Mehr Sicherheit durch passwortlose Authentifizierung

Mehr Sicherheit durch passwortlose Authentifizierung - Bild von Gerd Altmann auf Pixabay

Beitrag teilen

Passwörter sind nach wie vor ein Risiko im Bereich der Cybersicherheit. Eine sicherere Alternative ist die passwortlose Authentifizierung durch biometrische Daten oder Token.

Für nahezu jeden Online-Dienst benötigt man Zugangsdaten bestehend aus Benutzername und Passwort. Dadurch sammelt sich in kürzester Zeit eine lange Liste an Kombinationen an – eine durchschnittliche Person kommt auf circa 100 verschiedene Passwörter, wie eine aktuelle Studie zeigt. Um hier nicht den Überblick zu verlieren, benutzen viele ein und dasselbe Passwort für mehrere Konten. Das ist besonders fatal, wenn es sich dabei auch noch um ein standardmäßig verwendetes, leicht zu erratendes Kennwort handelt.

Passwort-Management als kritische Schwachstelle für Unternehmen

Vor allem für Unternehmen ist ein schlechtes Passwort-Management ihrer Mitarbeitenden einer der größten Risikofaktoren für die Datensicherheit, wie der aktuelle „State of Email Security“-Report von Mimecast abermals bestätigt. Dazu gehört die häufige Verwendung von Standard-Passwörtern, die Benutzung desselben Passworts für mehrere Anwendungen oder schlichtweg die physische Aufbewahrung von Kennwörtern an einem Ort, der auch für andere zugänglich ist – man denke hier an das Post-it am Bildschirmrand, auf dem die Zugangsdaten für den PC notiert sind. Eine immer beliebter werdende Alternative sind daher passwortlose Authentifizierungsmethoden. Dabei wird die Identität des Benutzers nicht durch festgelegte Zugangsdaten, sondern durch andere Methoden überprüft.

Authentifizierung durch Biometrie, Token oder Push-Benachrichtigungen

Die Verwendung von Geräten mit Kameras und Touchscreens ermöglicht eine Identifizierung anhand biometrischer Merkmale, durch Scannen des Fingerabdrucks oder des Gesichts des Benutzers oder durch einen Stimmenabgleich. Angesichts der immer stärkeren Verbreitung von Deep Fakes wachsen jedoch momentan die Bedenken hinsichtlich der Sicherheit dieser Methode. Auch wenn diese einen menschlichen Nutzer täuschen können, gibt es bisher keine Beweise dafür, dass die Fälschungen biometrische Schutzmechanismen überwinden können.

Eine andere Methode ist die Multi-Faktor-Authentifizierung (MFA) via Authentifizierungs-Token, der einen einmaligen Code generiert, oder einer Authentifizierungs-App, die mit einem zuvor verifizierten Gerät oder Email-Konto verbunden ist. Diese Methode ist natürlich nur dann passwortlos, wenn keiner der Faktoren passwortbasiert ist. Ähnlich funktioniert auch die Anmeldung via Push-Benachrichtigung, die an ein Email-Konto oder an ein zuvor verifiziertes Gerät gesendet wird und den Benutzer auffordert, eine Anmeldung zu autorisieren, anstatt einen einmaligen Code einzugeben.

Die Technik und das Budget müssen mitspielen

Eine flächendeckende Anwendung solcher passwortlosen Authentifizierungsmethoden lässt jedoch noch auf sich warten. Eine kürzlich durchgeführte Umfrage des Mimecast-Partners Okta ergab, dass nur knapp einer von fünf Nutzern der Plattform eine Anwendungsprogrammschnittstelle (API) zur passwortlosen Authentifizierung integriert hat, was jedoch immerhin eine Verbesserung gegenüber den 11 % von vor zwei Jahren darstellt. Oft hadern Unternehmen noch mit den Hürden, die es bei der Einführung eines solchen Systems zu überwinden gilt.

Herausforderungen bei der Implementierung

Stolpersteine bei der Implementierung einer kennwortlosen Authentifizierungsmethode können vielfältig aussehen. Möglicherweise befürchtet die Geschäftsführung, dass sich der Einsatz von auf MFA basierenden Methoden negativ auf die Mitarbeitererfahrung auswirkt und den täglichen Betrieb verlangsamen oder behindern könnte. Eine andere Herausforderung stellt die technische Komponente dar. Die verschiedenen genutzten Systeme funktionieren oft nicht über eine gemeinsame Authentifizierungsmethode. Cloud-Plattformen haben beispielsweise häufig ihre eigenen konkurrierenden Sicherheits- und Identitätsprüfungssysteme, die sich nicht problemlos mit den internen Unternehmensservern synchronisieren lassen.

Nicht zuletzt spielt auch der Ressourceneinsatz bei einer Systemumstellung eine entscheidende Rolle – Veränderungen kosten schließlich Zeit und Geld. Unternehmen müssen ihre bisherige Infrastruktur und Zugriffsrichtlinien überarbeiten, Benutzer müssen (erneut) verifiziert und ihre Authentifizierungsfaktoren eingerichtet werden.

Schritt für Schritt zur passwortlosen Lösung

Um die Belastungen einer umfassenden Umstellung auf passwortlosen Zugang zu vermeiden, sollten Unternehmen hier Schritt für Schritt vorgehen. Zunächst sollten Unternehmen den Risikostatus ihrer Daten evaluieren. So können sie Systeme für die Umstellung priorisieren, und den passwortbasierten Zugang zunächst für weniger sensible Ressourcen beibehalten.

Die Durchsetzung von neuen Zugriffsrichtlinien ist außerdem einfacher, wenn der Kontext der Benutzeraktivität bei der Entscheidung, ob die Identitätskontrollen verstärkt werden sollen, miteinbezogen wird. Wenn sich ein Angestellter plötzlich von einem unbekannten Server oder Standort aus anmeldet, kann ein automatisiertes Identitäts- und Zugangsmanagement-System (IAM-System) eine zusätzliche Verifizierungsprüfung auslösen. Eine passwortlose Authentifizierung lässt sich zudem leichter durchsetzen, wenn die Organisation bereits einen Zero-Trust-Ansatz im gesamten Netzwerk verfolgt.

Mehr bei Mimecast.com

 

Passende Artikel zum Thema

Kaspersky wirkt bei INTERPOL Operation mit

Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen

Microsoft: 38 TByte Daten versehentlich offengelegt

Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. ➡ Weiterlesen

Daten vor Double Extortion Ransomware schützen

Double-Extortion-Angriffe nehmen zu: Bei der Attacke werden nicht nur die Daten verschlüsselt und ein Lösegeld erpresst, sondern auch noch Daten ➡ Weiterlesen

Mit generativer KI Schwachstellen schneller beheben

KI-gestützte Wiederherstellung hilft Security-Teams, Warnungen über Schwachstellen schneller zu verarbeiten und vereinfacht ihre Zusammenarbeit mit Entwicklungsteams. Aqua Security, der Pionier ➡ Weiterlesen

Ransomware: Noch erfolgreicher durch KI

Kriminelle nutzen mittlerweile KI, um ihre Ransomware-Angriffe noch effizienter zu machen. Betrachtet man die neuesten Entwicklungen, ist keine Entwarnung in ➡ Weiterlesen

BKA Cybercrime Report 2022: Schäden von 200 Mrd. Euro 

Das vor kurzem veröffentlichte Bundeslagebild Cybercrime 2022 des BKA zeigt wieder teils erschütternde Fakten. Zwar waren die registrierten Fälle rückläufig, ➡ Weiterlesen

Datenwiederherstellung gegen Ransomware

Ransomware, die es auf Privatpersonen, Unternehmen und Regierungen gleichermaßen abgesehen hat, ist zu einer der größten Bedrohungen der IT-Sicherheit geworden. ➡ Weiterlesen

Signal- und Telegram-Nutzer: Fake-Apps aus China spionieren 

Chinesische Hacker greifen mithilfe gefälschter Messenger-Apps auf persönliche Nutzerdaten zu. Dazu gehören Inhalte von Nachrichten, Kontaktdaten und Anrufprotokolle. Besonders perfide: ➡ Weiterlesen