Das Passwort hat eine lange Vergangenheit...
… ob es eine genauso lange Zukunft hat, wird immer wieder in Frage gestellt. Eigentlich weiß jeder, wie ein sicheres Passwort gestaltet sein sollte: Es besteht mindestens aus 20 Zeichen inkl. Sonderzeichen, Zahlen, Buchstaben in Groß- und Kleinschreibung. Passwörter sind willkürlich (am besten über einen Generator) bestimmt und werden niemals mehrfach verwendet. Passwörter bewahrt man nicht „an sicheren Stellen“ in Schriftform auf.
Doch wenn wir dies alles wissen, warum gehören dann „123456“, „passwort“ oder „hallo123“ zu den beliebtesten Passwörtern der Deutschen? Warum öffnen wir Hackern mit solch einfachen Methoden die Türen zu unseren Systemen? Unwissenheit (ist es in den meisten Fällen sicherlich nicht)? Bequemlichkeit? Angst, das Passwort zu vergessen? Oder der Gedanke „Meine Daten sind eh viel zu unwichtig“?
80 % der erfolgreichen Angriffe auf Useridentitäten werden durch schwache oder kompromittierte Passwörter verursacht.
Wie wäre es, das Passwort einfach wegzulassen?!
Die Methode „Passwordless“ wird aktuell viel diskutiert. Stichwortgeber ist dabei die FIDO Alliance und ihre Mitglieder wie Microsoft, Google, etc. mit ihrem modernen Authentifizierungsprotokoll FIDO2.
Hierbei wird auf die Verwendung eines Passwortes verzichtet und eine Kombination aus Hardwaretoken mit PIN oder biometrischem Verfahren zur Authentisierung genutzt.
Das Verfahren kann man sich wie die Kombination von Smartcard und PIN vorstellen, jedoch ohne den Smartcard „Überbau“.
Die Unternehmenszukunft bewegt sich definitiv in Richtung „Passwordless“, allerdings ist es bis dahin noch ein weiter Weg.
Passwortlose Authentifizierung mit FIDO2 eignet sich besonders für moderne Cloud Anwendungen. Für bereits bestehende Infrastrukturen und Applikationen ist die Herausforderung, diese nicht einfach auf „Passwordless“ umstellen zu können. Applikationen (z.B. ERP und CRM, E-Mail- sowie Konferenzsysteme) verwenden bestehende Passwörter, wodurch ein Flickenteppich an Methoden und Verfahren entstehen kann. Von solchen Verinselungen sollte jedoch nach Möglichkeit Abstand genommen werden, da sie Kosten und Komplexität unnötig erhöhen.
Aus diesem Grund ist es von Vorteil, die IT-Infrastruktur eines Unternehmens mittels einer flexiblen zentralen Multi-Faktor-Authentifizierung abzusichern, welche neben den modernen Passwordless-Methoden auch die Verwendung und Kombination von Passwörtern mit anderen Methoden zulässt.
„Passwordless“ ist in einigen Anwendungsszenarien bereits nutzbar, allerdings bisher nicht als alleinige Authentisierungsmethode für alle Anwendungen im Unternehmen geeignet.
