Passwortlose Authentifizierung ist eine Art der Multi-Faktor-Authentifizierung (MFA), die ein Passwort als Authentifizierungstyp eliminiert. Anstatt Passwörter zu verwenden (etwas, das der Benutzer kennt), verlässt sich die passwortlose Authentifizierung auf die Authentifizierung eines Benutzers über andere Mittel, wie etwas, das ein Benutzer hat (wie ein vertrauenswürdiges mobiles Gerät oder einen Hardware-Sicherheitsschlüssel) und etwas, das sie sind (zum Beispiel das Scannen ihres Fingerabdrucks).
Die häufigsten Anwendungsfälle für passwortlose Authentifizierung umfassen entweder die Authentifizierung von Mitarbeitern oder die Authentifizierung von Kunden. Unternehmen nutzen passwortlose Authentifizierung, um die Benutzererfahrung zu verbessern, da viele Menschen unsichere Passwörter vergessen oder wiederverwenden; um Sicherheitsrisiken für das Unternehmen zu reduzieren, die aus kompromittierten Passwörtern resultieren; und um die Kosten für die Verwaltung von Passwörtern zu senken und die Belastung durch Passwortzurücksetzungen für Helpdesk-Teams zu verringern.
Damit ein Produkt in die Kategorie der passwortlosen Authentifizierung aufgenommen wird, muss das Produkt einen Benutzer über FIDO-konforme Authentifizierungs-Apps, Sicherheitsschlüssel/Karten oder ähnliche Technologien authentifizieren. Um in diese Kategorie aufgenommen zu werden, darf ein Produkt nicht auf E-Mail- oder SMS-basierte Authentifizierung als Hauptform der Authentifizierung angewiesen sein, da diese Methoden anfällig für Hacks sind. Ebenso darf ein Produkt nicht nur Passwortwiedergabe bieten; es muss eine wirklich passwortlose Lösung bieten. Einige Produkte können ihre FIDO-konforme Authentifizierung mit biometrischer Authentifizierung ergänzen. Zusätzlich können Produkte Rückfallmethoden wie Sprach-, E-Mail- oder SMS-basierte Authentifizierung anbieten, aber das sollte eine Funktion sein, die ein Unternehmen wählen kann, wenn der Endbenutzer offline ist und keinen Zugang zu mobilen Daten oder Netzwerken hat, wenn er ein mobiles Gerät verwendet (im Gegensatz zur Verwendung eines Hardware-Sicherheitsschlüssels).
Je nach Anwendungsfall funktioniert die passwortlose Authentifizierung mit der Identity and Access Management (IAM) Software eines Unternehmens oder der Customer Identity and Access Management (IAM) Software.
Um sich für die Aufnahme in die Kategorie der passwortlosen Authentifizierungssoftware zu qualifizieren, muss ein Produkt:
Benutzer zur Authentifizierung beim Einloggen auffordern
Benutzer mit einer FIDO-konformen Authentifizierungs-App oder einem Sicherheitsschlüssel authentifizieren
Benutzern mehrere Möglichkeiten zur Authentifizierung bieten, einschließlich, aber nicht beschränkt auf: Mobile Push auf vertrauenswürdigen Geräten; FIDO-fähige Geräte; physische Sicherheitsschlüssel; Schlüsselanhänger; Smartwatches; Biometrie; QR-Codes; und Desktop-App und PIN
