Warum die passwortlose Authentifizierung tatsächlich funktionieren kann

Passwortlose Authentifizierung
Kommentare

Passwörter (und deren richtige Wahl) sind den meisten Internetnutzern ein Graus. Kein Wunder, denn idealerweise hat man für jede Seite ein anderes Passwort, das sich angesichts der empfohlenen Kombination aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen kaum jemand merken kann. Auch Passwort-Manager helfen da meist nur bedingt – und schon gar nicht gegen die Vergabe schwacher Passwörter. Stattdessen wäre eine passwortlose Authentifizierung doch ideal. Aber kann sie eigentlich funktionieren?

Dieser Frage ist zum Beispiel Craig Buckler nachgegangen und erklärt, wie sich eine Authentifizierung ohne Passwort umsetzen lässt – und wie man sie auch dem Auftraggeber schmackhaft machen kann.

Das Passwort-Problem

Im Prinzip werden seit dem Beginn des Webs die selben Authentifizierungsmethoden genutzt – und die bestehen in der Regel aus einer Kombination von Username oder E-Mail und dem Passwort. Was aber vielleicht vor Jahren noch ausreichend Schutz geboten hat, taugt angesichts der kontinuierlichen Weiterentwicklung der Technologien und immer kreativeren Angriffsversuchen von Cyberkriminellen mittlerweile nur noch wenig.

Stellen Sie Ihre Fragen zu diesen oder anderen Themen unseren entwickler.de-Lesern oder beantworten Sie Fragen der anderen Leser.

Dazu kommt, dass viele User immer noch zu sorglos mit ihren Passwörtern umgehen. So sind diese meist nicht besonders stark oder sicher, sondern bestehen aus einfach zu ratenden realen Worten oder gar dem typischen „123456“ oder „passwort“ als Kennwort zum Login. Ebenso verwenden viele User das gleiche Passwort auf mehreren Seiten, und oft sind auch Social-Media-Accounts wie Facebook mit dem Login verknüpft. Das ist ein großes Problem, denn wenn erstmal der Facebook-Account komprimiert wurde, ist der Weg zu anderen Konten im Netz meist nicht mehr weit. Dazu sagt Buckler:

Your single password is only as good as the security of the weakest system you use.

Passwortlose Authentifizierung: so funktioniert es

Um für mehr Sicherheit im Netz zu sorgen, gibt es bereits seit einiger Zeit verschiedene Ansätze, zum Beispiel die Zwei-Faktor-Authentifizierung. Sie kann beispielsweise über USB-Hardwaretoken, Token mit Display und einem Softwaretoken oder ein Tan-Verfahren erfolgen. Auch die Verwendung biometrischer Daten beim Login liegt immer mehr im Trend. Ganz ohne Probleme ist jedoch auch dieses Verfahren nicht, immerhin wird jeweils eine entsprechende Hardware erforderlich und auch die Implementierung lässt in Puncto korrekter Umsetzung meist noch zu wünschen übrig.

Buckler sieht darum bei der passwortlosen Authentifizierung einige Vorteile, sofern die Mehrheit der User über sichere Personal-Messaging-Accounts wie E-Mail und SMS verfügen. Applikationen können sich solche Systeme dann zu Nutze machen, indem User zum Login eine ID – zum Beispiel die E-Mail-Adresse – eingeben und dann eine Nachricht mit einem zeitlich in seiner Validität begrenzten Link erhalten. Ein Klick auf den Link dient zum eigentlichen Login:

In other words, the application creates a random, one-time password, and whispers it to the user whenever they need to access.

Die Vorteile eines solchen Verfahrens liegen dabei auf der Hand:

  • es ist für User einfacher zu nutzen
  • es ist sicherer
  • es ist kosteneffizient (weniger Code muss entwickelt und deployed werden; weniger Support-Anfragen bei Passwort-Problemen)

Einsatzmöglichkeiten für die passwortlose Authentifizierung gibt es viele. Vor allem bei Applikationen mit langen Time-out-Sessions bietet sie sich an, aber auch bei solchen, auf die eher selten zugegriffen werden muss. Dazu zählen zum Beispiel soziale Netzwerke, Foren, Content-Management-Systeme oder E-Commerce-Sites.

Bedenken sollte man aber, dass es nicht ganz einfach ist, bestehende Applikationen auf eine passwortlose Authentifizierung umzustellen. Am besten wird dabei zunächst sowohl der traditionelle Login über Username und Passwort und die passwortlose Authentifizierung parallel angeboten.

Und wie überzeugt man User?

Passwortlose Authentifizierung hat ein großes Problem: sie klingt für den User unsicher. Zudem ist sie noch nicht besonders verbreitet, dementsprechend kritisch sind viele Nutzer wenn es um eine solche Authentifizierung geht. Das ist nur wenig verwunderlich, denn eine Authentifizierung ohne Passwort nur über per E-Mail oder SMS versandte Links wirft vor allem die Frage auf, was passiert, wenn man den Zugriff auf selbige verliert. Immerhin kommt es immer häufiger vor, dass E-Mail-Accounts gehackt werden; Cyberkriminellen steht so dann schnell Tür und Tor für den Zugriff auf sämtliche Accounts offen, die per passwortloser Authentifizierung verwaltet werden.

Außer Acht gelassen werden sollte auch nicht die Dauer des Login-Prozesses. Zum einen verlängert die Versendung eines Links per E-Mail die Wartezeit, bis der User tatsächlich mit der gewünschten Aktion fortfahren kann, zum anderen sollte man nicht davon ausgehen, dass User automatisch ihren Spam-Ordner checken, wenn die Mail nicht wenige Sekunden später im Posteingang zu finden ist – auch, wenn explizit darauf hingewiesen wird.

Genau solche Probleme sollten darum bei der Implementierung einer passwortlosen Authentifizierung bedacht werden, damit am Ende keine allzu großen Abstriche bei der User Experience der Nutzer gemacht werden müssen. Auch eine detaillierte Information der User ist wichtig bei der Umstellung. Simple Instruktionen sind dabei hilfreich, um sie mit dem neuen Login-Verfahren vertraut zu machen.

Natürlich ist nicht gesagt, dass die passwortlose Authentifizierung überall Anklang finden wird. Trotzdem könnte sie für mehr Sicherheit im Web sorgen – und das ist angesichts der zunehmenden Anzahl an Angriffen von Cyberkriminellen sicher nicht der schlechteste Anspruch.

Aufmacherbild: One-time password ,e banking. Close up of token on table von Shutterstock / Urheberrecht: librakv

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -