7 Passwortlose Risiken und wie man sie mindert

Die Risiken einer passwortbasierten Authentifizierung sind bekannt. Hacker können Passwörter erraten, stehlen oder kaufen, um Unternehmenssysteme und Netzwerke zu gefährden, Konten zu übernehmen und Daten zu stehlen. Eine passwortlose Authentifizierung kann diese Risiken mindern - vorausgesetzt, sie ist wirklich passwortlos und bietet nicht nur ein passwortloses Erlebnis.

Beispielsweise ist Single Sign-On (SSO) nicht wirklich passwortlos. Es verbirgt einfach das Passwort in der Benutzererfahrung und verwendet es dennoch im Hintergrund für die Authentifizierung. Noch wichtiger ist, dass SSO es nicht wirklich sicher ist , da das Passwort immer noch kompromittiert werden kann, um einem schlechten Schauspieler alle Türen zu öffnen - mit einem einzigen Schlüssel. Eine wirklich passwortlose Lösung verzichtet komplett auf Passwörter und bietet eine robustere Authentifizierung, die die Unternehmenssicherheit erhöht und alle passwortbasierten Angriffsvektoren (z. B. Phishing) vermeidet. Sie verbessert auch das Benutzererlebnis und die Produktivität und reduziert den Aufwand für die Passwortverwaltung.

Aber trotz dieser Vorteile gibt es einige passwortlose Risiken. Zum Glück können diese Risiken gemindert werden. In diesem Artikel werden diese beiden Aspekte behandelt.

#1: Anfällige Endbenutzer-Authentifizierungsgeräte

Gerätediebstahl ist ein passwortloses Risiko im Zusammenhang mit Geräten zur Endbenutzer-Authentifizierung. Wenn ein Angreifer das Gerät eines entsperrten Benutzers in die Hände bekommt, kann er alle OTPs, PINs oder magischen Links abfangen, die in Authentifizierungs-Apps generiert oder per E-Mail oder SMS gesendet wurden.

Ein weiteres passwortloses Risiko ist das SIM-Swapping. Ein böser Akteur manipuliert einen Mobilfunkanbieter, um ihm die SIM-Karte eines legitimen Benutzers zu übertragen, sodass dieser die SMS-Nachrichten des Benutzers abfangen und auf alle Dienste zugreifen kann, die auf einer SMS-basierten Authentifizierung basieren.

Benutzereigene Authenticator-Geräte sind besonders anfällig für mehrere Bedrohungen. Neben Diebstahl können diese Bedrohungen auch von unsicheren Anwendungen mit Schadsoftware, bösartigen Websites oder ungesicherten öffentlichen oder offenen Netzwerken ausgehen.

Risikominderung

Da Mobilgeräte "mobil" sind, sind sie anfällig für das Risiko von Diebstahl und unbefugter Nutzung. Organisationen jedoch Dose minimieren Sie die Auswirkungen dieser Risiken, indem Sie einen multifaktoralen kryptografischen Geräteauthentifikator und MDM-Lösungen (Mobile Device Management) nutzen.

Ein Multifaktor-Authentifikator für kryptografische Geräte verhindert standardmäßig das Abfangen von OTPs, PINs, SMS-Codes sowie SIM-Swapping und verwendet einen zweiten Faktor (z. B. biometrische Daten), um die unbefugte Verwendung des Authentifizierungsgeräts im Falle eines Diebstahls zu verhindern.

Mit MDM kann ein Unternehmen mobile Geräte überwachen, verwalten und sichern und die persönlichen Daten der Mitarbeiter von den Unternehmensdaten trennen, um deren Verlust oder Verlust zu verhindern. Sie können auch relevante Sicherheitsrichtlinien kontrollieren und verteilen, um die Unternehmensdaten- und Netzwerksicherheit zu erhöhen.

#Nr. 2: Schlechte Identitätsprüfung und Authenticator-Bereitstellung

Beim Identitätsnachweis wird die Identität des tatsächlichen Benutzers zum Zeitpunkt der Registrierung/Kontobereitstellung festgestellt, um sicherzustellen, dass nur vertrauenswürdige und autorisierte Personen auf die Daten des Unternehmens zugreifen können. Dieser Schritt ist unerlässlich, um das Unternehmen vor den vielen Sicherheitsbedrohungen zu schützen, die von unbefugten Benutzern (auch bekannt als böswillige Akteure) ausgehen, wie z. B. der Verwendung gestohlener und synthetischer Identitäten für Identitätsbetrug. Ein schwacher Identitätsnachweis kann jedoch zu einem passwortlosen Risiko führen, ebenso wie eine schlechte Bereitstellung von Authentifikatoren.

Risikominderung

Um diese Risiken zu minimieren und Vertrauen aufzubauen, ist es wichtig, Benutzer-, Geräte- und App-Instanzen sicher bereitzustellen und sicherzustellen, dass die etablierte Benutzer-, Geräte- und App-Identität untrennbar miteinander verbunden sind, um eine verbesserte Identitätsverwaltung zu erreichen.

Es ist auch wichtig, strenge Sicherheitskontrollen wie Gerätesperre und App-Testation zu implementieren, um die etablierten Identitäten und die Geräte/App-Integrität zu überprüfen und zu validieren. Die sichere Kontowiederherstellung auf Kundenseite hilft auch dabei, die Kompromittierung der Authentifizierungsdaten und serverbasierte Insider-Angriffe zu verhindern.

#3: Unsicheres Identitätsmanagement

Beim Identitäts- und Zugriffsmanagement (IAM) geht es darum sicherzustellen, dass eine bestimmte Identität oder ein autorisierter Benutzer im richtigen Kontext Zugriff auf die richtigen Ressourcen hat. Ebenso wichtig ist, dass es nicht autorisierte Benutzer daran hindert, auf diese Ressourcen zuzugreifen und Sicherheitsprobleme für das Unternehmen zu schaffen.

Unsicheres Identitätsmanagement ist jedoch ein passwortloses Risiko. Eine unsichere Identitätsbereitstellung kann zu Identitätsbetrug führen, schwache Authentifizierungsprotokolle können von Hackern unterlaufen werden, und proprietäre Protokolle lassen sich nur schwer nachweislich vor unbefugten Insidern schützen. Wenn das IAM-System an einen externen Identitätsanbieter delegiert wird, verliert das Unternehmen möglicherweise die Kontrolle und muss der Sicherheit des externen Identitätsanbieters blind vertrauen.

Risikominderung

Secure Identity Proofing mit transitivem Vertrauen stellt sicher, dass nur autorisierte und explizit verifizierte Benutzer und Geräte überhaupt für den Zugriff auf die Ressourcen einer Organisation bereitgestellt werden können.

‍PasswortloseMultifaktor-Authentifizierung (MFA) das auf starken Authentifizierungsfaktoren wie Biometrie und nicht auf schwachen Faktoren wie Passwörtern beruht, stellt sicher, dass Benutzer und Geräte ausreichend authentifiziert sind, um Zugriff zu erhalten. Die Bindung von Gerät und App-Instanz könnte genutzt werden, um die Integrität von Gerät und App verifizierbar zu bestätigen und so sicherzustellen, dass jede Transaktion nicht abgewiesen wird.

Das Zero-Trust-Sicherheitsprinzip könnte angepasst werden, um sicherzustellen, dass alle Zugriffe, ob von innerhalb des Netzwerkperimeters des Unternehmens oder von außen, explizit geprüft und unabhängig verifiziert werden.

Ein sicheres Identitätsmanagement gewährleistet nicht nur eine sichere Benutzeridentifikation, Authentifizierung und Autorisierung, sondern gewährleistet auch die Sicherheit der Authentifizierungsgeheimnisse, verhindert die Umgehung der Authentifizierung, den sicheren Widerruf und die Wiederherstellung von Anmeldeinformationen und ist resistent gegen Angriffe durch den Identitätsanbieter (oder Dienstanbieter).

#4: Sicherheitsfehlkonfigurationen und neue Sicherheitslücken

Sicherheitsfehlkonfigurationen, die dafür verantwortlich waren 82% Die Anzahl der Sicherheitslücken im Jahr 2019 ist für Hacker ein leichtes Ziel, da sie solche Schwachstellen leicht erkennen und ausnutzen können, um Daten zu stehlen und Chaos in der Organisation anzurichten. Zu diesen Fehlern gehören unverschlüsselte Dateien, ungepatchte Systeme, die fortgesetzte Verwendung von Standardanmeldeinformationen, ungesicherte Geräte und ein schwacher (oder nicht vorhandener) Firewall-Schutz. Falsch konfigurierte Umgebungen machen das Unternehmen außerdem anfällig für Malware-Infektionen, Botnets und Ransomware-Angriffe, die zu allem führen können, von Datenschutzverletzungen und Lösegeldforderungen bis hin zu Identitätsbetrug und kostspieligen Geschäftsausfällen.

Risikominderung

Es ist wichtig, solche Schwachstellen frühzeitig zu erkennen und zu beheben, und zwar durch eine umfassende risikobasierte Schwachstellenbewertung für den gesamten Tech-Stack sowie Penetrationstests, Patch-Management und eine strenge IAM-Governance. Um Angriffe zu verhindern, sollten Unternehmen sichere Konfigurationen implementieren und Compliance-Prüfungen durchführen, die sich an branchenweit bewährten Verfahren orientieren, wie z. B. GUS-Benchmarks.

#5: Insider-Bedrohungen

Risiken, die von böswilligen oder fahrlässigen Insidern ausgehen, stellen für Unternehmen auf der ganzen Welt ein wachsendes passwortloses Risiko dar. Laut Verizon DBIR 2020 betrafen 2019 über 30% der Datenschutzverletzungen interne Akteure wie aktuelle oder ehemalige Mitarbeiter oder Drittanbieter und Drittanbieter. Viele Insider-Bedrohungen sind auch auf den Missbrauch legitimer privilegierter Konten zurückzuführen.

Risikominderung

Um solche Risiken zu minimieren, ist es wichtig, über eine Sicherheitskontrolle zu verfügen, die den Missbrauch und/oder die Eskalation von Rechten verhindert, wie z. B. die Autorisierung durch mehrere Parteien und die Dezentralisierung der Richtliniendurchsetzungspunkte, um eine Umgehung der IAM-Richtlinien zu verhindern.

Unternehmen müssen auch ermitteln, wo sensible Dateien gespeichert sind, und festlegen, wer Zugriff auf Daten hat und wer nicht sollte. Immer wichtiger wird es auch, ein Modell mit den geringsten Zugriffsrechten beizubehalten, eine Kultur rund um die Datensicherheit zu schaffen und diese zu befolgen Zero-Trust-Prinzipien zum Schutz des Unternehmensvermögens.

#6: Mangelnde Unterstützung für ältere Systeme

Viele ältere Systeme verwenden ältere Authentifizierungsprotokolle wie RADIUS, die auf schwachen Zugangsdaten basieren, und organisatorische Identitätsspeicher für die Passwortauthentifizierung. Solange diese Altsysteme vorhanden sind, muss der Identitätsspeicher weiterhin Passwörter unterstützen.

Diese fehlende Unterstützung für passwortlose Authentifizierung und Integration - und die Tatsache, dass Passwörter einfach in jedes System integriert werden können - sind zwei Hauptgründe, warum Unternehmen Schwierigkeiten haben, auf passwortlose Authentifizierung umzusteigen.

Risikominderung

Es ist Es ist möglich, Passwortrisiken zu eliminieren, ohne Altsysteme komplett (und teuer) zu überarbeiten - mit passwortloser Authentifizierung. Moderne Identitäts- und Authentifizierungstechnologien ermöglichen eine passwortlose Authentifizierung, die sich mithilfe von Standards wie SAML, OIDC, WS-Auth und vielen anderen einfach in ältere Systeme integrieren lässt. Gleichzeitig werden Sicherheit und Compliance verbessert und Reibungsverluste bei der Authentifizierung vermieden.

#Nr. 7: Bedenken hinsichtlich des Datenschutzes der Nutzer

Manche Mitarbeiter fühlen sich unwohl, wenn sie ihre persönlichen Geräte für die passwortlose Authentifizierung verwenden, und befürchten, dass ihre biometrischen oder kontextbezogenen Daten verwendet werden, um ihre Privatsphäre zu verletzen. Die Vertrautheit mit Passwörtern und die Unkenntnis der Vorteile der passwortlosen Authentifizierung führen ebenfalls zu Widerstand gegen Änderungen.

Risikominderung

Es ist in der Tat möglich, persönliche Geräte zu verwenden und sicherzustellen, dass keine Benutzerdaten erfasst werden, wenn passwortlose Authentifizierungslösungen verwendet werden, die auf Zero-Knowledge- und Null-PII-Prinzipien basieren. In europäischen Ländern ist es wichtig, die Berater der Arbeitnehmer zu bitten, eine Lösung zur passwortlosen Authentifizierung zu überprüfen, um sicherzustellen, dass sie die Prinzipien Zero-Knowledge und Null-PII einhalten.

‍Fazit

Wie in diesem Artikel gezeigt, können die sieben wichtigsten kennwortlosen Risiken tatsächlich gemindert werden. Und die Kenntnis der Stärken und Schwächen der passwortlosen Authentifizierung ist entscheidend, um einem Unternehmen zu helfen, passwortlos zu werden.

Zusätzlich zu diesem Artikel erfahren Sie, wie Sie die Risiken Ihrer aktuellen Authentifizierungsmethoden mithilfe von diesem Risikorechner. In nur 15 Minuten können Sie mit diesem Rechner schnell Schwachstellen identifizieren und herausfinden, wie Sie diese am besten beheben können.