3 Schritte zur Implementierung der passwortlosen Authentifizierung
Die Einführung der passwortlosen Authentifizierung muss nicht kostspielig sein oder einen erheblichen Mehraufwand bedeuten. Vielmehr können bestehende Netzinvestitionen so angepasst werden, dass sie die passwortlose Authentifizierung auf effiziente Weise einschließen. Die folgenden drei Schritte helfen Ihnen zu verstehen, worauf Sie Ihre Bemühungen konzentrieren sollten.
1. Verstehen Sie Ihre Kunden, deren Bedürfnisse, Verhaltensweisen und Sicherheitsrisikoprofile
Der erste Schritt besteht darin, Ihre Ziele zu umreißen und die treibenden Kräfte zu ermitteln - vor allem Ihre Nutzer. Verwenden sie Laptops, Desktop-Geräte, Mobiltelefone usw.? Je nach dem Verhalten und den Bedürfnissen Ihrer Nutzer können diese unterschiedliche Sicherheitsstufen und Benutzererfahrungen benötigen.
Laut Gartner sind Sicherheit und Benutzerfreundlichkeit (UX) die wichtigsten Anforderungen der Kunden an ein hervorragendes Anmeldeerlebnis. Um diesen Anforderungen gerecht zu werden, sollten Sie die folgenden primären Ziele für eine strategische Authentifizierungsimplementierung in Betracht ziehen und prüfen, inwieweit diese mit den Anforderungen Ihrer Kunden übereinstimmen.
Wichtige Sicherheitsziele
- Vollständige Eliminierung von Passwörtern aus der Nutzung und aus der Infrastruktur
- Verringerung des Risikos der Kontoübernahme (ATO) und des Diebstahls digitaler Identitäten
Wichtige Ziele der Benutzerfreundlichkeit
- Entfernen Sie Passwörter aus der Customer Journey
- Vermeiden Sie zusätzliche Reibungsverluste durch vergessene Passwörter
2. Bewerten Sie Ihr derzeitiges System und Ihre Ressourcen
Die passwortlose Authentifizierung bedeutet nicht unbedingt, dass Sie in eine neue Technologie investieren müssen. Eine Verbesserung oder Anpassung der derzeitigen Authentifizierungsmethoden, so dass keine Passwörter erforderlich sind, kann ausreichen, um die Bedürfnisse Ihrer Kunden zu erfüllen (siehe Abbildung unten). In diesem Beispiel kann die Authentifizierung durch eine beliebige Kombination von Signalen und Berechtigungsnachweisen ohne die Verwendung eines Passworts erfolgen. So könnte man beispielsweise biometrische Verfahren einsetzen, um eine passwortlose Authentifizierung zu erreichen.
Eine weitere fortschrittliche Methode für die passwortlose Authentifizierung, die die reibungslose Benutzererfahrung verbessert, ist die Verwendung von Erkennungs- und Risikosignalen (siehe Abbildung unten). Diese werden in Verbindung mit eher traditionellen MFA-Lösungen verwendet. Hier hängt die passwortlose Authentifizierung in erster Linie von Signalen und bestimmten Bedingungen ab. Wenn diese bestimmte Kriterien erfüllen, kann sich der Benutzer über eine "Null-Faktor-Authentifizierung" (0FA) oder auch als adaptive Authentifizierung bekannt anmelden. Wenn die Kriterien nicht erfüllt sind, wird der Benutzer aufgefordert, einen traditionelleren MFA-Schritt zur Anmeldung durchzuführen.
Bei der Bewertung Ihrer derzeitigen Systeme können Sie sich an den folgenden Fragen orientieren:
Schlüsselfragen zur Bewertung Ihrer aktuellen Sicherheits- und Benutzerfreundlichkeitseinstellungen
- Verwenden Sie bereits irgendeine Art von passwortloser Methode?
- Verwenden Sie derzeit Authentifizierungs- oder Identity Access Management (IAM)-Lösungen?
- Sind Ihre aktuellen Lösungen vor Ort oder in der Cloud angesiedelt?
- Können Sie bestehende Kundenauthentifizierungsabläufe so ändern, dass keine Kennwörter mehr verwendet werden?
- Können bereits geplante Investitionen zur Unterstützung der Migration genutzt werden?
- Gibt es dringende Bedürfnisse, die neue Nettoinvestitionen erfordern?
Durch die Beantwortung dieser Fragen können Sie sich bereits ein Bild davon machen, welche Art der passwortlosen Authentifizierung am einfachsten zu implementieren wäre. Am besten arbeiten Sie direkt mit Ihrem Authentifizierungsanbieter zusammen, um diese Frage zu klären.
3. Zeit bis zur Wertschöpfung minimieren
Prüfen Sie, wie Sie Ihre derzeitigen Systeme so verbessern können, dass sie passwortlos werden.
Es gibt zwei gängige Methoden, um die Passwortauthentifizierung direkt zu ersetzen. Die erste ist die Verwendung der Phone-as-a-Token-Methode (phaat). Zweitens können sowohl die Ein-Faktor- als auch die Multi-Faktor-Authentifizierung (MFA) so modelliert werden, dass eine Authentifizierung ohne Passwörter möglich ist. Zum Beispiel mit der Ein-Faktor-Authentifizierung wie Mobile Push, One-Time-Password (OTP) oder Out-of-Band (OOB) SMS (obwohl die Verwendung von SMS für die Authentifizierung zunehmend kritisiert wird). Bei der Multi-Faktor-Authentifizierung werden passwortlose Methoden wie PIN oder biometrische Authentifizierung verwendet. Die folgende Grafik zeigt, wie diese beiden passwortlosen Methoden angewendet werden können.
Der erste Teil veranschaulicht die Implementierung von Phone-as-a-Token für ein Ein-Faktor-Authentifizierungsmodell. Der zweite Teil enthält ein Beispiel für Phone-as-a-Token mit Multi-Faktor-Authentifizierung (MFA). Im MFA-Beispiel kann ein Passwort einfach durch eine PIN oder biometrische Authentifizierung zusätzlich zum mobilen Push oder OTP ersetzt werden.
In Fällen, in denen Kunden keine Mobiltelefone verwenden, sind OTP-Hardware-Tokens die häufigste Alternative.
Vorbereitung auf die Einführung
Laut den Prognosen von Gartner gewinnt die Authentifizierung über das Telefon als Token auf dem Markt zunehmend an Bedeutung und wird wahrscheinlich die beliebteste Form der passwortlosen Authentifizierung in Kundenanwendungen sein. Dazu gehören passwortlose Authentifizierung in Form von mobiler MFA, biometrische Authentifizierung, Muster- oder Bildmethoden und adaptive Authentifizierung. Diese Lösungen sind alle bereits als passwortlose MFA-Authentifizierung verfügbar und lassen sich am einfachsten und unkompliziertesten einführen. Solange Passwörter in Anmeldeströmen verbleiben, werden sowohl Unternehmen als auch Kunden die Last der Verwaltung von Passwörtern sowie der Durchsetzung und Einhaltung wirksamer Passwortrichtlinien zu tragen haben. Die Belastung durch Passwörter wird also sowohl die Sicherheit als auch die Benutzerfreundlichkeit der Kunden beeinträchtigen. Es ist jedoch offensichtlich, dass Unternehmen aus allen Branchen diese Ziele in Angriff nehmen. Wie Sie die passwortlose Authentifizierung für Ihre Endbenutzer angehen können, erfahren Sie hier.
Dies ist ein Gast-Beitrag von futurae.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.