:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Zukunft der Nutzerauthentifizierung Passwortverfahren vor dem Aus?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Passwortverfahren gelten schon lange als überholt und veraltet – aus gutem Grund. Das Gros der erfolgreichen Cyberangriffe der vergangenen Jahre, es lässt sich zu einem erheblichen Teil auf den Missbrauch unrechtmäßig erworbener Anmeldedaten – in der Regel von Nutzername und Passwort – zurückführen. Dennoch wird die Authentifizierungslandschaft nach wie vor von Passwortverfahren dominiert – auch in Deutschland.
300 Milliarden Passwörter, so der 2022 Cybersecurity Almanac von Cybersecurity Ventures, sind derzeit täglich im Einsatz, um Menschen und Maschinen einen mehr oder minder abgesicherten Zugang zu einer Anwendung oder einem IT-System zu ermöglichen. Eine gewaltige Menge – und ein ebenso gewaltiges globales Sicherheitsproblem. Denn über 80 Prozent aller Cyberangriffe auf Internetanwendungen des vergangenen Jahres, so Verizons 2022 Data Breach Investigations Report, hingen und hängen mit der unrechtmäßigen Entwendung und dem Missbrauch von Anmeldedaten – im Regelfall von Nutzername und Passwort – zusammen.
:quality(80)/p7i.vogel.de/wcms/a2/17/a217acb60bea6b43214cd7509dbc981d/0100127717.jpeg "Im Podcast haken wir nach: Wie schnell werden wir das Passwort wirklich los? (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 57
So ersetzt FIDO das Passwort per Passkey
Nicht zwangsläufig müssen die Cyberkriminellen hierzu zeitaufwendige Phishing- oder Spear Phishing-Angriffe unternehmen, müssen sie in den Einkauf von Nutzerdatenbanken im Dark Web investieren. Häufig genug können sie sich einfach auf ihr Glück verlassen. Jedes Jahr gibt das in Potsdam ansässige Hasso-Plattner-Institut die ‚Lieblingspasswörter‘ der Deutschen bekannt. 2021 landete auf Platz 1: ‚123456‘. Gefolgt von ‚passwort‘, ‚12345‘, ‚hallo‘ und ‚123456789‘. Vergleicht man diese Zahlen- und Buchstaben-Kombinationen mit den – annähernd identischen – Erhebungen der vergangenen Jahre, so wird rasch deutlich: es ist nicht sonderlich kompliziert, ‚auf gut Glück‘ erfolgreich die Passwortsicherung eines deutschen Computer-, Laptop-, Tablet- oder Smartphone-Nutzers zu knacken.
Passwortverfahren – mehr Schaden als Nutzen…
Dennoch dominiert die Kombination von Nutzername und Passwort inner- wie außerhalb Deutschlands nach wie vor die Authentifizierungslandschaft. Nutzer und Entwickler von IT-Anwendungen sind mit ihnen aufgewachsen, sind es gewohnt, sich Konten mit Passwortschutz anzulegen und sich mit diesen anzumelden. Entsprechend repräsentieren Passwörter in den meisten Anwendungen nach wie vor den Authentifizierungsstandard. Und dies trotz dreier zentraler Nachteile:
- geringe Nutzerfreundlichkeit: Passwörter sind für Nutzer nur schwer zu merken. Häufig müssen sie umständlich notiert werden. Und ihre Eingabe wird oft als störend empfunden.
- Hohe Wartungsauslastung: Passwörter müssen von der IT-Abteilung gemanagt werden. IT-Fachkräfte verschwenden einen erheblichen Teil ihrer wertvollen Arbeitszeit mit dem Zurücksetzen von Passwörtern.
- Geringe Sicherheit: Cyberkriminellen stehen mittlerweile ausreichend Ressourcen, Tools und Verfahren zur Verfügung, um Passwortverfahren effektiv und effizient auszuhebeln. Dabei kommt ihnen zusätzlich zugute, dass private wie institutionelle Nutzer häufig dazu neigen – aufgrund der geringen Nutzer- und Wartungsfreundlichkeit der Verfahren – freiwillig Abstriche beim Faktor Sicherheit zu machen.
… und nur wenig Optimierungspotential
Natürlich können zusätzliche Maßnahmen ergriffen werden, um die Sicherheit von Passwortverfahren zu erhöhen: durch Verlängerung der Zeichenzahl, Verwendung von Groß- und Kleinbuchstaben, Zahlen und Symbolen und nicht im Duden vorkommender Wörter kann die Komplexität eines Passworts – und damit seine Sicherheit – spürbar angehoben werden. Außerdem können Passwörter nach jeder erkannten Datenschutzverletzung geändert, für jede Anwendung neu ausgewählt und von automatisierten Management-Tools erdacht, gespeichert und eingesetzt werden. Proaktiv können Nutzer im Internet recherchieren, ob ihr Passwort kompromittiert wurde. Entsprechende Tools stehen längst zur Verfügung. Und schließlich besteht die Möglichkeit, Passwortverfahren – im Rahmen einer 2- oder auch Multi-Faktor-Authentifizierung – durch Ausstattung mit einem zusätzlichen Faktor sicherer zu machen. Das Problem: all diese Maßnahmen erhöhen zwar die Sicherheit des Verfahrens – machen es Angreifern also schwerer, das Passwort zu knacken – erschweren es am Ende aber eben auch den Nutzern, das Verfahren zu managen, ihre Passwörter im Griff zu behalten. Nicht selten enden die ‚Optimierungsbemühungen‘ dann damit, dass die Nutzer aus Bequemlichkeit – um die Nutzerfreundlichkeit anzuheben – doch wieder zu leichter zu merkenden Passwörtern oder der Nutzung eines Passworts für mehrere Anwendungen zurückkehren. Kein Wunder, dass eine wachsende Zahl von IT-Spezialisten die Meinung vertritt, dass die Zukunft der Authentifizierung nicht in der Optimierung der Passwort-, sondern in der Implementierung alternativer, passwortloser Verfahren liegt.
Passwortlose Nutzerauthentifizierungen als Ausweg
Tatsächlich bestehen schon länger effektive Lösungen, mit denen Nutzer sich passwortlos authentifizieren können: über Tokens, Smartcards und Endgeräte, wie Smartphones, über biometrische Verfahren, wie Scans des Gesichts, der Stimme oder des Fingerabdrucks, oder auch Analysen ihres Verhaltens innerhalb eines IT-Systems oder einer Anwendung. Sie alle weisen gegenüber traditionellen Passwortlösungen erhebliche Vorteile auf. Sie:
- sind nutzerfreundlicher, da sich der Anwender nicht mehr umständlich komplexe Informationen merken muss und Zugänge schnell und unkompliziert freischalten kann,
- sind weniger arbeitsaufwendig für die IT-Abteilung, da die Zeit, die ihre Mitarbeiter in das Management der Passwörter stecken müssen, entfällt und
- machen Angriffe für Cyberkriminelle komplizierter und damit kostspieliger.
- Und dennoch: der große Durchbruch blieb ihnen bislang verwehrt. Gegen die Macht der Gewohnheit, gegen den bestehenden Authentifizierungsstandard, konnten sich die Verfahren nicht durchsetzen. Das dürfte sich bald ändern.
:quality(80)/p7i.vogel.de/wcms/70/56/70567b2c00f6b918072aacfd0d40f629/0106450499.jpeg "Die FIDO-Erweiterungen für „multi-device credentials“ und „roaming authenticator“ werden allgemein verfügbar. (Bild: fidoalliance.org (bearb.))")
Jetzt kommen die plattformübergreifenden Passkeys
Smartphone + Bluetooth = Authenticator
Stichjahr 2023 – der Anfang vom Ende der Nutzername-Passwortkombination
Denn zum diesjährigen Welt-Passwort-Tag, dem 5. Mai, hat Google für seine Plattform den baldigen Anfang vom Ende passwortgestützter Authentifizierungsverfahren verkündet. Und nicht nur bei Google tut sich in dieser Hinsicht derzeit einiges. Seit geraumer Zeit arbeiten ‚die großen Drei‘ – Google, Apple und Microsoft – zusammen mit der FIDO Alliance, daran, einen neuen, plattformübergreifenden Anmeldestandard zu implementieren: das ‚Passkey‘-System. Statt auf Passwörter setzen sie dabei konsequent auf passwortlose Alternativverfahren. Nutzer können sich über ein Endgerät mit ihrem Gesicht, ihrem Fingerabdruck oder ihrer Geräte-PIN authentifizieren. Einmal angemeldet, können sie dann Geräte- und Plattform-übergreifend auf ihre Passkeys zugreifen, sich für einen Dienst oder eine App anmelden. Google, Apple und Microsoft haben sich verpflichtet, die Lösung bis Ende 2023 in ihre Plattformauthentifizierung zu integrieren. Die globale Authentifizierungslandschaft wird dieser gemeinsame Schritt – davon ist auszugehen – nachhaltig prägen. Nutzer werden sich rasch an die unkomplizierte, schnelle und vor allem einmalige Authentifizierung gewöhnen. So ist davon auszugehen, dass den ‚großen drei‘ schon bald Internet-Dienste und Anwendungs-Entwickler folgen werden – weg vom Passwort-, hin zum Passkey-System oder einem vergleichbaren passwortlosen Verfahren.
Bis zum endgültigen Ende des Passworts wird es dann zwar noch eine geraume Weile dauern, doch wird es sich zweifellos um einen überschaubaren Zeitraum handeln. Die Zukunft der Authentifizierung, soviel kann schon heute gesagt werden, sie wird in passwortlosen Verfahren liegen.
Über den Autor: Thomas Schneider ist Regional Sales Director bei Ping Identity.
(ID:48741385)
:quality(80)/p7i.vogel.de/wcms/25/b5/25b5a743b550d4b258c66ca54bc5bbb2/0109884280.jpeg "12-mal, jeden Tag – so häufig müssen deutsche Arbeitnehmer derzeit im Schnitt ihren Nutzernamen und ihr Passwort eingeben, um sich in die IT-Systeme ihrer Arbeitgeber einzuwählen. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/58/e758da745e1495c6fbbe7a7fdeabf63d/0112616027.jpeg "Passwortlose Zukunft? Keeper Security kündigt Passkey-Unterstützung für sichere Authentifizierung an. (Bild: reshoot - stock.adobe.com)")