Warum sollten Organisationen auf passwortlose Sicherheit setzen?

Im Jahr 2020 werden 80 % der Hacking-Verstöße mit Brute-Force-Methoden oder mit gestohlenen Anmeldedaten begangen. Und im Jahr 2021 waren 85 % der Verstöße auf das menschliche Element zurückzuführen. Unternehmen verlassen sich seit Jahrzehnten auf die Authentifizierung durch Passwörter. Aus diesen Statistiken geht jedoch klar hervor, dass Passwörter zu den kritischsten Bedrohungsvektoren gehören.

Da es für Bedrohungsakteure immer einfacher wird, passwortbasierte "Sicherheit" zu vereiteln, benötigen Organisationen stärkere, zuverlässigere Authentifizierungsmethoden.

Viele setzen inzwischen die Multi-Faktor-Authentifizierung (MFA) ein, bei der mehrere Identitätsformen zur Authentifizierung der Benutzer erforderlich sind. Aber auch MFA hat seine Nachteile, und nicht alle MFAs sind gleich. Laut NIST MÜSSEN Authentifikatoren, die die manuelle Eingabe eines Authentifikator-Outputs erfordern, wie z. B. Out-of-Band- und OTP-Authentifikatoren, NICHT als verifier impersonation-resistent angesehen werden, da die manuelle Eingabe den Authentifikator-Output nicht an die spezifische zu authentifizierende Sitzung bindet.

Der beste Weg, diese Sicherheitslücken zu schließen, ist die passwortlose Sicherheit. Die passwortlose Sicherheit verbessert nicht nur die Sicherheitslage des Unternehmens, sondern beseitigt auch die Reibungsverluste für die Benutzer und reduziert den Verwaltungsaufwand für IT-Teams im Zusammenhang mit passwortbezogenen Helpdesk-Tickets. Die passwortlose Sicherheit ist die Zukunft der Digitalisierung und des Risikomanagements für die Cybersicherheit in Unternehmen. Hier ist der Grund dafür.

Passwortlose Sicherheit vs. Passwort-Manager

Passwortmanager oder Tresore verschlüsseln Passwörter auf dem Gerät eines Benutzers. Um auf den Tresor zugreifen zu können, müssen die Benutzer ein "Master-Passwort" erstellen.

Obwohl Passwort-Manager einige Sicherheitsvorteile bieten, bergen sie die gleichen Risiken wie Passwörter. Passwort-Manager verbessern nicht die Sicherheit, sondern machen die Verwaltung von Passwörtern bequemer.

Das Master-Passwort muss stark genug sein, um zu verhindern, dass böswillige Akteure es erraten oder kompromittieren können. Viele Benutzer verwenden jedoch schwache Master-Passwörter, wodurch die Sicherheitsfunktionen des Passwortmanagers beeinträchtigt werden.

Alle Kennwörter werden an einem Ort gespeichert, wodurch eine einzige Schwachstelle entsteht. Im Falle eines Einbruchs könnte der Benutzer also den Zugang zu allen Passwörtern und den Ort, an dem diese Passwörter verwendet werden können, auf einen Schlag verlieren. Ein weiteres Problem bei Passwortmanagern ist, dass die Benutzer häufig eine Sicherungskopie ihrer Passwörter erstellen. Wenn die Sicherungskopie jedoch auf einem schlecht geschützten Offline-Datenträger oder in einem Cloud-Dienst gespeichert ist, können Bedrohungsakteure auch diese Sicherungskopie stehlen und die Identität des Benutzers übernehmen.

Schließlich bieten einige Passwort-Manager eine schlechte Verschlüsselung, unterstützen nicht alle Geräte/Browser oder funktionieren nur mit webbasierten Browseranmeldungen.

Die beste Möglichkeit, all diese Nachteile zuverlässig und sicher zu umgehen, ist die passwortlose Sicherheit.

Passwortlose Sicherheit vermeidet Sicherheitsherausforderungen

Gestohlene oder kompromittierte Passwörter stellen Unternehmen vor zahlreiche Sicherheitsherausforderungen.

E-Mail-basiertes Phishing ist eine der erfolgreichsten Angriffsmethoden für böse Akteure. Im Jahr 2020 waren 75 % der Unternehmen weltweit von einem Phishing-Angriff betroffen. Sowohl Verizon als auch dem FBI zufolge war Phishing die am häufigsten beobachtete Angriffsart bei Sicherheitsverletzungen in diesem Jahr. Und bei fast allen derartigen Angriffen ist Anmeldedaten in der Regel das am häufigsten kompromittierte Attribut. Bei Einbrüchen können gestohlene Anmeldedaten für das Stuffing von Zugangsdaten verwendet werden. Dies ist ein besonders großes Risiko, wenn Mitarbeiter Passwörter für mehrere Konten wiederverwenden. Die Übernahme von Konten, Identitätsdiebstahl oder Betrug sind weitere Folgen gestohlener oder kompromittierter Passwörter.

Im Allgemeinen bevorzugen Angreifer kurze Wege, um die Unternehmenssicherheit anzugreifen. Passwörter sind ein solcher Weg, mit dem sie leicht in Systeme eindringen und sensible Daten stehlen können.

Mit passwortloser Sicherheit können Unternehmen solche Cyberangriffe von vornherein verhindern. Wenn also mehr als 80 % der Sicherheitsverletzungen auf schwache Anmeldedaten zurückzuführen sind, können Unternehmen 80 % der Cyberangriffe verhindern, indem sie auf passwortlose Sicherheit umstellen.

Passwortlose Sicherheit zur Minimierung von Insider-Bedrohungen

Seit dem Ausbruch der COVID-19-Pandemie ist der Einsatz von Außendienstmitarbeitern für Unternehmen weltweit zur Norm geworden. Da die Mitarbeiter von zu Hause aus arbeiten und beim Zugriff auf Unternehmensressourcen Sicherheits-"Abkürzungen" nehmen, sind die Sicherheitsteams mit einem zunehmenden Risiko von Insider-Bedrohungen konfrontiert - sei es durch verärgerte oder nachlässige Mitarbeiter, nachlässige Lieferanten oder böswillige ehemalige Mitarbeiter.

Tatsächlich sind zwischen 2018 und 2020 sowohl die Häufigkeit als auch die Kosten der gemeldeten Insider-Vorfälle um 47 % bzw. 31 % gestiegen. Davon entfallen 62 % aller Vorfälle auf fahrlässige Insider, die Unternehmen durchschnittlich 4,58 Millionen US-Dollar pro Jahr kosten.

Bei den meisten dieser Vorfälle spielen kompromittierte Passwörter eine Rolle - ein Problem, das durch passwortlose Sicherheit gelöst werden kann.

Passwortlose Sicherheit für ein einfacheres Kunden-Onboarding

Heutzutage müssen die Nutzer mehrere Anmeldedaten für mehrere Konten im Auge behalten. Wenn man sie zwingt, sich während des Onboardings mit einem Passwort zu authentifizieren, wird diese Belastung noch größer und beeinträchtigt ihre Erfahrung.

Für das Unternehmen erhöht sich dadurch das Risiko, dass der Kunde das Unternehmen verlässt. Eine kürzlich durchgeführte Studie ergab, dass 64,5 % der Nutzer eine Website verlassen, wenn sie aufgefordert werden, einen Benutzernamen und ein Login zu erstellen. Von denjenigen, deren Login Anmeldedaten verloren geht oder kompromittiert wird, sind 92 % bereit, eine Website einfach zu verlassen, anstatt ihren Login zurückzusetzen Anmeldedaten.

Die passwortlose Sicherheit ist ein wirksames Mittel, um die Reibungsverluste für die Nutzer zu minimieren, den Abbruch zu verhindern und die Sicherheit für die Diensteanbieter zu erhöhen.

Schlussfolgerung

Die passwortlose Sicherheit bietet zahlreiche Vorteile gegenüber herkömmlichen passwortbasierten Systemen und sogar gegenüber MFA- und SSO-Systemen. Um das Risiko für Ihr Unternehmen zu berechnen und zu reduzieren, verwenden Sie dieses kostenlose Bedrohungsmodell, das von der IDEE am britischen National Cyber Security Center erstellt wurde.