Fordern Sie noch heute eine kostenlose Demo an!
Die Risiken der kennwortbasierten Authentifizierung sind bekannt. Hacker können Passwörter erraten, stehlen oder kaufen, um Unternehmenssysteme und -netzwerke zu gefährden, Konten zu übernehmen und Daten zu stehlen. Die passwortlose Authentifizierung kann diese Risiken mindern - vorausgesetzt, sie ist echt passwortlos und bietet nicht nur eine passwortlose Erfahrung.
Single Sign-on (SSO) ist zum Beispiel nicht echt passwortlos. Es verbirgt einfach das Passwort in der Benutzererfahrung, während es weiterhin im Hintergrund für die Authentifizierung verwendet wird. Noch wichtiger ist, dass SSO nicht echt sicher ist, da das Passwort immer noch kompromittiert werden kann, um einem bösen Akteur alle Türen zu öffnen - mit einem einzigen Schlüssel. Eine passwortlose Lösung ( echt ) verzichtet vollständig auf Passwörter für eine robustere Authentifizierung, die die Unternehmenssicherheit stärkt und alle passwortbasierten Angriffsvektoren (z. B. Phishing) vermeidet. Darüber hinaus verbessert sie die Benutzererfahrung und Produktivität und reduziert den Aufwand für die Passwortverwaltung.
Doch trotz dieser Vorteile gibt es einige Risiken bei der passwortlosen Nutzung. Glücklicherweise können diese Risiken gemildert werden. In diesem Artikel werden diese beiden Aspekte behandelt.
Nr. 1: Anfällige Endbenutzer-Authentifizierungsgeräte
Gerätediebstahl ist ein Risiko im Zusammenhang mit passwortlosen Authentifizierungsgeräten für Endbenutzer. Wenn ein Angreifer das Gerät eines nicht gesperrten Benutzers in die Hände bekommt, kann er alle OTPs, PINs oder magischen Links abfangen, die von Authentifizierungs-Apps generiert oder per E-Mail oder SMS gesendet werden.
Ein weiteres passwortloses Risiko ist das SIM-Swapping. Ein bösartiger Akteur manipuliert einen Mobilfunkanbieter, damit dieser ihm die SIM-Karte eines legitimen Nutzers übergibt, so dass er die SMS-Nachrichten des Nutzers abfangen und auf alle Dienste zugreifen kann, die auf SMS-basierter Authentifizierung beruhen.
Authentifizierungsgeräte, die sich im Besitz von Benutzern befinden, sind besonders anfällig für verschiedene Bedrohungen. Neben Diebstahl können diese Bedrohungen von unsicheren Anwendungen mit Malware, bösartigen Websites oder ungesicherten öffentlichen oder offenen Netzwerken ausgehen.
Risikominderung
Die "mobile" Natur mobiler Geräte macht sie anfällig für das Risiko von Diebstahl und unbefugter Nutzung. Unternehmen können jedoch die Auswirkungen dieser Risiken minimieren, indem sie einen kryptografischen Multifaktor-Geräteauthentifikator und Mobile Device Management (MDM)-Lösungen einsetzen.
Ein kryptografischer Multifaktor-Authentifikator verhindert standardmäßig das Abfangen von OTPs, PINs, SMS-Codes sowie SIM-Swapping und verwendet einen zweiten Faktor (z. B. biometrisch), um die unbefugte Nutzung des Authentifizierungsgeräts bei Diebstahl zu verhindern.
Mit MDM kann ein Unternehmen mobile Geräte überwachen, verwalten und sichern und die persönlichen Daten der Mitarbeiter von den Unternehmensdaten trennen, um Lecks oder Verluste der letzteren zu verhindern. Außerdem können sie relevante Sicherheitsrichtlinien kontrollieren und verteilen, um die Sicherheit von Unternehmensdaten und -netzwerken zu erhöhen.
Nr. 2: Unzureichender Identitätsnachweis und Bereitstellung von Authentifikatoren
Bei der Identitätsprüfung wird die tatsächliche Identität des Nutzers zum Zeitpunkt der Registrierung/Kontenbereitstellung festgestellt, um sicherzustellen, dass nur vertrauenswürdige und autorisierte Personen auf die Daten des Unternehmens zugreifen können. Dieser Schritt ist unerlässlich, um die Organisation vor den zahlreichen Sicherheitsbedrohungen zu schützen, die von unbefugten Nutzern (auch bekannt als "Bad Actors") ausgehen, wie z. B. die Verwendung gestohlener und synthetischer Identitäten für Identitätsbetrug. Eine unzureichende Identitätsprüfung kann jedoch ebenso wie eine unzureichende Bereitstellung von Authentifikatoren ein passwortloses Risiko darstellen.
Risikominderung
Um diese Risiken zu mindern und Vertrauen zu schaffen, ist es unerlässlich, Benutzer-, Geräte- und App-Instanzen sicher bereitzustellen und sicherzustellen, dass die etablierte Benutzer-, Geräte- und App-Identität untrennbar miteinander verbunden sind, um eine verbesserte Identitätsverwaltung zu erreichen.
Es ist auch wichtig, starke Sicherheitskontrollen wie Gerätesperre und App-Attestierung zu implementieren, um die etablierten Identitäten und die Integrität von Geräten und Apps zu überprüfen und zu validieren. Die sichere Wiederherstellung von Konten auf der Client-Seite hilft auch, die Kompromittierung der Authentifizierung Anmeldedaten und serverbasierte Insider-Angriffe zu verhindern.
Nr. 3: Nicht sicheres Identitätsmanagement
Bei der Identitäts- und Zugriffsverwaltung (IAM) geht es darum, sicherzustellen, dass eine bestimmte Identität oder ein autorisierter Benutzer Zugriff auf die richtigen Ressourcen im richtigen Kontext hat. Ebenso wichtig ist es, zu verhindern, dass unbefugte Benutzer auf diese Ressourcen zugreifen und Sicherheitsprobleme für das Unternehmen schaffen.
Nichtsdestotrotz ist eine unsichere Identitätsverwaltung ein passwortloses Risiko. Unsichere Identitätsbereitstellung kann zu Identitätsbetrug führen, schwache Authentifizierungsprotokolle können von Hackern unterwandert werden, und proprietäre Protokolle sind nur schwer nachweislich gegen böswillige Insider zu schützen. Wenn das IAM-System an einen externen Identitätsanbieter delegiert wird, verliert das Unternehmen möglicherweise die Kontrolle und muss sich blind auf die Sicherheit des externen Identitätsanbieters verlassen.
Risikominderung
Secure Identity Proofing mit transitivem Vertrauen stellt sicher, dass nur autorisierte und explizit verifizierte Benutzer und Geräte für den Zugriff auf die Ressourcen einer Organisation bereitgestellt werden können.
Diepasswortlose Multi-Faktor-Authentifizierung (MFA), die sich auf starke Authentifizierungsfaktoren wie Biometrie und nicht auf schwache Faktoren wie Passwörter stützt, stellt sicher, dass Nutzer und Geräte angemessen authentifiziert sind, um Zugang zu erhalten. Die Bindung von Geräte- und App-Instanzen könnte genutzt werden, um die Integrität des Geräts/der App nachprüfbar zu bescheinigen und so die Unleugbarkeit jeder Transaktion zu gewährleisten.
Der SicherheitsgrundsatzZero trust könnte angepasst werden, um sicherzustellen, dass alle Zugriffe, sei es von innerhalb der Netzgrenzen der Organisation oder von außen, ausdrücklich untersucht und unabhängig überprüft werden.
Ein sicheres Identitätsmanagement gewährleistet nicht nur die sichere Identifizierung, Authentifizierung und Autorisierung von Benutzern, sondern auch die Sicherheit der Authentifizierungsgeheimnisse, verhindert die Umgehung der Authentifizierung, den sicheren Widerruf und die Wiederherstellung von Berechtigungsnachweisen und ist resistent gegen die Kompromittierung durch Identitätsanbieter (oder Dienstanbieter).
Nr. 4: Sicherheitsfehlkonfigurationen und neue Sicherheitsschwachstellen
Sicherheitstechnische Fehlkonfigurationen, die 2019 82 % der Schwachstellen ausmachten, stellen ein leichtes Ziel für Hacker dar, da sie solche Schwachstellen leicht erkennen und ausnutzen können, um Daten zu stehlen und Chaos im Unternehmen anzurichten. Zu diesen Fehlern gehören unverschlüsselte Dateien, ungepatchte Systeme, die fortgesetzte Verwendung der Standardeinstellungen Anmeldedaten, ungesicherte Geräte und ein schwacher (oder nicht vorhandener) Firewall-Schutz. Falsch konfigurierte Umgebungen machen das Unternehmen auch anfällig für Malware-Infektionen, Botnets und Ransomware-Angriffe, die von Datenschutzverletzungen und Lösegeldforderungen bis hin zu Identitätsbetrug und kostspieligen Geschäftsausfällen reichen können.
Risikominderung
Es ist von entscheidender Bedeutung, solche Schwachstellen frühzeitig zu erkennen und zu beheben, und zwar durch eine umfassende risikobasierte Schwachstellenbewertung des gesamten technischen Stapels sowie durch Penetrationstests, Patch-Management und eine starke IAM-Governance. Um Angriffe zu verhindern, sollten Unternehmen sichere Konfigurationen implementieren und Compliance-Prüfungen durchführen, die sich an den Best Practices der Branche wie den CIS Benchmarks orientieren.
Nr. 5: Insider-Bedrohungen
Risiken durch böswillige oder fahrlässige Insider sind ein wachsendes passwortloses Risiko für Organisationen überall. Laut Verizon DBIR 2020 waren 2019 mehr als 30 % der Datenschutzverletzungen von internen Akteuren wie aktuellen oder ehemaligen Mitarbeitern oder externen Auftragnehmern und Anbietern verursacht. Viele Insider-Bedrohungen sind auch auf den Missbrauch legitimer privilegierter Konten zurückzuführen.
Risikominderung
Um solche Risiken zu mindern, ist es entscheidend, eine Sicherheitskontrolle zu haben, die den Missbrauch und/oder die Eskalation von Privilegien verhindert, wie z. B. die Autorisierung durch mehrere Parteien und die Dezentralisierung des Punktes zur Durchsetzung von Richtlinien, um die Unterwanderung der IAM-Richtlinien zu verhindern.
Unternehmen müssen auch feststellen, wo sich sensible Dateien befinden, und festlegen, wer Zugriff auf Daten hat und wer nicht. Es wird immer wichtiger, ein Modell für den Zugang mit den wenigsten Privilegien aufrechtzuerhalten, eine Kultur der Datensicherheit zu schaffen und die Zero-Trust-Prinzipien zum Schutz der Unternehmensressourcen zu befolgen.
Nr. 6: Mangelnde Unterstützung für Altsysteme
Viele Altsysteme verwenden ältere Authentifizierungsprotokolle wie RADIUS, die sich auf schwache Zugangsdaten Anmeldedaten stützen, und organisatorische Identitätsspeicher für die Passwortauthentifizierung. Solange diese Altsysteme in Betrieb sind, muss der Identitätsspeicher weiterhin Passwörter unterstützen.
Die fehlende Unterstützung für Passwortlose Authentifizierung und die fehlende Integration - und die Tatsache, dass sich Passwörter leicht in jedes System integrieren lassen - sind zwei der Hauptgründe, warum sich Unternehmen mit der Umstellung auf Passwortlose Authentifizierung schwer tun.
Risikominderung
Es ist möglich, Passwortrisiken zu beseitigen, ohne Legacy-Systeme komplett (und teuer) zu überholen - mit Passwortlose Authentifizierung. Moderne Identitäts- und Authentifizierungstechnologien bieten Passwortlose Authentifizierung , die sich mithilfe von Standards wie SAML, OIDC, WS-Auth und vielen anderen leicht in Altsysteme integrieren lassen und gleichzeitig die Sicherheit und Compliance verbessern sowie Reibungsverluste bei der Authentifizierung beseitigen.
Nr. 7: Bedenken hinsichtlich der Privatsphäre der Nutzer
Einige Mitarbeiter fühlen sich unwohl, wenn sie ihre persönlichen Geräte für Passwortlose Authentifizierung verwenden, und befürchten, dass ihre biometrischen oder kontextbezogenen Daten verwendet werden, um ihre Privatsphäre zu verletzen. Die Vertrautheit mit Passwörtern und die Unkenntnis über die Vorteile von Passwortlose Authentifizierung führen ebenfalls zu Widerstand gegen Veränderungen.
Risikominderung
Es ist in der Tat möglich, persönliche Geräte zu verwenden und sicherzustellen, dass keine Nutzerdaten erfasst werden, wenn Passwortlose Authentifizierung Lösungen verwendet werden, die auf den Grundsätzen der Kenntnis- und Privatsphäre beruhen. In den europäischen Ländern ist es wichtig, die Arbeitnehmervertretung zu bitten, die Lösung Passwortlose Authentifizierung zu überprüfen, um sicherzustellen, dass sie den Grundsätzen der Kenntnis- und Privatsphärefreiheit entspricht.
Schlussfolgerung
Wie in diesem Artikel gezeigt wird, lassen sich die sieben wichtigsten passwortlosen Risiken tatsächlich abschwächen. Und die Kenntnis der Stärken und Schwächen von Passwortlose Authentifizierung ist entscheidend, um ein Unternehmen bei der Umstellung auf die passwortlose Welt zu unterstützen.
Zusätzlich zu diesem Artikel finden Sie in diesem Risikokalkulator, wie Sie die Risiken Ihrer derzeitigen Authentifizierungsmethoden bewerten können. In nur 15 Minuten können Sie mit diesem Rechner schnell Schwachstellen identifizieren und herausfinden, wie Sie diese am besten beheben können.
Über den Autor
IDEE's AuthN™ ist ein echt passwortloser, vertrauensfreier Authentifizierungs- und Autorisierungsdienst für moderne Organisationen, der in Deutschland hergestellt wird. AuthN beseitigt alle passwortbezogenen Bedrohungen, um die Sicherheit zu erhöhen, Audits und Compliance zu vereinfachen und den immensen Druck auf die IT-Budgets zu reduzieren. Mit IDEE AuthN kann Ihre Organisation nahtlos auf passwortlose Anmeldung umstellen und bösen Akteuren, die Ihnen schaden wollen, einen Schritt voraus sein. Aus diesem Grund vertrauen CIOs und IAM-Experten gleichermaßen auf AuthN. Um eine kostenlose, unverbindliche Demo zu buchen, klicken Sie hier.