Einkäufe, Behördengänge oder Bankgeschäfte online zu erledigen ist komfortabel und wird von viele Nutzern geschätzt. Einziger Wermutstropfen: Zum Einloggen in die dafür notwendigen Accounts ist ein Passwort nötig. Doch Passwörter sind nicht nur unbequem bei der Eingabe, sondern werden auch häufig vergessen. Mit der Folge, dass die Nutzer sie umständlich neu anfordern und vergeben müssen. Zudem besteht das Risiko, dass die Passwörter in falsche Hände gelangen. Abhilfe kann die passwortfreie Authentifizierung schaffen. Doch was verbirgt sich dahinter und ist sie wirklich sicher?
Damit kein Unbefugter den Zugriff auf einen Online-Account erhält, müssen Benutzer ihre Identität beim Zugriff auf ihre Konten mittels der Anmeldedaten nachweisen. Die gängigste Methode der Benutzer-Authentifizierung ist die Kombination eines Benutzernamens mit einem Passwort. Es kann sich aber auch um eine PIN oder eine Passphrase handeln. Diese Verfahren setzen auf den Wissensfaktor – das heisst, der Benutzer muss nachweisen, dass er ein Geheimnis kennt, um sich zu authentisieren. Allerdings ist diese Art der Authentifizierung nicht unproblematisch. Denn woher wissen der Nutzer oder der Anbieter, bei dem er sich mit seinem „Geheimnis“ authentifiziert, dass dieses auch wirklich keinem unbefugten Dritten bekannt ist?
Passwörter sind aus mehreren Gründen eine Achillesferse der IT-Sicherheit. Einerseits machen es sich viele Nutzer einfach und verwenden Passwörter, die leicht zu knacken sind oder nutzen ein Passwort direkt für mehrere Accounts. Kriminelle können dann ganz bequem etwa durch Methoden wie das Credential Stuffing in Nutzerkonten eindringen und grossen Schaden anrichten. Andererseits hat der Nutzer keine Kontrolle darüber, ob sein „Geheimnis“ beim Anbieter wirklich sicher ist. Schliesslich kommt es immer wieder zu Hacker-Angriffen auf Unternehmensserver, bei denen in grossem Umfang Passwörter erbeutet werden. Gerade Passwörter, die mehrere Konten sichern, werden dann zu einem Problem, weil die Cyber-Kriminellen so auf viele Accounts Zugriff erhalten.
Möglichkeiten passwortloser Authentifizierung
Im Unterschied zur passwortbasierten Authentifizierung gründet die passwortfreie Variante nicht auf Passwörtern oder anderen gespeicherten Geheimnissen, also dem Wissensfaktor, um die Identität eines Benutzers zu überprüfen. Stattdessen erfolgt die eindeutige Verifizierung mit Verfahren, die auf den Besitzfaktor setzen. Das kann zum Beispiel sein: ein registriertes Mobilgerät, ein Hardware-Token oder ein inhärenter Faktor wie etwa die biometrische „Unterschrift“ einer Person, also der Fingerabdruck, die Iris oder das Gesicht.
Es gibt verschiedene Technologien, die passwortlose Authentifizierung zu ermöglichen.
Magischer Link per E-Mail
Es wird ein sogenannter magischer Link per Mail an den User verschickt, damit er sich einloggen kann. Dies ist allerdings eine unsichere Variante, da auch ein E-Mail-Account gehackt sein kann.
Mobiler Authenticator und FIDO
Für die Anmeldung ist die Bestätigung einer Abfrage des auf dem Smartphone installierten Authenticators, auch Authentisierungs-App genannt, erforderlich. Diese Variante ist sehr sicher.
Wie funktionieren Mobile Authenticator und FIDO?
Als Mobile Authenticator wird eine mobile Anwendung bezeichnet, die auf dem Smartphone des Users installiert ist. Sie nutzt zur Authentifizierung das Hardware-Sicherheitsmodul des Smartphones. Für die Sicherheit und Interoperabilität kommt dabei FIDO (Fast Identity Online) zum Einsatz. Hinter FIDO verbirgt sich ein Set von Standards für eine schnelle, einfache und sichere Authentisierung. Sie funktioniert auch im Rahmen einer Zwei-Faktor-(2FA-) oder Multi-Faktor-(MFA)-Authentifzierung.
Insbesondere der FIDO 2-Standard spielt bei der Authentisierung mittels moderner PCs und Mobilgeräte eine Rolle. Er wurde von der FIDO-Allianz zusammen mit dem W3C (World Wide Web Consortium) entwickelt und nutzt den W3C-Web-Authentification-Standard (WebAuthn) sowie das Client to Authenticator Protocol (CTAP) der FIDO-Allianz.
Die Programmierschnittstelle WebAuthn ermöglicht eine direkte Kommunikation zwischen einer Anwendung im Webbrowser und einem Authentifizierungsmittel - beispielsweise einem Mobile Authenticator auf dem Smartphone des Nutzers. Das Kommunikationsprotokoll CTAP regelt dabei die sichere Interaktion zwischen der Anwendung und dem Authentifizierungsmittel.
Bei der Authentisierung via Mobile Authenticator wird über den im Mobilgerät verbauten Krypto- oder TPM-Chip (Trusted Platform Module) sichergestellt, dass nur berechtigte User auf ein Online-Konto zugreifen können. Der geheime Sicherheitsschlüssel auf dem Chip kann weder ausgelesen noch geknackt oder kopiert werden. Er wird nur vom Authenticator verwendet, um diesen zu entsperren.
Ein Authenticator kann unterschiedliche Verifizierungsmethoden für die Authentisierung benutzen. Besonders bequem für die User ist die biometrische Authentisierung via Fingerabdruck-Scan, Gesichts- oder Iris-Erkennung. Sie erfolgt mittels der biometrischen Sensoren, über die jedes moderne Smartphone verfügt. Und da das Mobilgerät heute in der Regel ein ständiger Begleiter ist, ist somit auch der Zugriff auf die Authentisierungs-App fast unbeschränkt möglich.
Die passwortlose Authentifizierung mittels einer Mobile Authenticator App und biometrischer Daten macht somit jeden Login-Prozess zu einem angenehmen Erlebnis für die Nutzer – und das lästige Merken sowie umständliche Eingeben von Passwörtern wird zum Relikt aus der Vergangenheit, das gerne in Vergessenheit gerät.