3. Juni 2022 Authentifizierung ohne Passwort: Kennwortlose Login-Methoden im Überblick

Kennwortlose Authentifizierungen bieten viele praktische Vorteile. Welche digitalen Methoden es dafür gibt und wie sicher die Verfahren sind, erfahren Sie in diesem Beitrag.

Dreh- und Angelpunkt unzähliger Anwendungen im Internet ist die Identifikation und Authentifizierung der Userin oder des Users. Zu diesem Zweck müssen die Verantwortlichen einer Website, einer Anwendung oder eines Netzwerks die digitale Identität einer Person überprüfen. Sehr häufig erfolgt dies über einen Abgleich der eingegebenen Anmeldedaten, die verschlüsselt an das Netzwerk übertragen werden: Sind E-Mail-Adresse und Passwort (bzw. eine Prüfsumme davon) im Zuge einer früheren Registrierung in der Datenbank des Zielservers hinterlegt worden, kommt es bei einer erneuten Anmeldung zu einer Übereinstimmung mit dem vorhandenen Datensatz, wodurch eine Person sich authentifiziert und bestimmte Services nutzen darf.

Neben dieser weitverbreiteten Login-Methode gibt es auch Authentifizierungen ohne Passwort. Diese bieten viele praktische Vorteile: Zum einen entfällt für Userinnen und User die aufwendige Verwaltung von Anmeldeinformationen. Zum anderen bieten diese Methoden eine geringere Angriffsfläche für Cyber-Attacken, wie zum Beispiel Phishing, Social Engineering oder Brute-Force-Angriffe.  

Authentifizierung ohne Passwort: Die Methoden im Überblick

Bei einer kennwortlosen Authentifizierung wird die Verwendung von Passwörtern durch andere Sicherheitsfaktoren ersetzt. Zur Anwendung kommen dabei biometrische Methoden (zum Beispiel ein Fingerabdruckscan), Hardware- und Software-Token oder ein temporär gültiger Link („Magic-Link“), der per SMS oder E-Mail übermittelt wird. Außerdem nutzen kennwortlose Authentifizierungen digitale Zertifikate, die durch asymmetrische Kryptografie gesichert sind. Dabei wird ein geheimer privater Schlüssel auf einem Gerät der Userin oder des Users gespeichert und zusätzlich mit biometrischen Daten oder einer PIN verknüpft. Der dazugehörige, durch einen Algorithmus kryptographisch verbundene öffentliche Schlüssel befindet sich auf den System-Servern, auf die man zugreifen möchte. Bei der Authentifizierung überprüft der Webdienst, ob der private Schlüssel zum öffentlichen Schlüssel der Nutzerin oder des Nutzers gehört. Dabei werden keine sensiblen Login-Daten übermittelt.

Smartcards und Token

Die Technologie der Smartcards basiert auf asymmetrischer Kryptografie unter Einsatz eines Schlüsselpaares. Der Speicherchip einer Smartcard enthält den privaten Schlüssel, der für die Authentifizierung der Userin oder des Users digitale Signaturen erstellen kann. Der öffentliche Schlüssel der Smartcard wird mit Informationen über die Inhaberin oder den Inhaber verknüpft und im System hinterlegt. Wird die Smartcard in ein entsprechendes Lesegerät gesteckt, überprüft das System die Zusammengehörigkeit der beiden Schlüssel und authentifiziert dadurch die Person. Das Verfahren erfordert zum Generieren und Verteilen von Schlüsselpaaren eine Public-Key-Infrastruktur (PKI). Die Signaturfunktion der Smartcard kann zusätzlich durch eine kurze PIN geschützt werden, um sich im Fall eines Diebstahls abzusichern. Die Authentifizierung via Smartcard gilt als besonders sicher, jedoch ist sie mit einem größeren Beschaffungsaufwand (Smartcards, Lesegeräte) verbunden.

Weniger aufwendig ist die Implementierung von Security-Token (Hardware- oder Softwarekomponente, die der Authentifizierung dient). Diese zeigen eine Zeichensequenz an, die vom Systemverwalter in kurzen Intervallen (zum Beispiel alle 30 Sekunden) neu ausgespielt wird. Derselbe Algorithmus arbeitet synchron auf dem Server des Systemverwalters, sodass dort in gleichen Intervallen eine identische Zeichenkette produziert wird. Um den aktuell gültigen Zugangscode einzugeben, benötigt die Userin oder der User also das Token, welches beispielsweise über eine Software auf dem Smartphone angezeigt werden kann. Auch dieses Verfahren kann zusätzlich durch eine PIN abgesichert werden.

Web Authentication (WebAuthn)

WebAuthn ist eine standardisierte Programmierschnittstelle, die es Userinnen und Usern ermöglicht, sich für Anwendungen und Websites mittels Public-Key-Verfahrens direkt im Webbrowser zu authentifizieren. Dabei können sich Nutzerinnen und Nutzer mittels biometrischer Daten (beispielsweise per Fingerabdruckscan oder Gesichtserkennung) in ihren Konten anmelden. Entsprechende Hardware- und Softwarekomponenten sind heute in vielen Smartphones und Laptops integriert.

Alternativ kann auch ein externes Hardware-Token (zum Beispiel FIDO2) verwendet werden, mit dem sich Userinnen und User ausweisen. Die Person, die sich authentifizieren möchte, bestätigt mithilfe von Biometrie oder Hardware-Token ihre Identität nur am eigenen Gerät. Sensible Identitätsdaten werden hierbei nicht übermittelt. Stattdessen erfolgt nur eine Bestätigung des Browsers (mittels digitaler Signatur im Public-Key-Verfahren) an den jeweiligen Webservice.

FIDO2/USB-Stick als Key

FIDO (Fast Identity Online) ist eine passwortlose Authentifizierungsmethode für mobile Endgeräte und Browser. Durch den Einsatz verifizierter Hardware ermöglicht FIDO2 Userinnen und Usern, sich gegenüber Online-Diensten ohne Passworteingabe zu identifizieren. Dabei erzeugt der USB-Stick für einen Webservice beziehungsweise Online-Dienst einen privaten und öffentlichen Schlüssel. Während der private Schlüssel lokal gespeichert wird, verbleibt der öffentliche Schlüssel beim jeweiligen Webservice. Dieser verschickt bei einem Anmeldungsversuch eine sogenannte Challenge-Anfrage. Die Userin oder der User kann nun per Biometrie, PIN-Eingabe oder durch das Anschließen von FIDO2 die Challenge-Anfrage korrekt beantworten, wodurch der private Schlüssel eine digitale Signatur erstellt, diese an den Webservice übermittelt und die Person authentifiziert.

Die Authentifizierungsmethode läuft über den W3C Web Authentication Standard (WebAuthn) und das Client to Authenticator Protocol (CTAP). Durch dieses Kommunikationsprotokoll können die FIDO2-Token mit den Browsern interagieren und außerdem als Authentifikatoren auftreten. FIDO2 erschien 2018 als Relaunch des FIDO-Standards und wird von großen Technologiekonzernen unterstützt. Die wesentlichen Merkmale dieser Authentifizierungsmethode sind:

• Authentifizierung durch externe oder in den Geräten integrierte Hardware-Keys
• asymmetrische Public-/Private-Key-Kryptografie
• Zwei-Faktor-Authentifizierung
• lokale Speicherung des Legitimierungsnachweises

Biometrische Authentifizierung

Bei einer Authentifizierung mittels biometrischer Daten dienen individuelle physische Eigenschaften der Userin oder des Users als digitaler Zugangsschlüssel. So sind Fingerabdruck- und Gesichtsscan heute schon allgegenwärtige Methoden zur Authentifizierung, die besonders häufig bei mobilen Endgeräten zum Einsatz kommen. Auch zahlreiche Passwort-Manager haben die Authentifizierung via Gesichtsscan oder Fingerabdruck implementiert. Darüber hinaus werden etwa Retinascans, Spracherkennung und Handflächenbiometrie eingesetzt. Die Gefahr von Identitätsdiebstahl kann bei biometrischen Anmeldedaten weitgehend vernachlässigt werden. Außerdem zeichnen sich die meisten biometrischen Systeme durch sehr hohe Fälschungssicherheit aus. Eine Zwei-Faktor-Authentifizierung kann auch hier zwischengeschaltet werden, um die Sicherheit zu erhöhen.

Single Sign-on (SSO)

Bei der Anmeldung mittels Single Sign-on (SSO) fungiert ein Online-Dienst (zum Beispiel Google, Facebook oder Apple) als Identity-Provider und bestätigt die Identität einer Userin oder eines Users für eine andere Website beziehungsweise Online-Anwendung. Eine neuerliche Registrierung auf der Zielwebsite, welche die SSO-Anmeldeoption technisch integriert haben muss, entfällt hiermit. Stattdessen greift die Anwenderin oder der Anwender auf bereits bestehende Anmeldedaten zurück, die vom Identity-Provider zur Verfügung gestellt werden. Unterstützt eine Website einen solchen Dienst, finden Userinnen und User neben dem Eingabefeld für die Login-Daten zum Beispiel die Funktion „Mit Google anmelden“.

Häufig kommt die Methode beispielsweise in einem Rahmenkonzept zum Einsatz, das als „Identity as a Service“ (IDaaS) bezeichnet wird. IDaaS-Systeme werden von Unternehmen für Authentifizierungen und Zugriffskontrollen genutzt und umfassen eine Reihe von cloudbasierten Diensten zur Identitäts- und Zugriffsverwaltung (Identity and Access Management; IAM). Dabei sollen nur zugriffsberechtigte Personen für bestimmte Zwecke auf gewisse Daten zurückgreifen können. Anwendung findet hier auch die Multi-Faktor-Authentifizierung (MFA): Neben der Eingabe eines Passworts muss etwa ein USB-Medium an das IT-Gerät angeschlossen werden. Nach erfolgter einmaliger Anmeldung über eine SSO-Anmeldeseite können Benutzerinnen und Benutzer auf unterschiedliche Anwendungen zugreifen, ohne sich erneut anmelden zu müssen.