Passwortlos sicher und komfortabel arbeiten

Autor: Jochen Koehler

Passwörter sind aus Sicherheitsgründen immer problematisch. Obwohl diese Gefahr bekannt ist, setzen immer noch viele Unternehmen bei der PC-Anmeldung auf einen Login mit Benutzername und Passwort. Dieser Prozess ist nicht nur unsicher, sondern auch wenig benutzerfreundlich. Dabei gibt es schon längst passwortlose Alternativen, die einfach, sicher und komfortabel sind.

Jochen Koehler leitet die Region Zentraleuropa bei HYPR in Heilbronn. (Quelle: HYPR)

80 Prozent aller Sicherheitsvorfälle gehen auf gestohlene, ausgespähte oder zu schwache Passwörter zurück. Eine hohe Sicherheit bietet eine passwortbasierte Authentifizierung also nicht. Auch für den Anwender ist der Passwortzwang nicht gerade komfortabel, zumal er sich in der Regel nach der initialen PC-Anmeldung an weiteren Unternehmenssystemen mit zusätzlichen Kennwörtern authentifizieren muss – ganz zu schweigen von den erforderlichen Multi-Faktor-Anmeldeprozessen bei unterschiedlichen Cloud-Diensten. Auch der Verwaltungsaufwand für die IT ist beträchtlich. So wird gerade der IT-Helpdesk bei vergessenen Kennwörtern, System-Lockouts oder fehlgeschlagenen Änderungsprozeduren von Mitarbeitern sehr oft und arbeitsintensiv in Anspruch genommen.

Unternehmen sollten deshalb über Alternativen nachdenken, und zwar über Lösungen, die eine hochsichere und anwenderfreundliche passwortlose Anmeldung versprechen. Allerdings müssen solche Lösungen auf eine „echte“ Passwortlosigkeit hin überprüft werden, denn nicht alles, was als passwortlos angeboten wird, kommt auch wirklich ohne Passwort aus. Ein Beispiel dafür wären sogenannte Authenticator-Programme, die einen Zugriff auf Applikationen ohne explizite Passworteingabe ermöglichen. Dass sich auch dahinter in der Regel eine passwortbasierte Anmeldung verbirgt, die vor Angreifern nur bedingt schützen kann, ist oftmals nicht bekannt. Im Backend existieren weiterhin Passwörter als „Shared Secrets“, also Credentials, die etwa in einer Datenbank gespeichert sind. Solche Verzeichnisse sind aus Sicherheitsgründen immer problematisch, da ein Zugriff Hackern vielfältige Angriffsmöglichkeiten bietet.

Echte Passwortlosigkeit braucht kein Kennwort im Backend

Eine echte Passwortlosigkeit hingegen ist nur dann gegeben, wenn auch im Backend keine Kennwörter oder PINs vorhanden sind. Hier kommen vor allem Lösungen ins Spiel, die auf einem Public-Key-Verschlüsselungsverfahren basieren. Passwörter werden dabei durch sichere kryptografische, asymmetrische Schlüsselpaare ersetzt. Damit sind Hackerangriffe auch nur auf einzelne Personen und Geräte denkbar, nicht aber auf eine Datenbank mit zahlreichen Anmeldeinformationen.

Solche Lösungen für die passwortlose Anmeldung sind auch keine neue Entwicklung, sondern schon seit Langem verfügbar. So können sich Anwender mittels Smartcards und Public-Key-Kryptografie an PC-Systemen sicher authentifizieren. Diese Möglichkeit wird aber in den wenigsten Unternehmen genutzt, vor allem aus Kostengründen. Schließlich sind dafür spezifische Endgeräte mit adäquaten Kartenlesern erforderlich.

Aber die Entwicklung ist nicht stehen geblieben. Dank neuer Technologien und Standards können heute auch Smartphones als Smartcard genutzt werden. Sie ermöglichen Anwendern eine denkbar einfache und gleichzeitig den höchsten Sicherheitsvorgaben entsprechende Anmeldung am PC.


How It Works


Die Lösung HYPR True Passwordless MFA vereinfacht den Anmeldeprozess am PC. Der Prozess vom Login bis zur Zugriffsgewährung im Überblick. (Quelle: HYPR)

Das Smartphone als Smartcard

Wie bei Smartcards auch basiert eine Smartphone-Lösung für die passwortlose Anmeldung auf einem Public-Key-Verschlüsselungsverfahren. Die zur Authentifizierung erforderlichen Schlüsselpaare werden für jeden Anwendungsfall individuell generiert. Dabei verbleiben die privaten Schlüssel jederzeit auf dem mobilen Gerät des jeweiligen Benutzers. Sie sind sicher gespeichert auf der Hardwareebene, das heißt in der TrustZone – bei Apple iOS in der Secure Enclave und bei Android im Trusted Execution Environment. Die öffentlichen Schlüssel werden in einer solchen Lösungsumgebung auf einem passwortlosen Authentifizierungsserver abgelegt. Die Registrierung eines neuen Users und Gerätes kann mit diesem Lösungsmodell in rund 30 Sekunden durchgeführt werden. Für die autorisierten Mitarbeiter startet dann die Authentifizierung in Sekundenbruchteilen am Anfang des PC-Logins. Damit ist auch ein Schutz vor potenziellen Angriffen zum frühestmöglichen Zeitpunkt gewährleistet.

Derartige Lösungen, die die Verwendung von Shared Secrets wie Passwort, PIN, SMS-Code oder OTP (One-Time-Password)-Token durch eine Public-Key-Kryptografie ersetzen, sind durchaus verfügbar. Allerdings sollte die Einführung einer passwortlosen Lösungsarchitektur nicht dazu führen, dass ein neues Silosystem entsteht oder vorhandene Lösungen wie Identitätsplattformen nicht weiterverwendet werden können. Das heißt: Interoperabilität ist eine Grundanforderung. Eine passwortlose Authentifizierungslösung muss sich flexibel und nahtlos in bestehende Systeme wie Identity-Access-Management-Lösungen oder Cloud-Dienste einbinden lassen.

Die passwortlose Zukunft hat bereits begonnen. Im Consumer-Bereich geben Unternehmen wie Apple, Google oder Microsoft hier die Richtung vor. Unternehmen müssen sich somit die Frage stellen, ob sie auf Dauer auf eine passwortlose Lösung verzichten können, da die Anwender auf Basis ihrer positiven Erfahrungen im privaten Umfeld auch neue Anforderungen an die Firmen-IT stellen werden. Sie werden vermutlich auf lange Sicht nicht mehr akzeptieren, dass sie mit zahlreichen Anmeldemethoden konfrontiert sind, die immer komplexer und inkonsistenter werden und sich negativ auf ihre Produktivität auswirken. Eine flexible passwortlose Authentifizierungslösung, die problemlos in vorhandene Systeme integrierbar ist, bietet hier eine deutliche Prozessoptimierung. Und davon profitieren nicht nur die Mitarbeiter, sondern in letzter Konsequenz vor allem auch das gesamte Unternehmen.