Keycloak Passwordless - Authentifizierung ohne Passwort
Passwordless-Authentifizierung, auch als passwortlose Authentifizierung bezeichnet, bietet einige Vorteile gegenüber klassischen Authentifizierungsverfahren und kann aus verschiedenen Gründen implementiert werden. Häufige Gründe für den Wunsch passwortlose Authentifizierung mit Tools wie Keycloak zu nutzen sind:
- Erhöhte Sicherheit
-
Passwörter können anfällig für Diebstahl, Phishing-Angriffe und Brute-Force-Angriffe sein. Passwordless-Authentifizierung bietet eine sicherere Alternative, da keine Passwörter im Umlauf sind, die gestohlen oder kompromittiert werden könnten.
- Benutzerfreundlichkeit
-
Das Einprägen und Verwalten von Passwörtern kann für Benutzer oft lästig sein. Passwordless-Authentifizierung macht den Anmeldeprozess einfacher und bequemer, indem sie alternative Authentifizierungsmethoden wie biometrische Daten (Fingerabdruck, Gesichtserkennung) oder Geräteinformationen (z. B. Sicherheitstoken) verwendet.
- Reduziertes Risiko von Passwortwiederholungen
-
Viele Benutzer verwenden dasselbe Passwort für mehrere Konten, was ein erhebliches Sicherheitsrisiko darstellt. Durch den Verzicht auf Passwörter wird dieses Problem vermieden, da keine Passwörter mehr erstellt oder wiederholt werden müssen.
- Verringerte Kosten für Support
-
Die Passwortrücksetzung ist eine häufige Anforderung im Kundensupport, da Benutzer ihre Passwörter vergessen oder verlieren können. Passwordless-Authentifizierung reduziert die Notwendigkeit solcher Supportanfragen und kann zu einer Kostenersparnis für Unternehmen führen.
- Zukunftsorientierte Technologie
-
Passwordless-Authentifizierung nutzt fortschrittliche Technologien wie biometrische Daten und sichere Tokens, die als sicherer und effektiver angesehen werden als herkömmliche Passwörter. Durch den Einsatz von passwordless-Authentifizierung können Unternehmen ihre Sicherheitsinfrastruktur zukunftsfähig gestalten.
Dabei sollte man bedenken, dass Passwordless-Authentifizierung nicht für alle Anwendungsfälle geeignet ist. Einige Unternehmen bevorzugen weiterhin die Verwendung von Passwörtern oder eine Kombination aus Passwörtern und anderen Authentifizierungsmethoden, um ihre spezifischen Sicherheitsanforderungen zu erfüllen.
Open Source Identity und Access Management
Wir werden in einer mehrteiligen Serie die Möglichkeiten vorstellen, die es heute gibt, um Passwordless-Authentifizierung mit Keycloak umzusetzen. Keycloak ist eine Open-Source-Lösung für Identity und Access Management und bietet neben der Unterstützung der relevanten Standards wie WebAuthn über Erweiterungen auch die Möglichkeit weitere Authentifizierungsverfahren ohne Passwörter zu implementieren.
Keycloak wird seit 2014 von der Open-Source-Community entwickelt und ist seit 2023 Teil der Cloud Native Computing Foundation (CNCF), die unter dem Dach der Linux Foundation eine Vielzahl kritischer Technologieinfrastruktur betreut.
Der Weg zu passwortloser Authentifizierung
Der Weg zur passwortlosen Authentifizierung war ein schrittweiser Prozess, der im Laufe der Zeit verschiedene Technologien und Ansätze umfasst hat.
In den Anfängen des Internets waren Passwörter die gängige Methode zur Authentifizierung. Benutzer mussten sich mit einem Benutzernamen und einem Passwort anmelden, um auf ihre Konten zuzugreifen. Allerdings haben Passwörter ihre Schwächen, wie die Neigung der Benutzer, schwache Passwörter zu wählen oder dieselben Passwörter für mehrere Konten zu verwenden.
Um die Sicherheit von Passwörtern zu verbessern, wurden TOTP-Authentifizierungsmethoden eingeführt. Dabei generiert eine Authentifizierungsanwendung wie Google Authenticator, Authy oder die von vielen Unternehmen eingesetzten RSA-Tokens am Schlüsselbund alle 30 Sekunden ein einmaliges Passwort, das neben dem Benutzernamen und Passwort eingegeben werden muss. Dieses Passwort basiert auf einem gemeinsamen geheimen Schlüssel, der sowohl auf dem Server als auch auf der App gespeichert ist. TOTP bietet eine zusätzliche Sicherheitsebene, da das generierte Passwort nur für kurze Zeit gültig ist.
Authentifizierungsverfahren von TOTP in Verbindung mit Benutzernamen und Passwort erhöhen zwar die Sicherheit, sind aber für die Anwender weniger komfortabel zu nutzen.
Hier setzen Magic Links an. Sie sind eine einfache Methode zur passwortlosen und komfortablen Authentifizierung. Dabei erhalten Benutzer per E-Mail einen speziellen Link, der eine Sitzung mit ihrem Konto startet. Wenn der Benutzer auf den Link klickt, wird er direkt in sein Konto eingeloggt, ohne ein Passwort eingeben zu müssen. Diese Methode basiert auf der Annahme, dass der Zugriff auf die E-Mail-Adresse des Benutzers ausreichend sicher ist.
Das W3C veröffentlichte 2019 gemeinsam mit der FIDO Alliance mit WebAuthn einen offenen Web-Standard zur sicheren Authentifizierung. WebAuthn basiert auf Public-Key-Kryptografie: Dem Betreiber einer Webseite ist dabei nur der öffentliche Schlüssel des Anwenders bekannt, während der private Schlüssel beim Nutzer verbleit. WebAuthn kann ähnlich wie TOTP als zweiter Faktor in Kombination mit Benutzername und Passwort eingesetzt werden, erlaubt es Benutzern aber auch ihre Identität nachzuweisen, ohne ein Passwort eingeben zu müssen. Diese Methode bietet eine starke Sicherheit und verbesserte Benutzerfreundlichkeit. Anders als bei der klassischen Authentifizierung über Benuztername und Passwort, bei dem Benutzername und Hash des Passworts auf dem Server des Anbieters gespeichert werden, muss sich der Benutzer bei WebAuthn allerdings selbst um die sichere Speicherung des privaten Schlüssels kümmern. Der private Schlüssel wird normalerweise in einem sicheren Element oder einem geschützten Speicher auf dem Gerät des Benutzers gespeichert. Ein sicheres Element kann eine hardwarebasierte Komponente sein, wie beispielsweise ein Sicherheitschip, der in bestimmten Geräten wie Smartphones oder USB-Sicherheitsschlüsseln (z.B. Yubikeys) eingebettet ist.
Um die Benutzerfreundlichkeit weiter zu erhöhen haben Apple und Google unter dem Namen Passkeys kürzlich ein Verfahren zur passwortlosen Authentifizierung auf Basis von WebAuthn vorgestellt, bei dem die privaten Schlüssel nicht mehr nur auf einem Gerät oder Hardwaretoken gespeichert werden, sondern automatisch über die Cloud des Anbieters zwischen den Geräten eines Benutzers (Mobiltelefone, Tablets, Notebooks) synchronisiert werden. Passkeys sind sicherer als Passwörter, da sie nicht anfällig für Phishing- oder Brute-Force-Angriffe sind und durch die automatische Synchronisation über die Cloud sowie die gute Integration in das jeweilige Ökosystem sehr benutzerfreundlich.
Unsere Serie
In dieser Serie zeigen wir euch die Umsetzung passwortloser Authenfizierungsverfahren mit Keycloak:
-
Teil 2: Keycloak Login mit Magic Links
-
Teil 3: WebAuthn mit Keycloak
-
Teil 4: Passkeys mit Keycloak
Zu den Themen Security, Passwordless und Keycloak bieten wir sowohl Beratung, Entwicklungsunterstützung als auch passende Schulungen an:
Auch für Ihren individuellen Bedarf können wir Workshops und Schulungen anbieten. Sprechen Sie uns gerne an.