Ich stehe gerade vor einer Entscheidung bei der Arbeit und weiß nicht so recht, was ich davon halten soll. Mein Team drängt darauf, dass wir für ein neues internes Tool komplett auf Passwortlose Authentifizierung umstellen. Die Idee ist, dass jeder nur noch per Magic Link oder Biometrie auf sein Konto kommt. Irgendwie macht mich das nervös, obwohl ich die Vorteile verstehe. Ich habe gestern Abend noch lange darüber nachgedacht, ob wir damit nicht eine zentrale Schwachstelle schaffen, die wir bisher gar nicht auf dem Schirm haben. Wie sind eure Erfahrungen damit? Hat jemand von euch so einen Wechsel schon mal durchgemacht oder aktiv abgelehnt?
Ich glaube nicht sofort an so eine komplette Umstellung. Passwortlose Authentifizierung klingt toll, doch einer der Haupteinwände bleibt der Kanal der Email oder des Telefons. Wenn der Angreifer Zugriff auf das Emailkonto hat ist der Weg offen. Wir sollten eine ergänzende Lösung prüfen wie FIDO2 Schlüssel
Aus technischer Sicht reduziert Passwortlose Authentifizierung oft phishing Risiken weil Passworte nicht mehr im Spiel sind. Es verschiebt Risiken auf Registrierungsfluss und Gerätemanagement. Idealerweise kombiniert man mit FIDO2 oder biometrischer Verifizierung mit Hardware Token. Wir sollten klare Offboarding und Wiederherstellungsprozesse definieren.
In meinem Team haben wir es in einer kleinen Anwendung getestet. Wir starteten ein Pilotprojekt über drei Monate und sammelten Feedback. Die Ergebnisse waren weniger Anmeldungen und Supportanfragen wegen falsch verschickter Links. Offboarding war komplex. Am Ende gab es keine sofortige organisationsweite Umstellung. Die Lehre ist, dass ein schrittweiser Ansatz besser funktioniert.
Vielleicht geht es hier um Vertrauen statt Technik. Eine zentrale Lösung zu haben kann ein Sicherheitsloch erzeugen wenn der zentrale Punkt kompromittiert wird. Vielleicht ist die Fragestellung nicht wie man Passwortlose besser implementiert sondern wie viel Risiko wir bereit sind zu akzeptieren. Ist die zentrale Stelle wirklich zu trauen?
Eine Idee ist das Thema Offenheit zu erweitern. Wir könnten Passwortlose Authentifizierung kombinieren mit einem breiteren Sicherheitskonzept das auch Überwachung Notfallzugang Onboarding Risikobasierte Authentifizierung umfasst. Man könnte das Thema neu rahmen und zuerst die Erwartungen der Leser klären.
