7 Risiken ohne Passwort und wie man sie entschärft

Die Risiken der kennwortbasierten Authentifizierung sind bekannt. Hacker können Passwörter erraten, stehlen oder kaufen, um Unternehmenssysteme und -netzwerke zu gefährden, Konten zu übernehmen und Daten zu stehlen. Eine passwortlose Authentifizierung kann diese Risiken mindern - vorausgesetzt, sie ist echt passwortlos und bietet nicht nur eine passwortlose Erfahrung.

Single Sign-on (SSO) ist zum Beispiel nicht echt passwortlos. Es verbirgt einfach das Kennwort in der Benutzererfahrung, während es im Hintergrund weiterhin zur Authentifizierung verwendet wird. Noch wichtiger ist, dass SSO nicht echt sicher ist, da das Passwort immer noch kompromittiert werden kann, um einem bösen Akteur alle Türen zu öffnen - mit einem einzigen Schlüssel. Eine passwortlose Lösung ( echt ) verzichtet vollständig auf Passwörter für eine robustere Authentifizierung, die die Unternehmenssicherheit stärkt und alle passwortbasierten Angriffsvektoren (z. B. Phishing) vermeidet. Außerdem werden die Benutzererfahrung und die Produktivität verbessert und der Aufwand für die Passwortverwaltung reduziert.

Doch trotz dieser Vorteile birgt die kennwortlose Anmeldung einige Risiken. Glücklicherweise können diese Risiken gemildert werden. In diesem Artikel werden diese beiden Aspekte behandelt.

#Nr. 1: Anfällige Endbenutzer-Authentifizierungsgeräte

Gerätediebstahl ist ein Risiko im Zusammenhang mit passwortlosen Authentifizierungsgeräten für Endbenutzer. Wenn ein Angreifer das Gerät eines nicht gesperrten Nutzers in die Hände bekommt, kann er alle OTPs, PINs oder magischen Links abfangen, die von Authentifizierungs-Apps generiert oder per E-Mail oder SMS gesendet werden.

Ein weiteres passwortloses Risiko ist das SIM-Swapping. Ein bösartiger Akteur bringt einen Mobilfunkanbieter dazu, ihm die SIM-Karte eines legitimen Benutzers zu übertragen, so dass er die SMS-Nachrichten des Benutzers abfangen und auf alle Dienste zugreifen kann, die auf SMS-basierte Authentifizierung angewiesen sind.

Authentifizierungsgeräte, die sich im Besitz des Benutzers befinden, sind besonders anfällig für verschiedene Bedrohungen. Neben Diebstahl können diese Bedrohungen von unsicheren Anwendungen mit Malware, bösartigen Websites oder ungesicherten öffentlichen oder offenen Netzwerken ausgehen.

Risikominderung

Die "mobile" Natur mobiler Geräte macht sie anfällig für das Risiko von Diebstahl und unbefugter Nutzung. Unternehmen können jedoch die Auswirkungen dieser Risiken minimieren, indem sie einen multifaktoriellen kryptografischen Geräteauthentifikator und Lösungen für das Mobile Device Management (MDM) einsetzen.

Ein kryptografischer Multifaktor-Geräteauthentifikator verhindert standardmäßig das Abfangen von OTPs, PINs, SMS-Codes sowie SIM-Swapping und verwendet einen zweiten Faktor (z. B. biometrisch), um die unbefugte Nutzung des Authentifizierungsgeräts im Falle eines Diebstahls zu verhindern.

Mit MDM kann ein Unternehmen mobile Geräte überwachen, verwalten und sichern und die persönlichen Daten der Mitarbeiter von den Unternehmensdaten trennen, um Lecks oder Verluste der letzteren zu verhindern. Außerdem können sie relevante Sicherheitsrichtlinien kontrollieren und verteilen, um die Sicherheit von Unternehmensdaten und -netzwerken zu erhöhen.  

#Nr. 2: Unzureichender Identitätsnachweis und Bereitstellung von Authentifikatoren

Bei der Identitätsprüfung wird die tatsächliche Identität des Nutzers zum Zeitpunkt der Registrierung/Kontenbereitstellung festgestellt, um sicherzustellen, dass nur vertrauenswürdige und autorisierte Personen auf die Daten des Unternehmens zugreifen können. Dieser Schritt ist unerlässlich, um die Organisation vor den zahlreichen Sicherheitsbedrohungen zu schützen, die von unbefugten Nutzern (auch bekannt als "Bad Actors") ausgehen, wie z. B. die Verwendung gestohlener und synthetischer Identitäten für Identitätsbetrug. Eine unzureichende Identitätsprüfung kann jedoch ebenso wie eine unzureichende Bereitstellung von Authentifikatoren ein passwortloses Risiko darstellen.

Risikominderung

Um diese Risiken zu mindern und Vertrauen zu schaffen, ist es wichtig, Benutzer-, Geräte- und App-Instanzen sicher bereitzustellen und sicherzustellen, dass die etablierte Benutzer-, Geräte- und App-Identität untrennbar miteinander verbunden sind, um eine verbesserte Identitätsverwaltung zu erreichen.

Es ist auch wichtig, starke Sicherheitskontrollen wie Gerätesperre und App-Attestierung zu implementieren, um die etablierten Identitäten und die Geräte-/App-Integrität zu verifizieren und zu validieren. Die sichere Wiederherstellung von Konten auf der Client-Seite hilft auch, die Kompromittierung der Authentifizierung Anmeldedaten und serverbasierte Insider-Angriffe zu verhindern.

#Nr. 3: Nicht sicheres Identitätsmanagement

Bei der Identitäts- und Zugriffsverwaltung (IAM) geht es darum, sicherzustellen, dass eine bestimmte Identität oder ein autorisierter Benutzer Zugriff auf die richtigen Ressourcen im richtigen Kontext hat. Genauso wichtig ist es, zu verhindern, dass unbefugte Benutzer auf diese Ressourcen zugreifen und Sicherheitsprobleme für das Unternehmen schaffen.

Nichtsdestotrotz ist ein unsicheres Identitätsmanagement ein passwortloses Risiko. Unsichere Identitätsbereitstellung kann zu Identitätsbetrug führen, schwache Authentifizierungsprotokolle können von Hackern unterwandert werden, während proprietäre Protokolle nur schwer nachweislich gegen privilegierte böswillige Insider geschützt werden können. Wenn das IAM-System an einen externen Identitätsanbieter delegiert wird, verliert das Unternehmen möglicherweise die Kontrolle und muss sich blind auf die Sicherheit des externen Identitätsanbieters verlassen.

Risikominderung

Sicherer Identitätsnachweis mit transitivem Vertrauen stellt sicher, dass nur autorisierte und explizit verifizierte Nutzer und Geräte überhaupt Zugang zu den Ressourcen einer Organisation erhalten können.

PasswortloseMulti-Faktor-Authentifizierung (MFA), die sich auf starke Authentifizierungsfaktoren wie Biometrie und nicht auf schwache Faktoren wie Passwörter stützt, stellt sicher, dass Benutzer und Geräte angemessen authentifiziert sind, um Zugang zu erhalten. Die Bindung von Geräte- und App-Instanzen könnte genutzt werden, um die Integrität des Geräts/der App nachprüfbar zu bescheinigen und so die Nichtabstreitbarkeit jeder Transaktion zu gewährleisten.

Zero trust Sicherheitsprinzip könnte angepasst werden, um sicherzustellen, dass alle Zugriffe, ob von innerhalb der Netzwerkgrenzen des Unternehmens oder von außen, explizit überprüft und unabhängig verifiziert werden.

Ein sicheres Identitätsmanagement gewährleistet nicht nur die sichere Identifizierung, Authentifizierung und Autorisierung von Benutzern, sondern auch die Sicherheit der Authentifizierungsgeheimnisse, verhindert die Umgehung der Authentifizierung, den sicheren Widerruf und die Wiederherstellung von Berechtigungsnachweisen und ist resistent gegen die Kompromittierung durch Identitätsanbieter (oder Dienstanbieter).  

#Nr. 4: Sicherheitsfehlkonfigurationen und neue Sicherheitsschwachstellen

Sicherheitstechnische Fehlkonfigurationen, die 2019 82 % der Schwachstellen ausmachten, stellen ein leichtes Ziel für Hacker dar, da sie solche Schwachstellen leicht erkennen und ausnutzen können, um Daten zu stehlen und Chaos im Unternehmen anzurichten. Zu diesen Fehlern gehören unverschlüsselte Dateien, ungepatchte Systeme, die fortgesetzte Verwendung der Standardeinstellungen Anmeldedaten, ungesicherte Geräte und ein schwacher (oder nicht vorhandener) Firewall-Schutz. Falsch konfigurierte Umgebungen machen das Unternehmen auch anfällig für Malware-Infektionen, Botnets und Ransomware-Angriffe, die von Datenschutzverletzungen und Lösegeldforderungen bis hin zu Identitätsbetrug und kostspieligen Geschäftsausfällen reichen können.

Risikominderung

Es ist von entscheidender Bedeutung, solche Schwachstellen frühzeitig zu erkennen und zu beheben, und zwar durch eine umfassende risikobasierte Schwachstellenbewertung des gesamten technischen Stapels sowie durch Penetrationstests, Patch-Management und eine starke IAM-Governance. Um Angriffe zu verhindern, sollten Unternehmen sichere Konfigurationen implementieren und Compliance-Prüfungen durchführen, die sich an den Best Practices der Branche wie den CIS Benchmarks orientieren.

#Nr. 5: Insider-Bedrohungen

Risiken durch böswillige oder fahrlässige Insider sind ein wachsendes passwortloses Risiko für Organisationen überall. Laut Verizon DBIR 2020 waren 2019 mehr als 30 % der Datenschutzverletzungen von internen Akteuren wie aktuellen oder ehemaligen Mitarbeitern oder externen Auftragnehmern und Anbietern verursacht. Viele Insider-Bedrohungen sind auch auf den Missbrauch legitimer privilegierter Konten zurückzuführen.

Risikominderung

Um solche Risiken zu mindern, ist es entscheidend, eine Sicherheitskontrolle zu haben, die den Missbrauch und/oder die Eskalation von Privilegien verhindert, wie z. B. die Autorisierung durch mehrere Parteien und die Dezentralisierung des Punktes zur Durchsetzung von Richtlinien, um die Unterwanderung der IAM-Richtlinien zu verhindern.

Unternehmen müssen auch feststellen, wo sich sensible Dateien befinden, und festlegen, wer Zugriff auf Daten hat und wer nicht. Mehr und mehr wird es auch wichtig, ein Modell des am wenigsten privilegierten Zugriffs aufrechtzuerhalten, eine Kultur der Datensicherheit zu schaffen und Zero-Trust-Prinzipien zu befolgen, um Unternehmensressourcen zu schützen.

#Nr. 6: Mangelnde Unterstützung für Altsysteme

Viele Altsysteme verwenden ältere Authentifizierungsprotokolle wie RADIUS, die sich auf schwache Zugangsdaten Anmeldedaten stützen, und organisatorische Identitätsspeicher für die Passwortauthentifizierung. Solange diese Altsysteme in Betrieb sind, muss der Identitätsspeicher weiterhin Passwörter unterstützen.

Die fehlende Unterstützung für Passwortlose Authentifizierung und die fehlende Integration - und die Tatsache, dass Passwörter leicht in jedes System zu integrieren sind - sind zwei Hauptgründe, warum sich Organisationen schwer tun, auf Passwortlose Authentifizierung umzusteigen.

Risikominderung

Es ist möglich, Passwortrisiken zu beseitigen, ohne Legacy-Systeme komplett (und teuer) zu überholen - mit Passwortlose Authentifizierung. Moderne Identitäts- und Authentifizierungstechnologien bieten Passwortlose Authentifizierung , die sich mithilfe von Standards wie SAML, OIDC, WS-Auth und vielen anderen leicht in Altsysteme integrieren lassen und gleichzeitig die Sicherheit und Compliance verbessern sowie Reibungsverluste bei der Authentifizierung beseitigen.

#Nr. 7: Bedenken hinsichtlich der Privatsphäre der Nutzer

Einige Mitarbeiter fühlen sich unwohl, wenn sie ihre persönlichen Geräte für Passwortlose Authentifizierung verwenden, und befürchten, dass ihre biometrischen oder kontextbezogenen Daten verwendet werden, um ihre Privatsphäre zu verletzen. Die Vertrautheit mit Passwörtern und die Unkenntnis über die Vorteile von Passwortlose Authentifizierung führen ebenfalls zu Widerstand gegen Veränderungen.

Risikominderung

Es ist in der Tat möglich, persönliche Geräte zu verwenden und sicherzustellen, dass keine Nutzerdaten erfasst werden, wenn Passwortlose Authentifizierung Lösungen verwendet werden, die auf den Grundsätzen der Kenntnis- und Privatsphäre beruhen. In den europäischen Ländern ist es wichtig, dass der Anwalt der Arbeitnehmer die Lösung Passwortlose Authentifizierung überprüft, um sicherzustellen, dass sie den Grundsätzen der Wissensfreiheit und des Verzichts auf personenbezogene Daten entspricht.

‍Abschluss

Wie in diesem Artikel gezeigt wird, lassen sich die sieben wichtigsten passwortlosen Risiken tatsächlich abschwächen. Und die Kenntnis der Stärken und Schwächen von Passwortlose Authentifizierung ist entscheidend für die Umstellung einer Organisation auf passwortlose Authentifizierung.

Zusätzlich zu diesem Artikel erfahren Sie, wie Sie die Risiken Ihrer derzeitigen Authentifizierungsmethoden mit diesem Risikokalkulator bewerten können. In nur 15 Minuten können Sie mit diesem Rechner schnell Schwachstellen identifizieren und herausfinden, wie Sie diese am besten beheben können.