Was sind passwortlose Logins? Sind sie tatsächlich sicher?
Werbung
Passwörter sind für Ihre Internetsicherheit von entscheidender Bedeutung. Bei so vielen Diensten, sowohl online als auch offline, ist es jedoch schwierig, die Übersicht über Ihre Passwörter zu behalten. Passwortlose Anmeldesysteme beginnen zu starten und machen es nicht mehr erforderlich, bei jeder Anmeldung bei einem Dienst ein Passwort einzugeben.
Aber wie sichern Sie Ihr Konto, wenn Sie kein Kennwort verwenden? Was sind passwortlose Anmeldungen und sind sie sicher?
Was ist ein passwortloses Login?
Kennwortlose Anmeldungen sind Authentifizierungssysteme, die Alternativen zu einem Kennwort verwenden, um den Zugriff auf Ihr Konto zu ermöglichen. Beispielsweise erhalten Sie anstelle eines Kennworts eine E-Mail-Benachrichtigung, die als Anmeldetoken fungiert. Alternativ erhalten Sie möglicherweise ein Popup-Fenster auf Ihrem Smartphone, mit dem Sie den Zugriff auf ein Konto steuern können.
Bei der passwortlosen Anmeldung wird häufig eine bereits vorhandene Authentifizierungsmethode verwendet, um Ihre Identität zu garantieren.
Möglicherweise sind Sie mit Ihrem Google Mail-Konto bereits auf Anmeldungen ohne Kennwort gestoßen. Anstatt jedes Mal, wenn Sie sich anmelden, Ihr Passwort eingeben zu müssen, kann Google eine Eingabeaufforderung direkt an Ihr Telefon senden. Die Eingabeaufforderung zeigt den Zeitpunkt und den Ort des Anmeldeversuchs mit der Option, die Anmeldung zu genehmigen oder abzulehnen.
Wie funktioniert ein passwortloses Login?
Wenn Sie sich auf einer Website anmelden, müssen Sie ein Kennwort eingeben, um Ihr Konto zu entsperren. Das Passwort ist nur Ihnen und der Site bekannt und schützt Ihr Konto. Sie vertrauen darauf, dass die Site Ihr Passwort schützt, sicher speichert und dass die Site selbst nicht anfällig ist.
Außerdem verwenden Sie auf jeden Fall bereits sichere, eindeutige Kennwörter für jede Site und jeden Dienst, da dies die sicherste Vorgehensweise ist.
Letzteres ist jedoch schwierig geworden. Das Erstellen eines sicheren Einmalkennworts für jede Site hat dazu geführt, dass Benutzer leicht einprägsame, aber fürchterliche Kennwörter erstellt haben. Und selbst wenn Sie ein sicheres Kennwort erstellen, kann ein Blick auf die Anzahl der monatlichen Datenschutzverletzungen Ihre Bemühungen beeinträchtigen.
Bei der passwortlosen Authentifizierung müssen Sie der Website kein Passwort anvertrauen. Anstatt jedes Mal ein Kennwort einzugeben, werden bei kennwortlosen Anmeldungen einige unterschiedliche Authentifizierungsmethoden verwendet.
E-Mail-basierte passwortlose Authentifizierung
Das gebräuchlichste passwortlose Anmeldesystem ist derzeit per E-Mail. Viele Benutzer werden E-Mail-basierte passwortlose Anmeldungen als das bekannteste System ansehen, das ähnlich wie das Zurücksetzen von Passwörtern funktioniert.
Wenn Sie versuchen, sich anzumelden, geben Sie eine E-Mail-Adresse an. Der Dienst sendet eine sichere E-Mail an die Adresse, die dem Konto zugeordnet ist, und die E-Mail enthält einen sicheren magischen Einmal-Link zum Eingeben Ihres Dienstkontos. Der Magic Link enthält ein eindeutiges Login-Token, das der Service überprüft und gegen ein Token zur langfristigen Überprüfung austauscht.
Es gibt weitere Varianten des E-Mail-Systems. Beispielsweise kann der Dienst im Fall eines vorhandenen Kontos dem Benutzer einen DKIM-Schlüsselcode zur einmaligen Verwendung senden, der mit seinen Kontodaten verknüpft ist. Der Benutzer erhält den DKIM-Code und gibt ihn auf der Site ein. Die Site überprüft den Code anhand der vorhandenen Benutzerdetails und schließt den Anmeldevorgang ab.
SMS-basierte passwortlose Anmeldung
In diesem Fall gibt der Benutzer eine gültige Telefonnummer ein. Der Dienst sendet einen Einmalcode an die Telefonnummer. Der Benutzer kann sich dann beim Dienst anmelden. Alternativ bieten einige Dienste an, den Benutzer per "Robo-Call" anzurufen, wobei ein Text-to-Speech-Dienst den Code direkt liest.
Die SMS-Sicherheit steht jedoch auf dem Prüfstand. Die überwiegende Mehrheit von uns hat wenig Grund zur Sorge. Aber mehrere hochrangige Personen (insbesondere diejenigen mit einem großen Volumen an Kryptowährungen) erlitten SMS-Sim-Hacking-Angriffe. Überprüfen Sie genau, was ein Sim-Swap-Angriff ist und wie Sie sich davor schützen. Was ist SIM-Card-Swap? 5 Tipps, um sich vor diesem Betrug zu schützen Was ist ein SIM-Kartentausch? 5 Tipps, um sich vor diesem Betrug zu schützen Mit dem Anstieg des Zugriffs auf Mobilkonten und 2FA für die Sicherheit ist das Austauschen von SIM-Karten ein wachsendes Sicherheitsrisiko. Hier erfahren Sie, wie Sie damit aufhören können. Weiterlesen .
Biometrisches Passwortloses Login
Einige kennwortlose Anmeldemethoden verwenden biometrische Scandienste, um Ihre Identität zu authentifizieren. Biometrische Authentifizierungsdienste sind auf mehr Geräten als je zuvor verfügbar. (Sollten Sie zu einem biometrischen Dienst für Ihr Smartphone wechseln?)
Die Idee ist, dass, wenn Sie auf eine Site zugreifen möchten, eine Eingabeaufforderung auf Ihrem Smartphone angezeigt wird. Sie entsperren das Smartphone mit Ihrem bevorzugten biometrischen System, und das Entsperren dient als Bestätigung für Ihre Identität.
Abgesehen von Apples Face ID (für Geräte einschließlich und nach iPhone X, iPad Pro der dritten Generation und iPod Touch der siebten Generation) ist das biometrische Scannen von Mobilgeräten nicht ganz sicher.
Die Face-Scan-Hardware anderer Hersteller ist nicht so fortschrittlich und wird mithilfe eines Fotos ausgetrickst, wohingegen es eines vollständigen 3D-Drucks und einer Kopfbemalung bedarf, um Apples Face ID auszutricksen. In anderen Fällen ermöglichen Fingerabdruckscanner eine teilweise Erkennung. 5-Wege-Hacker umgehen Fingerabdruckscanner (So schützen Sie sich) 5-Wege-Hacker umgehen Fingerabdruckscanner (So schützen Sie sich) Denken Sie, dass Ihr Fingerabdruckleser Ihr Gerät sicher macht? Denk nochmal! Hier sind 5 Möglichkeiten, wie Fingerabdruckscanner gehackt werden können. Lesen Sie mehr, um ein Gerät zu entsperren.
Gegenwärtig ist ein biometrisches passwortloses Anmeldesystem wahrscheinlich nicht die beste Option. In Zukunft könnte dies jedoch die beste Option sein.
Physischer Schlüssel Passwortlose Anmeldung
Physische Sicherheitsschlüssel bieten eine weitere Option zur passwortlosen Anmeldeauthentifizierung. Ein physischer Sicherheitsschlüssel ist ein spezieller USB-Sicherheitsschlüssel. Wenn Sie auf Ihr Konto zugreifen möchten, stecken Sie Ihren Sicherheitsschlüssel in Ihren Computer. Der Onlinedienst überprüft Ihr Konto über den Sicherheitsschlüssel, sodass kein Kennwort erforderlich ist.
Hauptbeispiele für einen physischen Sicherheitsschlüssel sind die Titan-Serie von Google und die Yubikey-Serie von Yubico.
Sind passwortlose Anmeldungen eine Zwei-Faktor-Authentifizierung?
Ja und nein.
Ja, eine Anmeldung ohne Passwort ähnelt der Zwei-Faktor-Authentifizierung (2FA), da Sie mit einer alternativen Authentifizierungsmethode auf Ihr Konto zugreifen. 2FA sichert Ihr Konto mit zwei separaten Faktoren, normalerweise einem Kennwort und einem separaten Gerät.
Nein, es ist nicht dasselbe, denn obwohl Sie ein separates Gerät zur Authentifizierung Ihres Kontos verwenden, handelt es sich immer noch um einen einzelnen Faktor.
Ist ein passwortloses Login sicherer?
Alles, was Benutzer davon abhält, schreckliche Passwörter zu erstellen, ist gut, oder? Durch kennwortlose Anmeldungen wird eine weitere Fehlerursache für den Endbenutzer beseitigt. Derzeit sind kennwortlose Anmeldungen nicht weit verbreitet. Sie werden von mehreren wichtigen Diensten verwendet, z. B. von Google Mail (wie oben erwähnt) und von Slack Magic Links.
Das größte Plus für Website-Besitzer und Moderatoren ist das plötzliche Fehlen des Umgangs mit Benutzerpasswörtern. Unverschlüsselte Passwörter, die in einer Klartextdatei gespeichert sind, sind Albträume. es ist das Zeug der Träume für einen Hacker. Benutzer, die selten auf einen Dienst zugreifen, müssten auch nicht die Regel zum Zurücksetzen des Kennworts durchlaufen.
Durch passwortlose Anmeldungen können sich Benutzer auch schnell beim Dienst anmelden. Wenn Sie jedoch regelmäßig vom Dienst abgemeldet werden, kann die erneute Autorisierung per E-Mail oder SMS je nach Dauer zu Problemen führen.
Verwenden Sie vorerst einen Password Manager
Passwortlose Logins werden erst nach einiger Zeit zum Mainstream. Der Ball rollt jedoch. Die meisten gängigen Browser (außer Safari) unterstützen die eine oder andere Art der passwortlosen Anmeldung. Im Februar 2019 kündigte Google außerdem an, dass Geräte mit Android 7 (das ist Android Nougat) oder höher auch die passwortlose Anmeldung unterstützen.
Dies bedeutet, dass fast 50 Prozent aller Android-Geräte die Anmeldung ohne Passwort unterstützen. Und passwortlose Anmeldestandards wie FIDO2 und WebAuthn erhalten weiterhin Updates, wodurch die Authentifizierungsmethode weiter abgesichert wird.
Zum Zeitpunkt des Schreibens benötigen Sie noch ein Passwort. Sie benötigen ein sicheres Einmalpasswort. Warum nicht einen Passwort-Manager verwenden? Die besten Passwort-Manager für jeden Anlass Die besten Passwort-Manager für jeden Anlass Mühen Sie sich ab, sich Ihre immer ausgefeilteren Passwörter zu merken? Es ist Zeit, sich auf einen dieser kostenlosen oder kostenpflichtigen Passwort-Manager zu verlassen! Weiterlesen ?
Erfahren Sie mehr über: Online-Sicherheit, Passwort.
