Passwortlose Authentifizierung

Passwortlose Authentifizierung

So gut wie jeder Entwickler war bereits damit konfrontiert und kennt die Probleme, die man sich ins Haus holt, wenn man ein passwortgeschütztes System entwirft.

Zum einen möchte man eine möglichst hohe Sicherheit garantieren, aber auf der anderen Seite sind viele Nutzer mit Passwörtern einfach überfordert. Aussagen wie "Ich weiß mein Passwort nicht mehr." kommen am laufenden Band, da hilft auch eine "Passwort zusücksetzen" nicht viel weiter.

Zudem ist es egal wie sicher ein Passwort ist, wenn der Nutzer es auf ein Post-it an seinem Monitor hängt, idealerweise nocht mit der URL und der E-Mail Adresse versehen.

Passwortlose Authentifizierung

Das Ziel der passwortlosen Authentifizierung ist es genau diese Probleme zu lösen. Der Benutzer nutzt für die Anmeldung kein Passwort mehr, sondern nur noch seine E-Mail Adresse oder eine andere eindeutige Kontaktadresse wie beispielweise die Handynummer.

Ein weiterer großer Vorteil ist die höhere Benutzerfreundlichkeit gegenüber einer klassischen Anmeldung.

An dieser Stelle möchte ich kurz einige Ansätze in der Theorie erklären, wie sich eine solche Authentifizierung realisieren lässt.

E-Mail

Der klassische Web für eine passwortlose Anmeldung funktioniert über eine E-Mail Adresse. Nach Eingabe dieser, erhält der Nutzer einen Link an die angegebene Adresse gesendet, über welchen er sich anmelden kann. Im Link enthalten ist ein sogenannter Token, welcher einem Benutzerkonto eindeutig zugeordnet ist.

Dieser Link sollte natürlich nur für eine bestimmte Zeit gültig sein und sich nach einmaliger Anmeldung aus dem System löschen, während der Benutzer eine normale Session im System startet.

SMS

Etwas anders funktioniert die Anmeldung über die Handynummer. Nachdem diese eingegeben wurde, erhält der User einen Zugangscode per SMS, welcher er im zweiten Schritt der Anmeldung eingeben muss. Der Token wird hier durch ein Einmal-Passwort ersetzt.

Auch hier sollte die Ablaufdauer des Codes gut überlegt und nach erfolgreicher Eingabe aus dem System gelöscht werden.

WhatsApp

WhatsApp ist bei vielen Menschen die erste Wahl, wenn es um Kommunikation geht. Warum also nicht WhatsApp als Alternative zur SMS nutzen, zumal es zudem kostenlos genutzt werden kann.

Wenn man nach einer Schnittstelle sucht, landet man sehr schnell auf GitHub. Der Prozess kann hier auf beide weisen realisiert werden, entweder über einen Link, der jedoch auch dazu genutzt werden kann, sich auf einem anderen Gerät anzumelden, oder über einen einfachen Code, wie beim der SMS-Variante.

Nachteile

Gerade bei der Variante über E-Mail ist das Risiko, dass der Anmeldelink im Spam landet, immer gegeben. Zu bedenken ist zudem, dass der Anmeldeprozess länger dauert, als der klassische mit Passwort, den bis eine E-Mail, SMS oder WhatsApp-Nachricht eingeht, kann durchaus etwas Zeit vergehen. Weiterhin ist darauf zu vertrauen, dass diese Systeme beim Nutzer sicher sind.

Fazit

Wer viele Nutzer auf einem System hat, wird sicherlich den enormen Vorteil der passwortlosen Authentifizierung sehen. Gerade wenn man viel mit Nutzern zu tun hat, welche nicht ganz so technikaffin sind, ist es ein großer Segen und lässt über die Nachteile hinwegsehen.


zurück