Ich stehe gerade vor einer Entscheidung bei der Arbeit und weiß nicht so recht, was ich davon halten soll. Mein Team möchte für ein internes Tool auf eine Passwortlose Authentifizierung umstellen, also komplett ohne klassische Passwörter. Die Argumente klingen gut, aber ich habe mein Leben lang gelernt, dass ein starkes Passwort die Grundlage ist. Irgendwie fühlt es sich falsch an, dieses ganze Konzept einfach fallen zu lassen, auch wenn die neuen Methoden technisch fortschrittlich wirken. Ich frage mich, ob andere diesen inneren Widerstand auch kennen.
Ich verstehe den Widerstand du bist jahrelang darauf konditioniert starke Passwörter zu sehen als Schutz. Passwortlose Authentifizierung klingt verlockend doch dein Bauchgefühl sagt bleib vorsichtig. Oft wird versprochen dass es sicherer oder bequemer geht doch Sicherheit hängt von mehr ab als dem einzelnen Login darf man nicht die Physis der Bedrohung außer Acht lassen. Wie schlägt dein Gefühl dabei zu?
Aus analytischer Sicht kann Passwortlose Authentifizierung Vorteile bringen wie geringere Phishing Anfälligkeit doch neue Risiken entstehen durch verlorene Geräte oder Ausfall der Token und durch schwach gesicherte Browser oder Apps.
Vielleicht wird hier die Idee verwechselt was Passwortlos bedeutet. Es heißt nicht kein Sicherheitsniveau mehr sondern dass andere Mechanismen statt Passwörter genutzt werden. Man könnte es als ergänzende Schicht sehen statt als radikale Abschaffung.
Klingt wie ein Hype der Sicherheitsteams ist das wirklich die Zukunft oder nur das nächste Buzzword?
Vielleicht geht es nicht um Passwortlos gegen Passwort sondern um Vertrauen in die Infrastruktur und in die Prozesse. Die Frage ist welche Kontrollen bleiben stabil sobald die Gewohnheiten sich ändern und wie man das Team mitnimmt.
Vielleicht hilft es das Konzept Zero Trust als Rahmen zu nutzen statt vorschnell zu entscheiden es geht um Kontrolle der Zugriffe auch ohne klassische Passwörter
