Passwortlose Lösungen

Tobias S.Sr. Demand & Content Marketing Manager

•

Zusammenfassung•9 Min. Lesezeit

Was bedeutet „passwortlos“?
Warum sollten Sie passwortlose Lösungen verwenden?
Vorteile der Implementierung passwortloser Lösungen
Fazit

Inhaltsverzeichnis

Was bedeutet „passwortlos“?
Warum sollten Sie passwortlose Lösungen verwenden?
Vorteile der Implementierung passwortloser Lösungen
Fazit

You may notice when on Docusign’s website that a green padlock sits in front of the URL at the top of your browser. This is a visual cue that our website is secure thanks to SSL certificates, and it’s one that savvy consumers look for when doing business online. SSL certificates play an important role at Docusign, and they should be a part of your data privacy efforts too. Find out more about what they are, what they do, and how you can obtain them, with our SSL FAQs, below. What is an SSL Certificate? SSL stands for Secure Sockets Layer, and SSL certificates are also known as digital certificates. An SSL certificate creates a secure link between a website and a visitor's browser. It ensures that all data passed between the two remains private and secure. There are three types of SSL certificate: Extended Validation (EV SSL), Organisation Validated (OV SSL) and Domain Validated (DV SSL). There are also what is known as wildcard certificates, used to extend SSL encryption to subdomains. Why do companies need an SSL Certificate? SSL certificates establish trust between you and your customer. To obtain an SSL Certificate, the purchasing company's identity must be authenticated. With this safeguard in place, customers know that your business is not only legitimate but that it's safe to do business with you online. If you want to accept credit card information on your website, for example, then you will need to comply with Payment Card Industry (PCI) standards. One of the PCI requirements is using an SSL certificate. SSL certificates also help to prevent you and your customers from suffering a phishing attack. Phishing emails aim to impersonate your website for criminal gain. As the sender cannot receive their own SSL certificate, it makes it far more difficult for them to impersonate your website and easier for them to be caught out. As a result of SSL encryption, hackers and identity thieves are prevented from stealing private and sensitive information such as addresses, social media logins and credit card numbers. Only the intended recipient will be able to understand the information being sent. What should I look for in an SSL certificate provider? The cost of a solution can often be a deciding factor when choosing any tech solution, but when the security of your data it at risk, you shouldn’t necessarily go with the cheapest option. With that in mind, these are the top factors to consider over price alone: Compatibility: The provider should have a high trust pedigree in as many commonly used operating systems, web browsers, apps and devices as possible. Scalability: The provider should also be able to handle volumes that grow with your company, as you may end up needing thousands of certificates per second to be issued. Flexibility: The leading providers offer flexible purchasing terms. Pay-as-you-go, for example, allows you to order certificates when you see fit, regardless of amount. Bulk balance models also allow you to load money into your account. Platform: Your solution needs to be easy to use, support a variety of workflows and has a dynamic portal. Support: It's important to evaluate the services and support offerings available to help you succeed. Is an account manager on-hand, online support offered, communities to ask questions, and educational resources enabling you to self-serve? Where can I find Docusign's certificates? Docusign's digital certificates provide higher levels of identity authentication and document transaction security. Digital certificates cryptography uses Public Key Infrastructure (PKI) technology to issue certificates based on X.509 standards to represent the digital identity of a signer. The latest SSL certificate is always available for download from the Docusign Trust Site. Do I need to update my Docusign SSL certificate? If you do not have a custom SSL integration then no action is needed. Docusign’s SSL (secure sockets layer) certificate used for our DEMO, NA1, NA2, NA3 and EU environments occasionally expires (every 2 years). When the SSL certificate is set to expire a new SSL certificate will be used. That means If you have custom API, Connect, or any other system integration that depends on Docusign’s SSL certificate then contact your IT department's network administrator to update the certificate to ensure seamless functionality.

Die Idee des Wechsels zu einer passwortlosen Lösung kann sicherlich Zweifel wecken, aber viele Unternehmen wenden sich von traditionellen Passwörtern ab und implementieren benutzerfreundliche und wohl sicherere Authentifizierungsmethoden. Der Workforce Authentication Report 2023 von FIDO und LastPass ergab, dass 92 % der Unternehmen bereits über passwortlose Technologie verfügen oder deren Einführung planen, während 95 % der Unternehmen derzeit eine Form der passwortlosen Technologie verwenden.

Was bedeutet „passwortlos“?

„Passwortlos“ bezieht sich auf Authentifizierungsmethoden, die keine herkömmlichen Passwörter verwenden, sondern auf andere sichere Methoden wie Biometrie, temporäre Codes oder Multi-Faktor-Authentifizierung (MFA) zurückgreifen. Die meisten von uns verwenden wahrscheinlich bereits eine oder mehrere dieser Authentifizierungstaktiken. Dies kann der Fall sein, wenn Sie sich jeden Morgen bei Ihrem Arbeitslaptop anmelden oder sich über MFA auf Ihrem Smartphone authentifizieren. Beispiele für Authentifizierungsmethoden, die kein Passwort nutzen, sind:

Biometrie: Körperliche Attribute oder Verhaltensmerkmale, die zur Erkennung oder Überprüfung der Identität verwendet werden. Wahrscheinlich sind Sie mit einigen dieser biometrischen Methoden vertraut:

Scannen von Fingerabdrücken: Wir sehen dies auf neueren Computern: Sie öffnen Ihren Laptop, berühren den Scanner und das Betriebssystem meldet Sie ohne Passwort an.

Gesichtserkennung: Bis vor einigen Jahren war zum Entsperren Ihres Mobiltelefons ein Passcode erforderlich. Mittlerweile verwenden die meisten Benutzer die Gesichtserkennung, um ihre Telefone zu entsperren und sich bei vielen der Apps auf ihren Telefonen zu authentifizieren.

Spracherkennung: Die Software erfasst die Merkmale Ihrer Stimme, um einen eindeutigen Stimmabdruck zu erstellen, der gespeichert und für zukünftige Authentifizierungen verwendet wird. Diese Methode ist weniger verbreitet, aber Sie verwenden sie möglicherweise bereits, ohne es zu wissen. Bei entsprechender Konfiguration sollte beispielsweise Siri ausschließlich Ihre Stimme erkennen und darauf reagieren.

Iris-Scan: Noch weniger verbreitet ist es, dass Hardware Ihr Auge scannt und nach einzigartigen Mustern in Ihrer Iris sucht. Diese Methode wird vielleicht in geheimen unterirdischen Bunkern in Area 51 verwendet, doch ist es weniger wahrscheinlich, dass Sie diese Methode in absehbarer Zeit zum Anmelden bei Ihrem Laptop nutzen werden. Doch wie auch die Spracherkennung wird sich diese Authentifizierungsmethode letztendlich stärker durchsetzen.

Hardware-Token: Bei dieser Authentifizierungsmethode ohne Passwort wird ein physisches Gerät, häufig USB, zu Validierungszwecken an Ihr primäres Gerät angeschlossen. Während Google physische Sicherheitsschlüssel testete, stellte das Unternehmen fest, dass Phishing-Angriffe zu 100 % vermieden wurden, wenn sich Mitarbeiter mit einem physischen Gerät authentifizierten. Einer der beliebtesten Hardware-Token ist der YubiKey. Nachdem Sie Ihren YubiKey registriert und mit den Diensten verknüpft haben, bei denen Sie sich anmelden, stecken Sie ihn in den USB-Anschluss Ihres Computers. Er kommuniziert dann mit Ihrem Telefon, um die Authentifizierung zu initiieren.

Software-Token: Sie verwenden diese Authentifizierungsmethode wahrscheinlich täglich. Eine sekundäre Anwendung, entweder eine Authentifizierungs-App oder eine Push-Benachrichtigung an ein mobiles Gerät, wird verwendet, um Ihre Identität zu überprüfen.

Authentifizierungs-Apps: Diese sind mittlerweile recht weit verbreitet, und die meisten Haushaltstechnologieunternehmen haben ihre eigene App. Einige umfassen Google Authenticator, Microsoft Authenticator oder LastPass Authenticator. Wenn Sie sich bei einem System anmelden möchten, sendet Ihnen die Authentifizierungs-App eine einmalige Kennung oder PIN, mit der Sie die Verifizierung abschließen.

Push-Benachrichtigungen: Wenn in Ihrem Unternehmen Okta eingesetzt wird, verwenden Sie höchstwahrscheinlich Push-Benachrichtigungen zur Anmeldungsbestätigung. Für Push-Benachrichtigungen ist eine App auf Ihrem Mobilgerät erforderlich, mit der Sie eine einmalige Identitätsprüfung durchführen können. Diese App sendet dann bei einem Anmeldeversuch eine Push-Benachrichtigung an Ihr Gerät, um Ihre Identität zu überprüfen.

Magic Links: Ähnlich wie Authentifizierungs-Apps und Push-Benachrichtigungen, aber ohne eine native Anwendung. Wenn Sie versuchen, sich bei einem System anzumelden, wird ein Link entweder an Ihre registrierte E-Mail-Adresse oder als Textnachricht an Ihre registrierte Telefonnummer gesendet. Wenn Sie auf den Link klicken, bestätigen Sie Ihre Identität und erhalten Zugriff auf das System.

Warum sollten Sie passwortlose Lösungen verwenden?

Cybersicherheitsschulungen haben uns immer wieder beigebracht, wie wichtig die Komplexität von Passwörtern ist – Länge, Ziffern, Sonderzeichen usw. Wie wichtig es ist, Passwörter regelmäßig zu ändern, und dass die aktualisierten Passwörter keine Variationen früherer Passwörter sein dürfen, war ebenfalls Teil solcher Schulungen. Hoffentlich klebt keiner von uns mehr Notizzettel an seine Bildschirme! All diese Regeln führen oft zu einem Gefühl der „Passwortmüdigkeit“, da die meisten Benutzer Dutzende von Konten haben, sei es privat oder beruflich, und daher eine mentale Bibliothek mit allen Passwörtern und den damit verbundenen komplexen Regeln führen müssen. Aufgrund dieser Müdigkeit entwickeln Benutzer oft eine schlechte Passwortverwaltung und nutzen häufig nur ein Passwort für alle ihre Konten, sowohl private als auch berufliche. Es gibt zwar einige Softwarelösungen von Drittanbietern, die Ihnen helfen, Ihre Passwörter sicher auf der entsprechenden Website zu speichern und erneut anzuwenden, aber ironischerweise benötigen diese oft auch Passwörter, um sie zu verwenden.

Leider ist Diebstahl ein weiteres Problem bei herkömmlichen Passwörtern. Phishing-Angriffe sind eine der häufigsten Methoden, mit denen böswillige Akteure Passwörter stehlen. In einem Bericht über das Identitäts- und Zugriffsmanagement von Forrester stellten Unternehmen, die auf eine passwortlose Lösung umgestiegen sind, einen Rückgang der Phishing-bezogenen Vorfälle um 50 % fest. Datenschutzverletzungen sind ein weiterer häufiger Weg für Cyberkriminelle, um nicht nur Passwörter, sondern auch andere sensible Informationen zu stehlen. Der Untersuchtungsbericht zur Datenpanne bei Verizon in 2024 stellte fest, dass 24 % der Datenschutzverletzungen auf kompromittierte Anmeldeinformationen zurückzuführen sind.

Vorteile der Implementierung passwortloser Lösungen

Benutzererfahrung

Benutzerinnen und Benutzer lieben die Vorstellung, Passwörter abzuschaffen. Sich keine komplexen Passwörter mehr merken oder sie verwalten zu müssen und schnellere, bequemere Authentifizierungsmethoden zu nutzen, sind aus Sicht der Benutzererfahrung definitiv Vorteile.

Secret Double Octopus, ein Unternehmen, das sich auf passwortlose Technologie spezialisiert hat, führte eine Umfrage durch und fand heraus, dass 79 % der Benutzerinnen und Benutzer passwortlose Methoden gegenüber herkömmlichen Passwörtern bevorzugen.

Kosteneinsparungen

Ob Sie es glauben oder nicht, Passwörter sind mit Kosten verbunden. Wenn Sie sich das nächste Mal am Wasserspender mit einem IT-Supporttechniker unterhalten, fragen Sie ihn, wie oft er schon eine Anfrage zum Zurücksetzen eines Passworts erhalten hat. Erhebliche Ressourcen werden für die Passwortverwaltung aufgewendet, einschließlich des Zurücksetzens von Passwörtern und der Implementierung von MFA-Lösungen. Der bereits erwähnte Bericht zum Identitäts- und Zugriffsmanagement von Forrester zitiert eine Gartner-Studie, die zeigt, dass es bei 20 bis 50 % aller IT-Helpdesk-Anrufe um das Zurücksetzen von Passwörtern geht, wobei die durchschnittlichen Kosten für ein einzelnes Zurücksetzen über 50 Euro betragen.

Das Ponemon Institute, eine unabhängige Forschungs- und Bildungseinrichtung, führte eine Studie durch, die ergab, dass Unternehmen mit passwortloser Technologie durchschnittlich 1 Million US-Dollar pro Jahr an IT-Supportkosten einsparen.

Einhaltung von Vorschriften

Compliance-Programme erfordern starke Authentifizierungsmethoden und -lösungen, um Compliance zu erreichen und aufrechtzuerhalten. Die passwortlose Technologie macht es einem Unternehmen leicht, die Anforderungen von Programmen wie PCI-DSS, FedRAMP, SOC und ISO 27001 zu erfüllen. Passwortlose Lösungen erleichtern auch die Einhaltung von Datenschutzstandards wie der DSGVO und dem CCPA.

Höhere Sicherheit

Passwortlose Methoden haben sich als sicherer erwiesen als herkömmliche Passwörter, da sie sich auf etwas anderes stützen: etwas, das der Benutzer besitzt (ein physisches Gerät) oder etwas, das ein Benutzer ist (biometrische Daten), im Gegensatz zu etwas, das der Benutzer weiß. Dieser mehrschichtige Schutzansatz ist einzigartig für jede Person, schwer zu stehlen und bietet daher mehr Sicherheit als Passwörter.

Aus organisatorischer Sicht reduziert eine passwortlose Lösung die Angriffsfläche eines Unternehmens. Durch den Wegfall von Datenbanken, die zum Speichern, Verwalten und Übertragen von Passwortdaten erforderlich sind, wird auch das Risiko von Schutzverletzungen und Datenlecks reduziert. Massenhafter Diebstahl von Anmeldeinformationen ist nicht möglich, wenn es nichts zu stehlen gibt. Der massenhafte Diebstahl von Anmeldeinformationen ist kein einmaliges Ereignis, sondern kann zu „Credential Stuffing“ führen, bei dem gestohlene Anmeldeinformationen mehrfach wiederverwendet werden, um auf verschiedene Benutzerkonten zuzugreifen.

Fazit

Wie bereits erwähnt, erfolgt mehr als die Hälfte der Cyberangriffe aufgrund von gestohlenen Anmeldeinformationen. Die Implementierung passwortloser Lösungen verbessert nicht nur die Benutzererfahrung. Passwortlose Lösungen helfen Unternehmen auch dabei, Compliance-Zertifizierungen zu erhalten und Standards einzuhalten, die von verschiedenen Aufsichtsbehörden stammen. Entscheidend ist jedoch, dass passwortlose Lösungen ein höheres Maß an Sicherheit bieten, das mit herkömmlichen Passwortmethoden nicht möglich ist.

Die Reduzierung von Schwachstellen im Zusammenhang mit Passwörtern und die Bereitstellung stärkerer passwortloser Methoden verbessert die Benutzererfahrung und führt zu einer stärkeren Sicherheitslage. Docusign bietet ein umfangreiches Portfolio an benutzerfreundlichen Identifikations- und Authentifizierungslösungen für zahlreiche Anwendungsfälle weltweit. Um mehr über diese Lösungen zu erfahren, wenden Sie sich an Ihren Docusign-Kundenbetreuer oder lesen Sie hier weiter.

Einige Ressourcen in diesem Artikel sind nur auf Englisch verfügbar. Wir bitten um Verständnis.