Was Sie über passwortlose Authentifizierung wissen sollten

Passwörter sind zur Achillesferse der Cybersicherheit geworden. Je mehr wir online leben, desto mehr Kombinationen von Benutzernamen und Passwörtern sammeln wir an - die durchschnittliche Person hat über 100 Passwörter.[1] Und viele von ihnen entsprechen nicht den Konventionen für sichere Passwörter. Eine Studie hat ergeben, dass zwei Drittel der Erwachsenen in den USA ihre Passwörter für verschiedene Dienste wiederholen, und jeder Dritte gibt seine Passwörter an Freunde und Verwandte weiter - wie zum Beispiel den Netflix-Login. Und als ob das nicht schon schlimm genug wäre, ergab dieselbe Studie, dass das am häufigsten verwendete Passwort heutzutage "12345" ist.[2] 

Selbst Versuche, Passwörter durch zusätzliche Fragen zu verbessern, sind nur begrenzt wirksam. Alle, die davor gewarnt wurden, diese "Welche Sex and the City Figur bist du?" auszufüllen. Social-Media-Quiz weiß, dass Hacker kreativ werden, um auch diese sekundären Faktoren zu stehlen.[3]

Es ist kein Wunder, dass identitätsbasierte Angriffe heute die Quelle der meisten Datenschutzverletzungen sind.[4] Bösewichte haben sich mit dem Diebstahl und Weiterverkauf gültiger Zugangsdaten im Dark Web über Phishing und andere "Credential Harvesting"-Angriffe ein neues Standbein geschaffen: . Laut einem aktuellen Bericht des Mimecast-Partners Crowdstrike hat sich die Nachfrage nach den Dienstleistungen von initial access brokers , die illegalen Zugang zu Unternehmensnetzwerken verkaufen, im letzten Jahr mehr als verdoppelt.[5]

Eine starke Verteidigung gegen Phishing und andere E-Mail-Kompromittierungen kann den Bemühungen, den Diebstahl von Zugangsdaten zu verhindern, Luft verschaffen, aber die Verteidiger müssen dieses Problem an mehreren Fronten angehen. Da die meisten Angriffe auf Anmeldedaten abzielen oder diese nutzen, ist es auch wichtig, die Identitäts- und Zugangsverwaltung zu stärken. Die passwortlose Authentifizierung ist eine Alternative zu passwortbasierten Anmeldungen - eine Alternative, die immer mehr an Bedeutung gewinnt, da sich große Technologieunternehmen dazu verpflichten, diesen neuen Ansatz zu unterstützen.[6] Es ist wichtig zu verstehen, was passwortlose Authentifizierung ist - ihre Vorteile, Herausforderungen und Grenzen - und wie sie mit anderen Cybersicherheits-Tools integriert werden kann.

Was ist passwortlose Authentifizierung? 

Stellen Sie sich vor, Sie betreten Ihr Haus ohne Schlüssel. Ein Signal von Ihrem Telefon oder ein Scan Ihres Gesichts öffnet die Haustür und lässt Sie herein. Das ist ähnlich wie bei der passwortlosen Authentifizierung.

Die passwortlose Authentifizierung umgeht die Hauptnachteile passwortbasierter Anmeldedaten, indem sie die Identität des Benutzers mit anderen Mitteln als einer zufälligen Buchstaben- und Zahlenfolge überprüft - oder, schlimmer noch, mit der Adresse des Benutzers oder dem Mädchennamen der Mutter. 

Die Entwicklung der passwortlosen Authentifizierung verlief parallel zu den Fortschritten bei Technologien wie Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) sowie zum Boom bei Smartphones. Durch die Entwicklung von Standards wie Fast ID Online (FIDO) und NIST 800-63B des National Institute of Standards and Technology wurde die Abschaffung von Passwörtern möglich. Im Jahr 2022 schalten Apple, Google und Microsoft den Wettbewerb aus und bilden eine Allianz, die die Entwicklung eines passwortlosen Standards unterstützt.[7]

Bei der passwortlosen Authentifizierung werden alternative Methoden verwendet, um die Identität eines Benutzers zu überprüfen, bevor der Zugriff auf die Netzwerkressourcen eines Unternehmens gewährt wird, z. B: 

• Biometrie: Die Verwendung von Geräten mit Kameras und Touchscreens ermöglicht die biometrische Identifizierung durch Scannen des Fingerabdrucks oder des Gesichts des Benutzers oder durch einen Stimmabdruck. Bislang galt dies als der Goldstandard bei der Authentifizierung, da es am schwersten zu kopieren ist. Die Besorgnis über die "Deep Fake"-Technologie von und über Voicemail-Betrug im Allgemeinen wächst. Auch wenn sie einen menschlichen Nutzer täuschen können, gibt es bisher keine Beweise dafür, dass die Fälschungen biometrische Schutzmechanismen überwinden können. 
• Authentifizierungs-Token: MFA unter Verwendung eines physischen Tokens, der einen einmaligen Code generiert, oder einer Authentifizierungs-App, die mit einem zuvor verifizierten Gerät oder E-Mail-Konto verbunden ist. Dies ersetzt den alten Zettel mit dem Kennwort, der an der Seite des Computerbildschirms klebte, und macht die Identität übertragbar, da immer mehr Unternehmen die Fernarbeit nutzen. (Hinweis: Dies gilt nur dann als passwortlos, wenn keiner der Faktoren passwortbasiert ist). 
• Push-Benachrichtigungen: Eine Benachrichtigung, die an ein E-Mail-Konto oder an ein zuvor verifiziertes Gerät gesendet wird, fordert den Benutzer auf, eine Anmeldung zu autorisieren, anstatt einen einmaligen Code zu senden. Aber Vorsicht: Die Bösewichte versuchen, auch diese Verteidigung zu knacken. Ein Mitfahrdienst wurde gehackt, indem zunächst Anmeldedaten gestohlen und dann der Benutzer mit Authentifizierungsanfragen überhäuft wurde. Als der Benutzer ausrutschte und auf eine Eingabeaufforderung klickte, verschaffte sich der Hacker Zugang und bewegte sich im Netzwerk, wobei er den Verstoß im Slack-Kanal des Unternehmens bekannt gab.[8]

Die Herausforderungen der passwortlosen Entwicklung

Fachleute für Informationssicherheit haben von einer Zukunft ohne Passwörter geträumt, seit biometrische Identitätsprüfungen vor fast 30 Jahren erstmals möglich wurden. Aber erst in den letzten zehn Jahren, als die zunehmende Verbreitung von Geräten Passwort-Alternativen möglich machte, sind diese Träume realistischer geworden.

Die Akzeptanz der passwortlosen Authentifizierung wurde bisher nur mäßig genutzt. Eine kürzlich durchgeführte Umfrage des Mimecast-Partners Okta ergab, dass nur knapp ein Fünftel der Plattformnutzer eine Anwendungsprogrammschnittstelle (API) für die passwortlose Authentifizierung integriert hat, was jedoch eine Verbesserung gegenüber den 11 % darstellt, die vor zwei Jahren eine solche Schnittstelle nutzten.[9]

Es gibt einige allgemeine Hürden für die passwortlose Einführung, auf die Unternehmen vorbereitet sein sollten.

• Stakeholder verstehen passwortlose Systeme nicht: Manager und Benutzer verwechseln die passwortlose Authentifizierung möglicherweise mit MFA oder SSO, die beide die Voraussetzungen für passwortlose Systeme schaffen, aber nicht die gesamte Lösung darstellen. MFA und andere Authentifizierungstools können die Benutzererfahrung erschweren, so dass die Geschäftsleitung befürchtet, dass der Verzicht auf Passwörter den täglichen Betrieb verlangsamen oder behindern könnte.
• Die Systeme kommen nicht miteinander aus: Herkömmliche On-Premises-Systeme sind so aufgebaut, dass sie den Perimeter mit einer Firewall schützen und die Benutzer sich innerhalb des Perimeters frei bewegen können. Außerdem können Cloud-Dienste die Einführung verzögern, selbst wenn die Anbieter von Cloud-Diensten selbst den passwortlosen Zugang einführen. Cloud-Plattformen können ihre eigenen konkurrierenden Sicherheits- und Identitätsprüfungssysteme haben, und viele Unternehmen nutzen heute mehrere Cloud-Plattformen.[10]
• Veränderungen sind teuer: Die Lösung dieser und anderer Probleme kostet Zeit und Mühe. Unternehmen müssen möglicherweise ihre herkömmliche Infrastruktur und ihre Zugriffsrichtlinien überarbeiten, um eine passwortlose Authentifizierung zu ermöglichen. Die Benutzer müssen unter Umständen verifiziert werden (in der Regel durch Überprüfung eines amtlichen Ausweises) und ihre Authentifizierungsfaktoren müssen überprüft und aufgezeichnet werden. Die Zugangsrichtlinien müssen überprüft und überarbeitet werden, um eine Zero-Trust-Umgebung im gesamten Netz zu schaffen. Und im Idealfall wird der privilegierte Zugriff durch Identitäts- und Zugriffsmanagementsysteme (IAM)eingeschränkt und geregelt.

Den Weg zum passwortlosen System ebnen

Um diese Herausforderungen zu meistern, können Sicherheitsexperten eine Reihe von Best Practices für die Einführung der passwortlosen Authentifizierung anwenden. Dazu gehören:

• Schrittweise Umstellung: Um die Belastungen einer umfassenden Umstellung auf passwortlosen Zugang zu vermeiden, können Unternehmen den passwortbasierten Zugang für einige weniger sensible Ressourcen beibehalten. Es ist hilfreich, wenn die Organisation ihr Netzwerk bereits überprüft hat, um herauszufinden, über welche Ressourcen sie verfügt und wie hoch das jeweilige Risiko ist. Auf diese Weise kann es Prioritäten setzen, welche vorerst in Ruhe gelassen werden können und welche von der verbesserten Sicherheit der passwortlosen Authentifizierung profitieren würden. 
• Verwendung von Verhaltensanalysen: Die Durchsetzung von Zugriffsrichtlinien ist einfacher, wenn das System den Kontext der Benutzeraktivität berücksichtigen kann, um zu entscheiden, ob die Identitätskontrollen verstärkt werden sollen oder ob ein Benutzer seine Aktivitäten unbehelligt fortsetzen darf. Wenn sich ein Mitarbeiter plötzlich von einem unbekannten Server oder Standort aus anmeldet, kann ein IAM-System eine Verifizierungsprüfung auslösen. Dies verringert die Reibung - eines der erwarteten Managementprobleme. 
• Konzentration auf Richtlinien: Der passwortlose Zugang lässt sich leichter durchsetzen, wenn die Organisation bereits Nullvertrauen im gesamten Netzwerk durchsetzt. Dies erfordert Richtlinien, die den am wenigsten privilegierten Zugang aufrechterhalten und konsequent durchsetzen. Bevor Unternehmen den passwortlosen Zugang einführen, sollten sie ihre Richtlinien klären und sie auf der Grundlage von Bedrohungsdaten ständig aktualisieren. Dies ist eine weitere Funktion, bei der die Automatisierung das Sicherheitspersonal entlasten kann.

Die Quintessenz

Durch die Integration von Identitäts- und Zugriffsmanagement in eine ganzheitliche Sicherheitsplattform kann eine mehrschichtige Cybersicherheitsverteidigung geschaffen werden, die sich an die sich entwickelnden Bedrohungen anpassen kann. Der Aufwand, der für die Einrichtung einer passwortlosen Authentifizierung erforderlich ist, kann erhebliche Vorteile mit sich bringen, da er eine Schwachstelle in der Cybersicherheit beseitigt und Nullvertrauen möglich macht. Erfahren Sie mehr über die Integration von Identitätsschutz - und passwortloser Authentifizierung - in Ihre Sicherheitsplattform, indem Sie sich die Sessions von Mimecasts SecOps Virtual 2023 Veranstaltung ansehen. Sie können auch mehr über die Integration von Mimecast mit der Identity Cloud von Okta lesen.

[1]"Study Reveals Average Person Has 100 Passwords", Tech.co

[2] "Amerikas Passwortgewohnheiten", Security.org

[3] "BBB Scam Alert: Bored? Überlegen Sie es sich zweimal, bevor Sie dieses Facebook-Quiz machen", Better Business Bureau

[4] "2022 Data Breach Investigations Report", Verizon

[5] "CrowdStrike 2023 Global Threat Report," Crowdstrike

[6] "Apple, Google und Microsoft werden bald passwortlose Anmeldung auf allen wichtigen Plattformen einführen," The Verge

[7] Ebd. 

[8] "Uber untersucht Einbruch in sein Computersystem", New York Times

[9] "Businesses at Work Report 2023", Okta

[10] "Der Markt für Cloud-Dienste wird bis 2029 um 20 % wachsen, nachdem die Pandemie eine Wende genommen hat", IT Pro