Dieser Beitrag ist auch verfügbar auf: Englisch, Französisch, Spanisch

Was ist eine passwortlose Authentifizierung und sollten Sie sich dafür interessieren?

Dieser Beitrag ist auch verfügbar auf: Englisch, Französisch, Spanisch

Passwörter sind die Schlüssel zu unserem digitalen Leben. Es gibt nur wenige Online-Konten oder Apps, auf die Sie ohne Passwörter zugreifen können. Leider müssen Angreifer nicht lange suchen, um diese Schlüssel zu finden. Selbst wenn Sie ein versierter Verbraucher sind und alle notwendigen Schritte zum Schutz Ihrer Passwörter unternehmen, können diese trotzdem gefährdet werden, wenn Ihr Dienstleister eine Datenpanne hat.

Daher ist der neue Trend zur passwortlosen Authentifizierung so spannend – Sie brauchen sich nicht mehr auf Passwörter zu verlassen, und damit ist eines der größten Risiken für die Sicherheit Ihrer Konten beseitigt. Es wird zwar eine Weile dauern, bis sich dieser Trend allgemein durchsetzt, aber einige Unternehmen bieten bereits eine passwortlose Authentifizierung an – der ideale Zeitpunkt für Sie, dies auszuprobieren. Hier sind die Gründe.

Möchten Sie mehr über die Verwendung eines Passwort-Managers erfahren?

Sehen Sie sich unsere privaten Tarife an oder legen Sie los mit einer kostenlosen Testversion.

Was ist passwortlose Authentifizierung?

Für die Authentifizierung sind in der Regel einer oder mehrere dieser Faktoren nötig:

  • Etwas, das Sie wissen: Ein Geheimnis wie ein Passwort oder eine Antwort auf eine Sicherheitsfrage
  • Etwas, das Sie sind: Gesichtszüge, Fingerabdruck oder eine andere Form der biometrischen Identifizierung
  • Etwas, das Sie besitzen: Ihr Mobilgerät, ein Authenticator-Tool oder ein Hardware-Schlüssel

Wie der Name schon sagt, können Sie mit der passwortlosen Authentifizierung Ihre Identität authentifizieren, ohne ein geteiltes Geheimnis zu verwenden. Sie brauchen keine Passwörter erstellen, speichern oder verwalten und können sich trotzdem problemlos bei Ihren Konten anmelden.

In der physischen Welt ist ein Äquivalent zur passwortlosen Authentifizierung eine Schlüsselkarte. Anstatt auf einer Tastatur Zahlen einzugeben, können Sie einfach Ihre Karte anlegen, um zu Ihrem Arbeitsplatz, in Ihr Fitnessstudio oder in einen anderen Bereich mit eingeschränktem Zugang zu gelangen.

Neben Biometrie und Hardware werden folgende Methoden zur passwortlosen Authentifizierung häufig in der digitalen Welt verwendet:

  • Passkey: ein passwortloses Login basierend auf Public-Key-Kryptografie
  • Einmal-Passcode: ein Passcode oder Passwort, den/das Sie per SMS oder E-Mail erhalten
  • Magischer Link: ein Login-Link, der an Ihre registrierte E-Mail-Adresse gesendet wird

Wie funktioniert die passwortlose Authentifizierung?

Die passwortlose Authentifizierung teilt nicht nur keine Geheimnisse mit der Website oder Anwendung, sondern sie speichert sie auch nicht beim Anbieter. Das ist anders bei Passwörtern, die zur Überprüfung ihrer Korrektheit einen Informationsaustausch erfordern.

Hier ein Beispiel für einen passwortlosen Authentifizierungsprozess mit Passkeys:

Ein Authenticator – in der Regel ein Mobilgerät oder Passwort-Manager, das/der die passwortlose Authentifizierung unterstützt – generiert ein Paar kryptografischer Schlüssel (einen öffentlichen und einen privaten), wenn Sie sich für ein neues Konto registrieren oder Passkeys für Konten aktivieren, die diese unterstützen. Der Dienstleister oder die Website und Ihr Authenticator kommunizieren durch den direkten Austausch von Schlüsseln.

Der öffentliche Schlüssel wird zur Speicherung an den Server des Anbieters gesendet. Dieser Schlüssel ist jedoch für Angreifer wertlos, genau wie Ihr Benutzername.

Der private Schlüssel bleibt geheim und wird nur in Ihrem Authenticator gespeichert. Wenn Sie versuchen, sich anzumelden, sendet der Server eine Herausforderung an den Authenticator (nach dem Zufallsprinzip ausgewählte Daten zum Nachweis, dass Sie tatsächlich die Person sind, die sich anmelden will). Der private Schlüssel löst die Herausforderung und sendet die Antwort zurück. Im Prinzip werden diese Daten mit dem privaten Schlüssel „signiert“.

Die Schlüssel sind mathematisch verwandt, d. h. wenn die signierten Daten an den Server zurückgesendet werden, kann der Server sie mit dem öffentlichen Schlüssel verifizieren. Er muss den Schlüssel jedoch nicht kennen, um ihn zu validieren.

Grafische Darstellung zur Funktion der Passkey-Registrierung: Der Website-Server lädt eine Registrierungsseite, der Browser erstellt einen Passkey und der Authenticator authentifiziert ihn. Es werden zwei Schlüssel erstellt, ein öffentlicher und ein privater. Der private Schlüssel bleibt beim Authenticator und der öffentliche Schlüssel wird an den Website-Server gesendet und dort gespeichert. Die Grafik zeigt auch, wie die Anmeldung funktioniert: Der Website-Server sendet eine Herausforderung an den Browser und sendet eine Anforderung an einen Authenticator, der diese mit einem privaten Schlüssel signiert. Der Authenticator sendet die signierte Anforderung an den Website Server zurück, der sie gegen den gespeicherten öffentlichen Schlüssel prüft.

Warum ist die passwortlose Authentifizierung sicherer?

Die passwortlose Authentifizierung behebt viele der typischen Schwächen von Passwörtern, die von Cyberkriminellen ausgenutzt werden. Hier einige der wichtigsten:

  • Credential Stuffing: Hacker verwenden schwache und gestohlene Logins, um auf andere Websites zuzugreifen. Das ist bei der passwortlosen Authentifizierung nicht möglich.
  • Phishing und Social Engineering: Mit Passkeys können Angreifer Sie nicht austricksen, sodass Sie mit Ihren Passkeys eine ähnlich aussehende oder betrügerische Website aufrufen, da Passkeys nur für die Anwendung oder Website funktionieren, für die sie erstellt wurden.
  • Diebstahl von Anmeldedaten: Da die passwortlose Authentifizierung nicht beim Dienstleister gespeichert wird, können Cyberkriminelle diese Logins nicht stehlen, indem sie in den Server oder die Datenbank des Anbieters hacken.
  • Schwache oder wiederverwendete Passwörter: Eine der größten Herausforderungen bei Passwörtern ist schlechte Hygiene – viele verwenden ihre Passwörter erneut oder erstellen Passwörter, die sich leicht merken können. Hacker können diese in null Komma nichts knacken.

Keine Sicherheitsmethode ist absolut sicher, aber die passwortlose Authentifizierung ist zur Sicherung Ihrer Daten um ein Vielfaches besser als Passwörter. Man kann mit Sicherheit sagen, dass die passwortlose Authentifizierung die Methode der Zukunft ist, und wir sind endlich in dieser Zukunft angekommen. Daher hat Dashlane kürzlich die integrierte Passkey-Unterstützung eingeführt.

Mit Dashlane können Sie sich automatisch auf allen Websites einloggen – ob Sie sich schon für die passwortlose Authentifizierung entschieden haben oder weiterhin auf Passwörter verlassen.

Hier erfahren Sie mehr über die neue Passkey-Unterstützung von Dashlane.