Tipps für eine erfolgreiche passwortlose Authentifizierung

Mitarbeiter und Kunden erwarten Zugriff auf Anwendungen von jedem Ort, über jedes Gerät und zu jeder Zeit. Wir haben uns mittlerweile so sehr daran gewöhnt, Passwörter einzugeben, um Zugriff zu erhalten, dass die Vorstellung, davon abrücken zu müssen, geradezu irritiert – trotz der Probleme, die Passwörter mit sich bringen.

Passwörter, so wie wir sie kennen, gibt es seit dem Jahr 1961. Die ursprüngliche Passwortstruktur war eine Kombination aus vier numerischen Zeichen (wie eine PIN), die in Großrechnersystemen die Kernfunktion hatte. In manchen Unternehmen ist dies bis heute so. Aufgrund der Vielzahl von Datenschutzverletzungen durch kompromittierte Passwörter und angesichts der allgemeinen Frustration der Benutzer bei der Erstellung, Verwendung und Rücksetzung von Passwörtern haben wir jetzt einen Wendepunkt erreicht. Wenn Sie jemals dringend ein Passwort zurücksetzen mussten und unendlich lange in der Warteschleife beim Support hingen, wissen Sie, was ich meine. Für manche Menschen wurde die Situation so unerträglich, dass sie es vorzogen, ihre Konten in den sozialen Medien als primären Zugang zu weiteren Konten zu nutzen, um das Erstellen neuer Passwörter zu umgehen. Das Risiko sinkt aber leider nicht dadurch, dass die Nutzer die Verantwortung für den Schutz ihrer Daten auf die Unternehmen der sozialen Medien übertragen.

Das Verfahren der passwortlosen Authentifizierung verzichtet auf die Verwendung von Passwörtern. Auch wenn es gilt, Passwörter über kurz oder lang abzuschaffen, ist es vorerst realistischer, ihre Notwendigkeit zu verringern. Es gibt zahlreiche Authentifizierungsmethoden, die sicherer sind als Passwörter, und der Wandel ist bereits im Gange. Vielleicht verwenden Sie bereits einen Fingerabdruck-Scan, um sich zu authentifizieren, wenn Sie Ihr Smartphone entsperren oder auf Anwendungen zugreifen. Alternativen werden im Folgenden ausführlicher erörtert.

Der Verizon Data Breach Investigations Report 2021 stellte fest, dass 61% der Datenschutzverletzungen im Jahr 2020 auf die Verwendung nicht autorisierter Zugangsdaten zurückzuführen waren. Es ist die Passwortmüdigkeit, die dazu führt, dass Menschen Passwörter für mehrere Konten wiederverwenden, anstatt sich neue auszudenken, und sie zudem noch an andere Personen weitergeben. Wenn für das Erstellen der Passwörter die Namen von Haustieren oder anderen Dingen verwendet werden, die auf Social-Media-Seiten problemlos erfahrbar sind, finden Cyberkriminelle das ganz einfach heraus. Wenn ein Passwort kompromittiert ist, kann dies mehrere Konten betreffen. Aus diesem Grund sahen sich manche Unternehmen dazu veranlasst, häufigere Änderungen der Passwörter zu verlangen und ihre Komplexität zu erhöhen.

Bei kompromittierten Passwörtern denken wir oft an den Diebstahl von Daten und Identitäten und an die kostenintensiven und markenschädigenden Folgen. Wir haben auch schon erlebt, dass passwortbasierte Kompromittierungen zu Unterbrechungen des Betriebs geführt haben und negative Auswirkungen auf Dienstleistungen und wichtige Infrastrukturen hatten.

Gestohlene Zugangsdaten verstärken die Verbreitung von Ransomware. Das Digital Shadows Research Team hat festgestellt, dass 15 Milliarden gestohlene Zugangsdaten im Dark Web verfügbar sind, mit denen die Übernahme von Konten möglich ist. Cyberkriminelle verwenden außerdem Phishing- und Social-Engineering-Methoden, Tools zum Knacken von Passwörtern und weitere Methoden, um an Passwörter zu gelangen und Ressourcen zu stehlen (wie beispielsweise weitere Passwörter) bzw. Daten und Geld oder um hohe Summen an Lösegeld zu erpressen. Wenn wir von der Verwendung von Passwörtern abrücken, verlieren sie ihren Wert im Dark Web und als Glied der Angriffskette.

Die Verwendung von Passwörtern hat in mehrfacher Hinsicht zu einer geringeren Produktivität der Arbeitnehmer geführt. Ohne Single Sign-on (SSO) und Multi-Faktor-Authentifizierung (MFA) müssen Mitarbeiter zum Erledigen ihrer Aufgaben möglicherweise mehrere Konten anlegen und sich täglich bei mehreren Anwendungen anmelden. Das Team des IT-Helpdesks wird durch die häufigen Anfragen von Kollegen und Kunden zum Zurücksetzen von Passwörtern von seinen sonstigen Arbeiten abgehalten.

Für die Kunden sind Passwörter zudem eine Ursache von Schwierigkeiten und Frustration. Wie auch bei den Mitarbeitern verbessern SSO- und MFA-Lösungen die Benutzererfahrung, denn auf diese Weise müssen sie sich nicht mehr mit unterschiedlichen Zugangsdaten bei verschiedenen Unternehmensanwendungen einloggen, z. B. mit separaten Logins für ein eCommerce-Konto und das dazugehörige Prämienpunktekonto. Trotz dieser Verbesserungen muss der Kunde nach wie vor sein Kontopasswort eingeben (eines der vielen Passwörter, die er wahrscheinlich jeden Tag verwendet) und auch dieses ist immer noch den gleichen Schwachstellen ausgesetzt.

Passwörter sind bereits so lange ein fester Bestandteil von Anwendungen und Diensten, dass wir einige Zeit brauchen werden, um sie hinter uns zu lassen. Eine durchschnittliche Person nimmt bis zu 200 Dienste in Anspruch, bei denen sie Passwörter oder andere Zugangsdaten eingeben muss. Unabhängig davon, wie komplex die Erstellung von Passwörtern geworden ist (z. B. mindestens 8 Zeichen lang, davon 1 Großbuchstabe, 1 Kleinbuchstabe, 1 Zahl und 1 Sonderzeichen), vermitteln Passwörter vielen Menschen noch immer ein Gefühl der Sicherheit. Dieses vermeintliche Sicherheitsgefühl beruht häufig auf der jahrelangen Gewöhnung an das Eingeben eines Passworts für jedes neue Konto.

Dieser Gewohnheitsfaktor gilt nicht nur für Benutzer. Unternehmen verwenden seit langem Passwörter für die Sicherheit. Das Anfordern einer einfachen Kombination aus Benutzername und Kennwort ist der Forderung nach zusätzlichen Verifizierungsmethoden gewichen, so dass bereits Fortschritte bei der Erhöhung der Sicherheit verzeichnet werden. Kurzfristig geht es darum, mit weniger, aber nicht mit gar keinen Passwörtern auszukommen. Der erste Schritt ist das Verringern des Passwort-Footprints jedes einzelnen Nutzers, damit diese keine zusätzlichen Passwörter erstellen.

Die Journey zu einer erfolgreichen passwortlosen Authentifizierung besteht aus vier Etappen:

Starten Sie mit der Zentralisierung Ihrer Authentifizierung

Die Zentralisierung der Authentifizierung mit Single Sign-on und adaptiver Multi-Faktor-Authentifizierung (MFA) bietet den für eine passwortlose Authentifizierung erforderlichen Rahmen. Bei der Multi-Faktor-Authentifizierung müssen Benutzer ihre Identität mit zwei oder mehr Authentifizierungsfaktoren verifizieren, während bei der Zwei-Faktor-Authentifizierung (2FA) nur zwei Faktoren benötigt werden. Passwörter werden oft als erster Authentifizierungsfaktor verwendet, aber das ist keine Voraussetzung für MFA oder 2FA. Microsoft hat festgestellt, dass die MFA „99,9 Prozent der Angriffe auf Konten vereiteln kann.“

Dies sind die Authentifizierungsfaktoren:

• Wissen = Etwas, das man weiß (Passwort, PIN usw.)

• Besitz = Etwas, das man hat (Smartphone, Schlüsselanhänger usw.)

• Genetische Merkmale = Etwas, das man ist (Fingerabdrücke, Netzhaut-Scans usw.)

Zu der Kategorie „Besitz“ können als vierter Authentifizierungsfaktor die gerätebasierten Verhaltens- und Kontextinformationen als „Etwas, das man tut“ gezählt werden. Mit diesem neuen Faktor lassen sich die Tageszeit der gewöhnlichen Anmeldung des Benutzers, der übliche Standort oder das Verhalten während der Sitzung (Tastenanschläge, Geschwindigkeit, Häufigkeit von Ausschneiden und Einfügen usw.) berücksichtigen.

Wenn wir also das Passwort beiseitelassen, bleiben noch drei stärkere Authentifizierungsfaktoren für MFA und 2FA. Das Zurückfahren der Abhängigkeit von Passwörtern steigert nicht nur die Sicherheit Ihres Netzwerks, sondern verringert auch die Anzahl der Anfragen bei Ihrem IT-Helpdesk wegen Passwortrücksetzungen.

Einführen einer risikobasierten Multi-Faktor-Authentifizierung (MFA)

Die risikobasierte MFA (auch als adaptive MFA bezeichnet) bewertet dynamisch das Risiko einer bestimmten Interaktion auf der Grundlage einer Vielzahl von Faktoren und passt den Authentifizierungsprozess entsprechend an. Kontext und Verhalten während des Login-Versuchs werden unter die Lupe genommen und dadurch können kriminelle Akteure, die kompromittierte Zugangsdaten verwenden, aufgehalten werden, bevor sie in Ihr System eindringen. Wenn sich beispielsweise ein Benutzer von einer verdächtigen IP-Adresse aus anmeldet und Zugriff auf sensible Daten nehmen möchte, kann er zu zusätzlichen Authentifizierungsmethoden aufgefordert werden, bevor der Zugriff gewährt wird. Wird der zusätzliche Nachweis nicht erbracht, so wird der Zugriff verweigert.

Durch das Bewerten, ob angemessene Sicherheitsanforderungen für jede einzelne Transaktion erfüllt wurden, und das Hochstufen der Authentifizierung im gegenteiligen Fall, schützt eine zusätzliche Sicherheitsebene die Daten, ohne dass der Vorgang durch unnötige Reibungspunkte erschwert wird. 

Auswählen des passenden alternativen Authentifizierungsmechanismus

Es gibt zahlreiche Authentifizierungsmethoden, die anstelle von Passwörtern verwendet werden können. Da wir eine Vielzahl von Authentifizierungsoptionen bereitstellen, kommen wir den Nutzern entgegen, damit sie selbst bestimmen können, wie und wo sie mit Marken arbeiten und/oder unterschiedliche Arbeitsszenarien unterstützen möchten.

Die Vor- und Nachteile der verschiedenen Methoden werden im Folgenden aufgeführt.

Einmalpasswörter (OTPs) gehören zu der Kategorie „Besitz“, da sie an ein Smartphone gesendet oder von einem Gerät erzeugt werden, z. B. einem Schlüsselanhänger des Benutzers.

Authentifizierungs-Apps wie beispielsweise der Google Authenticator oder Microsoft Authenticator können für das Generieren eines einmaligen Passcodes für die Authentifizierung genutzt werden.

Biometrische Daten beziehen sich auf einzigartige körperliche Merkmale. Während viele Menschen mit der Gesichts- und Fingerabdruckerkennung vertraut sind, gewinnen auch andere Formen der biometrischen Authentifizierung wie Netzhaut-Scans, Stimmausdrücke sowie Signaturen mittels Gehirnwellen und Herzschlag immer mehr an Bedeutung.

Bei Sicherheitsschlüsseln handelt es sich um Hardware-Geräte, die mit einem Computer oder einem mobilen Gerät verbunden werden und dem Benutzer über eine Taste oder ein Tastenfeld sofortigen Zugriff auf Dienste ermöglichen.

Einführen der standardbasierten Authentifizierung mit FIDO und der Public-Key-Verschlüsselung

Es gibt zahlreiche Organisationen, die sich gemeinsam darum bemühen, Alternativen für Passwörter zu entwickeln. Die 2013 gegründete FIDO Alliance konzentriert sich auf die Schaffung von Authentifizierungsstandards, die dazu beitragen, die übermäßige Abhängigkeit der Welt von Passwörtern zu reduzieren.

FIDO (Fast Identity Online) ist ein Set von standardisierten Authentifizierungsprotokollen, die mithilfe der asymmetrischen Kryptographie (Public Key Cryptographie Standards) die Authentisierung der Benutzer sicherstellt. Dass FIDO ein offener Standard ist, bedeutet im Grunde, dass er für eine flächendeckende Anwendung vorgesehen und öffentlich verfügbar ist. Er kann gratis übernommen, implementiert und aktualisiert werden. Dieser Standard bietet erweiterten Schutz gegen Phishing, Man-in-the-Middle und andere gängige Arten von Cyberangriffen.

Die FIDO Alliance hat drei Spezifikationen veröffentlicht, die alle auf der Public-Key-Verschlüsselung basieren:

• Universal Authentication Framework (UAF)

• Universal Second Factor (U2F)

• FIDO2

Die gesamte Kommunikation ist verschlüsselt und die privaten Schlüssel verlassen nie die Geräte der Benutzer. Dadurch verringert sich die Wahrscheinlichkeit, sie bei der Übertragung zu offenbaren. Auch bei der Verifizierung mit biometrischen Informationen werden diese auf den Geräten der Benutzer abgelegt, was diese Methoden stärker und sicherer macht.

Bei einem FIDO-fähigen Produkt oder Dienst können Nutzer unter denen von diesem Produkt oder Dienst akzeptierten Methoden ihre bevorzugte Option (Fingerabdruck-Scan, Eingabe einer PIN usw.) auswählen und sich damit einloggen.

Sind Sie bereit für den Wechsel zur passwortlosen Authentifizierung?

Beginnen Sie bei der Kontoerstellung. Verwenden Sie bei der Kontoerstellung keine Passwörter, sondern einen Fingerabdruck-Scan oder eine andere Authentifizierungsmethode. Der Identitätsnachweis kann ebenfalls als Teil der Umstellung auf ein passwortloses System integriert werden: bei der Registrierung, bei der Wiederherstellung eines Kontos oder bei einem anderen Ereignis mit hohem Risiko, das durch ein Signal ausgelöst wird. Mit der stärkeren Gewissheit, dass die Benutzer auch wirklich diejenigen Personen sind, für die sie sich ausgeben, wird die Umstellung zur passwortlosen Authentifizierung leichter.

Benutzernamen und Passwörter werden der Vergangenheit angehören, ebenso wie die damit verbundenen Sicherheitsprobleme. Wenn wir Passwörter abschaffen, haben wir auch keinen Aufwand mehr in Bezug auf das Erstellen, Merken und Zurücksetzen. Da es bereits sicherere Authentifizierungsmethoden gibt, haben wir jederzeit die nötigen Werkzeuge zur Verfügung, um auf ein Ziel ohne Passwort zuzugreifen.

In diesem kurzen Video erfahren Sie mehr über die passwortlose Authentifizierung.

Es gibt kein pauschales Rezept für die Umstellung auf ein passwortloses System. Jedes Unternehmen muss seine aktuelle Situation überprüfen und das eigene Tempo bestimmen. Sie können sich diesen Weg zusätzlich erleichtern, indem Sie sich auf die Suche nach einem internen Experten und einem Partner für die passwortlose Authentifizierung machen, der Ihnen mit Anwendungen und Ressourcen hilft.