken.

Welche Authentifizierungsmethode eignet sich am besten für den Verzicht auf Passwörter?

Bei der Wahl der am besten geeigneten Authentifizierungsfaktoren für Ihre Anwendungsfälle für die passwortlose Anmeldung, sollte man die Vor- und Nachteile dieser Faktoren kennen.

Wissensfaktoren: Etwas, das man weiß

Beispiele: ein Passwort, ein PIN-Code oder der Name Ihres ersten Haustiers

• Pros: Sie können problemlos implementiert werden


• Contra: Sie können vergessen oder gestohlen werden


Besitzfaktoren: Etwas, das man hat

Beispiele: Ihr Smartphone, ein RSA-Schlüssel, Ihr E-Mail-Konto oder ein FIDO Authentifikator

• Pros: Die meisten können remote nicht entwendet werden


• Contra: Bei Defekt oder Verlust ist eine Alternative nötig


Inhärente Faktoren: Etwas, das man ist

Beispiele: biometrische Faktoren wie Gesichtserkennung, Fingerabdruck-Scan, Stimmabdruck, EKG

• Pros: Kann nicht vergessen werden


• Contra: Eingeschränkte Zugänglichkeit aufgrund der Abhängigkeit von Geräten und Fähigkeiten

Angesichts der Bandbreite der verfügbaren Authentifizierungsoptionen fragen Sie sich vielleicht, wie Sie Sicherheit, Benutzerfreundlichkeit und Kosten für die passwortlose Anmeldung bei Ihren Anwendungen ins Gleichgewicht bringen können. Für den Anfang empfehlen wir eine Überprüfung der verschiedenen Anwendungen, die Sie verwenden, eine Bestimmung ihrer Sicherheitsanforderungen und das Festlegen der Benutzergruppen, die Zugang zu diesen Anwendungen haben sollten. Anschließend können Sie mit den Entwerfen von Szenarien für den Zugriff auf die Anwendungen fortfahren und für jede einzelne die beste Authentifizierungsmethode festlegen.

Bei der passwortlosen Authentifizierung geht es vor allem darum, die Datensicherheit zu gewährleisten oder zu verbessern, indem Passwörter ganz oder teilweise überflüssig gemacht werden.

Damit dies funktioniert, müssen Sie in der Lage sein, weitere Attribute eines Benutzers zu erfassen, wie z. B. einen Fingerabdruck oder eine Gerätekennung, damit Sie seine Identität überprüfen können, ohne die Sicherheit zu beeinträchtigen. Außerdem müssen Sie bei Ihren Überlegungen die Geräte der Benutzer und die verschiedenen Szenarien für deren Authentifizierung miteinbeziehen.

Ein typischer Prozess beginnt mit der Ermittlung der wichtigsten zu erfüllenden Geschäftsanforderungen und der Selektion von Erstbenutzern, um bereits in den Anfangsphasen der Bereitstellung ihr Feedback zu erhalten.

Die obige Abbildung zeigt einen vierstufigen Prozess für die Implementierung der passwortlosen Authentifizierung aus der Perspektive von Ping Identity, angefangen mit der zentralisierten adaptiven Authentifizierung bis zum endgültigen Zero Login (vollständig passwortlose Anmeldung). Es gibt allerdings kein allgemeingültiges Konzept für die passwortlose Authentifizierung: Ihre Implementierung wird möglicherweise von diesem Prozess abweichen, insofern sie von Ihren spezifischen Anwendungen, Benutzerpopulationen und Geschäftsanforderungen abhängt. Lesen Sie das Whitepaper, wenn Sie mehr darüber erfahren möchten, wie Sie Ihren Weg zur passwortlosen Anmeldung gestalten können.

Passwortlose Anmeldung – Anwendungsbeispiel 1: Zugriff auf Ressourcen für Mitarbeiter

Ein gängiger Anwendungsfall für die passwortlose Anmeldung ist der schrittweise Verzicht von Passwörtern auf der Grundlage des Benutzerverhaltens. Wenn sich der gleiche Benutzer jeden Tag zur selben Zeit am selben Gerät anmeldet, lässt sich ein typisches Verhaltensmuster erstellen. Sofern der Benutzer dieses Muster beibehält, können Sie die Aufforderungen zur Eingabe eines Passworts bei der Authentifizierung systematisch zurückfahren.

Sie könnten den Benutzer zum Beispiel während der ersten Woche bei jeder Anmeldung ein Passwort eingeben lassen. Wenn das Verhalten des Benutzers gleichbleibend ist, können Sie die Passwortaufforderungen auf einmal täglich während des ersten Monats reduzieren. Wenn er sein typisches Verhalten nicht ändert, könnten Sie anschließend ab dem zweiten Monat eine Passworteingabe pro Woche anfordern.

Anwendungsbeispiel für die passwortlose Anmeldung Nr.2: Verbraucherzugriff auf Geschenkkarten-Guthaben

Geschenkkarten sind sehr beliebt und machen laut der National Retail Federation bis zu 27,5 Milliarden US-Dollar der Verkäufe von Feiertagsgeschenken aus. Aufgrund dieser Beliebtheit sind sie aber auch ein beliebtes Angriffsziel für Cyberkriminelle und andere Diebe. Obwohl die Übeltäter die Geschenkkarten auf viele Weisen stehlen und missbrauchen können, haben Einzelhändler ein verständliches Interesse daran, dass sie für die legitimierten Benutzer weiterhin so bedienerfreundlich wie möglich bleiben.

Hier bietet sich eine großartige Gelegenheit für den Einsatz der passwortlosen Authentifizierung. Fast alle Kunden müssen über ihr E-Mail-Konto gehen, um auf ihr Geschenkkarten-Guthaben zuzugreifen, korrekt? Eben dieses E-Mail-Konto könnte man auch dazu nutzen, um ein Einmalpasswort zur Autorisierung zuzusenden, wenn ein Kunde auf die Karte von einem neuen Gerät aus zugreift. Sie könnten den Kunden auch vorschlagen, dem neuen Gerät zu vertrauen und sich per Fingerabdruck über das Gerät zu verifizieren, damit sie sich nicht mehr erneut authentifizieren müssen.

Anwendungsbeispiel für die passwortlose Anmeldung Nr.3: Zugriff von Versicherungssachverständigen auf Unterlagen

In der Versicherungsbranche hat die Sicherheit einen sehr hohen Stellenwert. Sie sollten jedoch keine Sicherheitsmaßnahmen ergreifen, die so restriktiv sind, dass sie legitime Benutzer (wie z. B. den Schadensregulierer der Versicherung) daran hindern, auf die von ihnen benötigten Unterlagen und Schadenverlaufsdaten zuzugreifen.

Bei dieser Art von Anwendungsfall könnte eine Push-Benachrichtigung an eine telefonbasierte Authentifizierungs-App zum Einsatz kommen, die Fingerabdruck- oder Gesichtserkennung mit einem Backup-Faktor eines PIN-geschützten, variabel einsetzbaren FIDO Authentikatoren, wie z. B. einem YubiKey, kombiniert. (Weitere Informationen zu diesen Authentifizierungsmethoden erfahren Sie, wenn Sie das Webinar ansehen.)

Der Schadensregulierer kann sich über die Push-Benachrichtigung mit dieser Kombination einloggen. Wenn er sie nicht erhalten oder darauf antworten kann, steht ihm immer noch der YubiKey als eine Fallback-Authentifizierungsmethode zur Verfügung. Da der YubiKey ein FIDO Authentifikator ist und nicht an ein Smartphone oder Laptop gebunden ist, kann der Schadensregulierer mit einer PIN den Authentifikator entsperren und erhält auf diese Weise Zugang. Die Sicherheit ist gewährleistet ohne Beeinträchtigung der Produktivität.

Nachdem Sie nun die Anwendungsfälle und Vorteile der passwortlosen Anmeldung kennen, haben Sie vielleicht schon einige Ideen, wie Sie Ihre Sicherheitslage erhöhen, die Kundenzufriedenheit verbessern, die Produktivität Ihrer Mitarbeiter steigern und Ihre IT-Kosten senken können. Ping steht bereit, wenn Sie bereit sind, die nächsten Schritte auf Ihrem Weg zum passwortlosen System zu unternehmen.

Mit unseren bewährten passwortlosen Funktionen können Sie sofort und problemlos anfangen und das Passwortrisiko für Ihr Unternehmen langfristig reduzieren. Wir haben vier Schritte für Sie herausgearbeitet, mit denen Sie von Benutzernamen und Passwörtern zur Anmeldung ohne Dateneingabe und kontinuierliche Authentifizierung gelangen. Laden Sie jetzt unser Whitepaper herunter, wenn Sie mehr über die Entwicklungsskala für die passwortlose Anmeldung erfahren möchten.