World Password Day 2024: Auf der Suche nach passwortlosen Lösungen
Bei rund der Hälfte (49 Prozent) der im vergangenen Jahr gemeldeten Datenschutzverletzungen (und davon bei 86 Prozent aller Datenschutzverletzungen innerhalb von Web-Applikationen) wurden gestohlene Anmeldeinformationen wie Benutzernamen und Passwörter verwendet. In Deutschland wurden allein im ersten Quartal 2024 rund 3,2 Millionen Nutzerkonten erfolgreich gehackt. In der Schweiz waren es knapp 210.000. Sichere Authentifizierung scheint also für viele nach wie vor eine Herausforderung darzustellen.
Obwohl wir wissen, dass Passwörter geknackt, offengelegt oder gestohlen und dann gegen uns verwendet werden können, verlassen sich viele Personen und Unternehmen nach wie vor auf sie. Dafür gibt es verschiedene Gründe. Diese zu verstehen, ist essenziell dafür, unsere Passwörter zu stärken oder uns zu Gunsten von effektiveren Authentifizierungslösungen von ihnen zu lösen. Passwörter sind einfach praktisch: Sowohl Nutzer als auch IT-Administratoren sind mit ihrer Funktionsweise vertraut, sie sind einfach zu implementieren und erfordern dabei nur minimale Investitionen und bestehende Infrastruktur. Sie benötigen keine zusätzliche Hardware und nahezu jedes Gerät und jede Anwendung unterstützt Authentifizierung per Passwort.
Weniger Abhängigkeit von Passwörtern
Wer Alternativen zu Passwörtern in Betracht zieht, muss die Aspekte Sicherheit, Benutzerfreundlichkeit und Skalierbarkeit abwägen, um ein nahtloses und gleichzeitig sicheres Nutzererlebnis zu gewährleisten. Zu viel Komplexität bei den Authentifizierungsprozessen führt nur dazu, dass Nutzer Wege finden, diese zu umgehen. Unternehmen, die sich von Passwörtern lösen möchten, ohne ihre Nutzer zu überfordern, haben unter anderem die Wahl zwischen:
Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung (2FA bzw. MFA):
Diese Methoden sind inzwischen zum Standard für viele Anwendungen geworden. Bei der 2FA müssen Nutzer zwei Faktoren zur Identifizierung vorzeigen, bevor sie Zugang zum Gerät oder der Anwendung erhalten. Üblicherweise umfassen diese Faktoren etwas, das sie wissen (z. B. ein Passwort) und etwas, über das sie verfügen (z. B. einen Code, den sie über ein mobiles Endgerät teilen können). Der zusätzliche Zeitaufwand und die Komplexität sind dabei vergleichsweise gering. MFA fügt zusätzliche Authentifizierungsebenen hinzu, z. B. etwas, das dem Nutzer eigen ist (biometrische Authentifizierung) oder etwas, das er ausführt (verhaltensbiometrische Authentifizierung). Allerdings haben in den vergangenen Jahren Angreifer zunehmend gelernt, 2FA und MFA durch gezieltes Phishing oder durch Ausnutzung von „MFA-Müdigkeit“ zu umgehen, indem sie Nutzer mit gefälschten Anmeldebenachrichtigungen überfluten, bis diese eine davon durchwinken.
Single Sign-On (SSO):
SSO ermöglicht es Nutzern, mit nur einem Satz von Anmeldedaten auf verschiedene Geräte oder Anwendungen zuzugreifen. Dadurch wird der Bedarf an Passwörtern reduziert und das Benutzererlebnis verbessert. Für beispielsweise unternehmens- bzw. organisationsinterne Anmeldungen ist dieser Ansatz sehr effektiv, aber oftmals zeitaufwändig in der Implementierung und Einrichtung. SSO kann zudem riskant sein, wenn es auf Anmeldungen im Internet ausgeweitet wird und der Zugang über die Anmeldedaten für beliebte Dienste und Websites wie Google, Facebook, Yahoo, Apple oder Microsoft erfolgt. Die Anmeldung selbst wird dann zwar einfach. Wenn jedoch ein Konto bei einem dieser Anbieter kompromittiert wird, kann der Angreifer auf jedes andere Konto zugreifen, für den der SSO verwendet wird. Zudem werden häufig Daten zwischen den einzelnen Anbietern ausgetauscht, was vielen Nutzern nicht bewusst, aber auch nicht erwünscht ist.
Biometrische Authentifizierung:
Dazu zählen Methoden wie Fingerabdruckerkennung, Gesichtserkennung, Iris-Scan und Stimmerkennung. Verhaltensbiometrie hingegen stützt sich auf die Erkennung von Tipp- oder Gerätenutzungsverhalten. Biometrische Authentifizierungsmethoden bieten ein hohes Mass an Sicherheit bei gleichzeitiger Benutzerfreundlichkeit, da sich Nutzer keine Passwörter oder Antworten auf Sicherheitsabfragen merken müssen. Ausserdem sind viele Nutzer bereits mit ihnen vertraut, da zahlreiche Geräte für Endnutzer bereits über die Möglichkeit zur biometrischen Authentifizierung verfügen, was den Einsatz und die Akzeptanz dieser Methoden auf unternehmensweiter Ebene erleichtern und beschleunigen kann. Allerdings ist nicht jedes Gerät für biometrische Authentifizierung geeignet und die Implementierung der erforderlichen Technologie kann sehr kostspielig sein. Ausserdem müssen die Nutzer damit einverstanden sein, ihre biometrischen Daten im beruflichen Kontext zu nutzen.
Hardware-Tokens:
Diese physischen Geräte erzeugen einmalige, oft zeitlich befristete Codes oder kryptografische Schlüssel für die Authentifizierung als zusätzliche Sicherheitsebene für die Anmeldung. Ein Angreifer bräuchte physischen Zugriff auf den Token und müsste ausserdem die Anmeldedaten des Nutzers kennen, um Zugang zu seinem Konto zu erhalten. Der Nachteil: Ein vergessenes Passwort kann einfach zurückgesetzt werden, aber ein verlorener Hardware-Token muss ersetzt werden. In der Zwischenzeit muss zudem ein alternativer Back-Up-Prozess für die Anmeldung eingerichtet werden.
Zertifikatsbasierte Authentifizierung:
Dieser Ansatz basiert auf digitalen Zertifikaten, die von einer Zertifizierungsstelle ausgestellt werden, in Kombination mit Public-Key-Kryptographie zur Überprüfung und Verifizierung der Benutzeridentität. Das Zertifikat speichert identifizierungsrelevante Informationen und einen Public Key, während der Nutzer selbst über einen virtuellen Private Key verfügt. Diese Authentifizierungsmethode bietet sich beispielsweise in Fällen an, in denen Unternehmen Auftragnehmer beschäftigen, die temporären Zugang zu ihrem Netzwerk benötigen. Die Implementierung dieser Methode kann allerdings vergleichsweise kosten- und zeitaufwändig sein.
Darüber hinaus existiert noch ein weiterer, dynamischer Ansatz: die sogenannte risikobasierte Authentifizierung. Dabei wird bei einem Anmeldeversuch zunächst das damit verbundene Risiko eines unbefugten Zugriffs auf Basis verschiedener Faktoren wie Benutzerverhalten, Standort und Geräteinformationen ermittelt und die Authentifizierungsanforderungen entsprechend angepasst.
Um ein möglichst hohes Level an Authentifizierungssicherheit zu gewährleisten, sollte der Fokus der Verantwortlichen nicht auf der Abschaffung von Passwörtern liegen, sondern darauf, die Abhängigkeit von ihnen zu reduzieren. Passwortlose Ansätze stützen sich dafür auf alternative oder zusätzliche Authentifizierungsmethoden, die – wie die oben genannten – sicher und gleichzeitig benutzerfreundlich sind, oft als Teil eines umfassenderen „Zero Trust“-Ansatzes. Sowohl passwortloser Zugriff als auch Zero Trust tragen dazu bei, die Sicherheit von Geräten, Nutzern und Netzwerken in einer sich kontinuierlich verändernden Bedrohungslandschaft zu erhöhen, ohne die Benutzererfahrung zu beeinträchtigen – und in Kombination unsere Abhängigkeit von Passwörtern zu beenden.
Quelle: www.barracuda.com