OneSpan Blog

Auf Nimmer-Wiedersehen Passwörter – die Zukunft gehört der passwortlosen Anmeldung

Authentifizierung - Markteinblicke
Sarah Van De Vyver, 18. Februar 2022
bye bye message in light box

„Goodbye passwords, it’s been nice!” Das summe ich, frei nach der Melodie eines berühmten Songs der britischen Rockband Supertramp, wenn ich die Entwicklung der Cybersecurity betrachte.

Passwörter oder Passphrasen gibt es schon seit der Römerzeit. Sie dienten stets dazu, um zwischen Freunden und Feinden zu unterscheiden. In der Gegenwart gibt es das Computerpasswort schon seit mehr als 6 Jahrzehnten. Passwörter waren  zwar nützlich, aber jetzt wird es Zeit, sich von ihnen zu verabschieden. Im Folgenden erfahren Sie, warum es so wichtig ist, Passwörter abzuschaffen, wenn Sie Ihre Sicherheit schützen wollen, und wie Sie von einer passwortlosen Anmeldung profitieren können.

Passwörter sind uralt

Einer der bekanntesten Passphrasen ist zweifellos Ali Babas „Sesam öffne dich!“, aber Passwörter wurden schon lange davor als Authentifizierungsfaktor verwendet. Das erste Computerpasswort, wie wir es heute kennen, geht auf das Jahr 1961 in Massachusetts zurück, als der erste Time-Sharing-Computer am MIT mit einem Passwort für die sichere Anmeldung versehen wurde. Übrigens war das Time-Sharing-System des MIT eines der ersten Systeme, bei denen eine Datenschutzverletzung stattgefunden hat. Die Verwendung von Passwörtern hat sich erweitert: Sie werden nicht mehr nur in akademischen Kreisen eingesetzt, sondern sind zur alltäglichen Form der Authentifizierung geworden. Ihre Schwächen wurden uns jedoch immer wieder schmerzhaft bewusst gemacht.

Passwords are Vulnerable to Account Takeover

Laut dem Data Breach Investigation Report 2020 von Verizon sind 81 % der Datenschutzverletzungen auf schlechte oder wiederverwendete Passwörter zurückzuführen. Im Bericht 2021 stellte Verizon fest, dass die meisten Social-Engineering-Verstöße zum Verlust von Anmeldeinformationen führen, die anschließend für Hacking- und Malware-Angriffe verwendet werden.

Seit der Covid-19-Pandemie ist die Cyberkriminalität durch bösartige Akteure rasant noch oben gegangen, und dies spiegelt sich in einem Anstieg der identitätsbezogenen Verluste wider. Nach Angabe von Javelin Strategy and Research in ihrer Studie zu Identitätsbetrug aus dem Jahr 2021, verursachte der Betrug durch Kontoübernahme („account take over“, ATO) im Jahr 2020 einen Gesamtschaden von über 6 Milliarden US-Dollar.

ATO beginnt oft mit Bot-gesteuerten Angriffen wie „Credential Stuffing“, dem Ausfüllen von Anmeldeinformationen mit zuvor gestohlenen Benutzeranmeldeinformationen und personenbezogenen Daten, um Zugriff auf Endbenutzerkonten zu erhalten.  Eine weitere erfolgreiche Technik sind Brute-Force-Angriffe. Mithilfe von Automatisierungstools und Bots versuchen Hacker, Passwörter zu erraten und so autorisierten Zugriff auf personenbezogene Daten und Bankkonten zu erhalten.

Wurde ein Konto erst einmal kompromittiert, können Betrüger Bankkonten leerräumen, auf Zahlungsinformationen zugreifen, um sie auf anderen Websites zu verwenden, oder andere betrügerische Aktivitäten durchführen.

Warum Passwörter abschaffen?

Das Passwort hat zwar eine lange Geschichte, aber keine Zukunft. Die passwortlose Anmeldung wird immer beliebter - nicht nur, weil Passwörter Schwachstellen für eine Vielzahl von Angriffen bieten und unsicher sind, sondern auch, weil sie Verzögerungen verursachen und den Menschen das Leben schwer machen. Niemand macht sich gern die Mühe, eine Kombination aus mehreren Buchstaben und Zahlen zu erfinden, und es ist schwer, sich die resultierenden Passwörter zu merken, sie sind aber leicht zu erraten, zu stehlen und zu knacken. Die Multi-Faktor-Authentifizierung (MFA) mit einer passwortlosen Authentifizierungslösung sorgt für eine bessere Benutzererfahrung für die Zugriffsverwaltung.

Passwörter verursachen außerdem einen hohen Verwaltungsaufwand. Forrester Research konnte aufzeigen, dass große Unternehmen bis zu 1 Million US-Dollar pro Jahr für Helpdesk-Einsätze ausgeben, bei denen Passwörter zurückgesetzt werden.

Was ist die passwortlose Anmeldung und ist sie sicher?

Die passwortlose Anmeldung umfasst alle Authentifizierungsmethoden, die für den sicheren Zugriff nicht auf ein (statisches) Passwort oder ein wissensbasiertes Geheimnis angewiesen sind. Der Nachweis der Identität eines Benutzers beruht daher auf anderen Authentifizierungsfaktoren wie einem Besitzfaktor (z. B. einer mobilen Authentifizierungs-App, einem Hardware-Token oder einem OTP) oder einem biometrischen Merkmal wie einem Fingerabdruck oder Gesichtsscan.

Passwortlose Authentifizierungslösungen sind von Natur aus sicherer als passwortbasierte Systeme. Die passwortlose Anmeldung reduziert den Angriffsvektor erheblich, da kein Passwort weitergegeben oder abgefangen werden kann. Ein mehrschichtiger Ansatz zur Authentifizierung, der App-Sicherheit, Gerätesicherheit und kontinuierliche Betrugsüberwachung umfasst, erhöht das Sicherheitsniveau zusätzlich

Vorteile der passwortlosen Anmeldung

  • Reduzierung von Social Engineering und daraus resultierendem Kontoübernahmebetrug
    Durch den Einsatz der passwortlosen Anmeldung wird die Sicherheit erheblich verbessert. Da es keine Passwörter gibt, die gefälscht oder kompromittiert werden können, ist die Wahrscheinlichkeit, Phishing-Angriffen oder Angriffen zur Übernahme von Konten ausgesetzt zu sein, deutlich geringer.
  • Verbesserung des Benutzererlebnisses
    Ein passwortloser Authentifizierungsansatz verbessert das Benutzererlebnis erheblich. Mitarbeiter und Kunden können auf Ihre Dienste zugreifen, ohne sich komplexe Passwörter zu merken und diese immer wieder einzutippen. Mit biometrischen Authentifizierungsoptionen wie Fingerabdrücken oder Gesichtsscans können umständliche Passwörter und deren Verwaltung vermieden werden, und sie erreichen ein nahtloses Benutzererlebnis. Durch die Kombination von zwei Faktoren, wie etwas, das der Benutzer hat (z. B. ein mobiles Gerät zum Abrufen eines Passcodes in einer SMS-Nachricht oder von einer Authentifizierungs-App) und etwas, das der Benutzer ist (z. B. ein Fingerabdruck oder eine Gesichtserkennung), können Sie eine viel stärkere Zwei-Faktor-Authentifizierung (2FA) erreichen, als wenn eine Authentifizierung nur auf Passwörtern basiert.
  • Kostensenkung durch passwortlose Anmeldung
    Die Verwaltung von Passwörtern verschlingt Ressourcen. Mit der passwortlosen Anmeldung sparen Sie die Kosten für das Zurücksetzen von Passwörtern und die Überwachung. Wenn Sie die Sicherheit Ihres Unternehmens stärken und Angriffsvektoren reduzieren, verringern Sie zudem das Risiko, Opfer einer Datenschutzverletzung zu werden, was mit hohen Kosten verbunden ist.

Fazit

Der passwortlosen Anmeldung gehört die Zukunft. Gartner prognostiziert , dass 60 % der großen und internationalen Unternehmen und 90 % der mittelständischen Unternehmen in mehr als 50 % der Anwendungsfälle passwortlose Methoden einführen werden.

Implementieren auch Sie eine passwortlose Authentifizierung, um Angriffsvektoren zu reduzieren, die Benutzererfahrung zu verbessern und die Betriebskosten zu senken.

Social Engineering eBook
eBook

Social Engineering Attacks on Banking Transactions

Learn more about social engineering techniques and how to combat these attacks in this informative ebook.

Download Now
Authentifizierung kennwortlos user experience soziale Entwicklung Account-Übernahme
Sarah Van De Vyver
Sarah Van De Vyver

Sarah ist Product Marketing Manager bei OneSpan und verantwortlich für die FIDO-, Hardware- und Serverlösungen von OneSpan. Sie verfügt über mehr als 15 Jahre Erfahrung in den Bereichen IKT und Kommunikation und war zuvor in der Abteilung Unternehmenskommunikation von OneSpan tätig.

Zur Spitze gehen