Schlagwort-Archive: sicherheit

Passwordless: Passwörter sind lästig und ein Sicherheitsrisiko

Schreibe eine Antwort

Laut einer Verizon-Studie von 2021 sind 61 Prozent aller Datenschutzverletzungen mit der unberechtigten Verwendung von Anmeldedaten verbunden. Oder anders gesprochen: Es werden immer mehr Passwörter gestohlen. Die Authentifizierung über Benutzername und Passwort ist eine der anfälligsten Methoden überhaupt und wird auf Dauer nicht mehr ausreichen, um Internetnutzer und Systeme zu schützen. Die Lösung heißt: Passwordless Authentication.

Was bedeutet Passwordless Authentication?

Die passwortlose Authentifizierung ist eine Authentifizierungsmethode, die es ermöglicht, Zugang zu einer Anwendung oder einem IT-System zu erhalten, ohne ein Passwort einzugeben oder Sicherheitsfragen zu beantworten. Stattdessen verwendet der Benutzer eine andere Form des Nachweises, etwa einen Fingerabdruck, eine Transponderkarte („Proximity-Karte“) oder einen Hardware-Token-Code.

Passwordless Authentication wird häufig in Verbindung mit der Multi-Faktor-Authentifizierung (MFA) oder Single Sign-On-Lösungen eingesetzt:

  • Bei MFA muss der Benutzer mehrere Nachweise erbringen, um Zugang zu bestimmten Plattformen oder Systemen zu erhalten. Häufig wird zum Beispiel ein einmaliger SMS-Code ans Handy verschickt, wenn man sich am PC auf einer Plattform anmelden möchte. Das bloße Abgreifen der Zugangsdaten würde einem Kriminellen also nichts mehr nützen, weil er den zweiten Nachweis nicht vorlegen kann.
  • Bei Single Sign-On (SSO) kann der Benutzer denselben Sicherheits-Token oder dieselbe Proximity-Karte für den Zugriff auf alle Anwendungen und Dienste verwenden.

Warum sind Passwörter ein Risikofaktor?

Ob privat oder geschäftlich, jeder ist heutzutage auf eine Vielzahl von Anwendungen angewiesen. Die Folge ist, dass sich Benutzer eine schwindelerregende Anzahl von (häufig wechselnden) Passwörtern merken müssen. Bis zu einem gewissen Punkt mag das funktionieren, doch irgendwann nimmt das Chaos überhand. Was dann?

Sie könnten dasselbe Passwort mehrmals verwenden oder Ihre Passwörter abschwächen, was jedoch ein Risiko darstellt. Sie könnten auch einen Passwort-Manager nutzen – aber welcher ist wirklich sicher?

Bösewichte können diese laxen Praktiken der Passwortverwaltung ausnutzen, um Cyberangriffe zu starten und vertrauliche Daten zu stehlen:

  • Brute-Force-Methoden: Verwendung von Programmen, die zufällige Kombinationen aus Benutzernamen und Kennwort generieren oder gängige schwache Kennwörter wie 123456 ausnutzen
  • Credential Stuffing: Verwendung gestohlener oder geleakter Anmeldedaten eines Kontos, um Zugang zu anderen Konten zu erhalten (Nutzer verwenden oft dieselbe Kombination aus Benutzername und Kennwort für viele Konten)
  • Phishing: Verwendung von gefälschten E-Mails oder Textnachrichten, um ein Opfer dazu zu bringen, mit seinen Zugangsdaten zu antworten
  • Keylogging: Installation von Malware auf einem Computer, um Tastatureingaben von Benutzernamen und Kennwort zu erfassen
  • Man-in-the-Middle-Angriffe: Abfangen von Kommunikationsströmen (z. B. über öffentliches WiFi) und Anmeldedaten

Welche Vorteile bietet eine passwortlose Authentifizierung?

Mit der passwortlosen Authentifizierung müssen Sie sich keine Passwörter oder Antworten auf Sicherheitsfragen mehr merken. Benutzer können bequem und sicher auf Anwendungen und Dienste zugreifen, indem sie andere Authentifizierungsmethoden verwenden, zum Beispiel:

  • Proximity Badges, physische Token oder USB-Geräte (FIDO2-kompatible Schlüssel)
  • Software-Token oder Zertifikate
  • Fingerabdruck, Netzhautscan, Sprach- oder Gesichtserkennung
  • Mobiltelefonanwendung (Anrufe, SMS-Codes)

Entsprechende Vorteile sind die Verbesserung der Benutzererfahrung, Stärkung der Sicherheit und Vereinfachung der IT-Abläufe im Unternehmen.

Die neuesten MFA-Lösungen unterstützen sogar adaptive Authentifizierungsmethoden. Hierbei werden kontextbezogene Informationen (Standort, Tageszeit, IP-Adresse, Gerätetyp usw.) und Geschäftsregeln verwendet, um zu bestimmen, welche Authentifizierungsfaktoren für einen bestimmten Benutzer in einer bestimmten Situation gelten sollen.

Adaptive MFA schafft ein Gleichgewicht zwischen Komfort und Sicherheit. Beispielsweise lässt sich festlegen, dass ein Mitarbeiter, der von einem vertrauenswürdigen Heimcomputer aus auf eine Unternehmensanwendung zugreift, nur eine Form der Authentifizierung angeben muss. Greift er allerdings aus dem Ausland oder über eine nicht vertrauenswürdige WiFi-Verbindung auf die Anwendung zu, ist ein zusätzlicher SMS-Code erforderlich.

Zusammenfassung

Passwordless Authentication ist die Antwort auf zunehmende Datenschutzverletzungen durch kompromittierte Anmeldedaten. Viele Nutzer unterschätzen immer noch, wie schnell und einfach Passwörter gestohlen und geknackt werden können. Mit passwortlosen Authentifizierungsmethoden wie Hardware-Token oder biometrischen Merkmalen lässt sich dieser Risikofaktor beheben. In Kombination mit mehreren Nachweisen (MFA) oder Single Sign-On garantieren Sie Ihren Kunden und Nutzern maximale Sicherheit und Benutzerfreundlichkeit.

Buzzwords: Was ist Zero Trust?

Schreibe eine Antwort

Im Zuge der digitalen Transformation ist es wichtiger denn je, wie zuverlässig Unternehmen und Dienste vor Cyberangriffen und Datenklau geschützt sind. Klassische, perimeterbasierte Sicherheitskonzepte zum Schutz von Unternehmensnetzwerken stoßen zunehmend an ihre Grenzen, weil sie davon ausgehen, dass interne Zugriffe keine Gefahr darstellen. Doch wem kann man noch vertrauen? Das Zero Trust-Konzept beantwortet diese Kernfrage schon im Wortlaut: niemandem.

„Vertraue niemandem, verifiziere jeden“

Bei Zero Trust handelt es sich um ein IT-Sicherheitsmodell, das grundsätzlich keinem Gerät und keinem Nutzer traut – weder innerhalb noch außerhalb des Netzwerks. Nach der Maxime „Never trust, always verify“ (zu Deutsch: „Vertraue niemandem, verifiziere jeden“) fordert es für jeden Zugriff und jeden Datenfluss eine Authentifizierung. Das heißt: Jede einzelne Anfrage muss neu verifiziert werden, bevor man Zugang zum System erhält.

Zum Vergleich: Bei traditionellen Sicherheitsarchitekturen genügt eine einmalige Verifizierung, um als vertrauenswürdig eingestuft zu werden. Das mag zwar eine komfortable Lösung sein, setzt aber voraus, dass Angreifer immer nur von außen und niemals von innen auftreten können – eine naive Annahme, die im heutigen digitalen Ökosystem keinen Bestand mehr hat. Zero Trust schiebt dem Ganzen einen Riegel vor und rückt den Schutz der Daten in den Mittelpunkt.

Die wichtigsten Grundsätze von Zero Trust

Wie jedes Konzept beruht auch Zero Trust auf einer Kombination verschiedener Prinzipien und Technologien zur umfassenden Abwehr von Cyberangriffen in digitalen Geschäftsumgebungen. Die wichtigsten davon sind:

  • Least Privilege: Das Least Privilege-Prinzip verlangt so wenige Zugriffsberechtigungen wie möglich. Menschliche als auch nicht menschliche Benutzer erhalten demnach nur so viele Privilegien und Informationen wie unbedingt nötig (Just-in-Time / Just-Enough-Access).
  • Datenzentrierung: Die Basis einer lückenlosen Sicherheit und Compliance bildet bei Zero Trust der Schutz der Daten und nicht des Perimeters. Daher liegt der Fokus des Ansatzes vorrangig auf der Sicherung, Verschlüsselung und Verwaltung der Daten sowie der Entwicklung von Datenklassifikationsschemata.
  • Zugriffskontrollen: Durch laufende Identitäts- und Datenprüfungen wird protokolliert, wer wann auf welche Ressourcen Zugriff hat, um interne und externe Bedrohungen rechtzeitig zu erkennen. Privilegierte Accounts gelten als besonders beliebtes Angriffsziel und müssen deshalb verstärkt geschützt und überwacht werden. Je mehr Datenpunkte (Identität, Standort, Datenklassifizierung, Workload etc.) in die Autorisierung einfließen, desto besser.
  • Mikrosegmentierung: Bei dieser Methode werden Sicherheitsperimeter in kleinere, voneinander getrennte Zonen aufgeteilt, die jeweils eigene Zugriffsautorisierungen erfordern. So soll sichergestellt werden, dass ein Benutzer oder ein Programm mit Zugriff auf eine der Zonen nicht automatisch auch auf alle anderen zugreifen kann. Sollte in einem der Segmente ein Angreifer entdeckt werden, lässt sich das kompromittierte Gerät sehr viel leichter unter Quarantäne stellen und vom Rest des Netzwerks trennen.
  • Multifaktor-Authentifizierung (MFA): Für den Zugriff auf geschäftskritische Ressourcen ist ein Passwort allein nicht ausreichend. Viele Online-Dienste und Plattformen nutzen daher eine MFA wie beispielsweise die 2-Faktor-Autorisierung (2FA), bei der Benutzer mehr als einen Identitätsnachweis angeben müssen. Nach der Eingabe des Passworts wird dazu ein Code an ein anderes Gerät versendet, der für die Zugriffsfreigabe erforderlich ist.

Fazit: Zero Trust als Paradigmenwechsel in der IT-Security

Das Zero Trust-Modell ersetzt zum Großteil den traditionellen IT-Sicherheitsansatz, nach dem sämtliche Zugriffe innerhalb des Netzwerkperimeters legitim sind und nicht als Bedrohung für das Unternehmen gesehen werden. Gemäß seiner Maxime „Vertraue niemandem“ muss bei Zero Trust jeder Zugriff verifiziert und überwacht werden. Die Implementierung dieses Konzepts kann auf ganz unterschiedlichen Wegen erfolgen, da es nicht „die eine“ Zero Trust-Strategie gibt. Wirksame Technologien sind zum Beispiel Mikrosegmentierung, Multifaktor-Authentifizierung (MFA) oder Identity and Access Management (IAM), um einen kontrollierten Zugriff von Benutzern und Identitäten zu gewährleisten. Klar ist, dass Zero Trust weiter an Bedeutung gewinnen wird, da die zunehmende Komplexität unserer IT-Landschaft ein grundlegendes Sicherheitsumdenken erfordert. Nicht das Netzwerk als solches, sondern seine Daten und Ressourcen müssen ins Zentrum gerückt und geschützt werden.

Artikeltext: Ein Schloss als Symbol für Passwortsicherheit

Warum das Passwort noch nicht ganz tot ist

Schreibe eine Antwort

BRINGEN SIE IHRE VERWANDTEN DAZU, IHRE PASSWÖRTER ZU ÄNDERN –
Jeder hasst die alten Methoden der Authentifizierung. Doch der Wandel bringt auch Nachteile mit sich.

Es gibt bestimmte Science-Fiction-Versprechen, die die Zukunft bereithalten soll: Jetpacks, fliegende Autos, eine Marskolonie. Aber es gibt auch einige scheinbar leichter zu erreichende Ziele, die sich irgendwie immer nur am Horizont abzeichnen. Und eines der verlockendsten ist das Ende der Passwörter. Die gute Nachricht ist, dass die Infrastruktur – für alle wichtigen Betriebssysteme und Browser – weitgehend vorhanden ist, um die passwortlose Anmeldung zu unterstützen. Die weniger gute Nachricht? Sie geben immer noch jeden Tag Passwörter für mehrere Websites und Dienste ein, und das wird auch noch eine Weile so bleiben.

Es besteht kein Zweifel daran, dass Passwörter ein absoluter Sicherheitsalbtraum sind. Das Erstellen und Verwalten von Passwörtern ist lästig, daher werden sie oft wiederverwendet oder leicht zu erratende Logins gewählt – oder beides. Hacker machen sich das nur zu gern zunutze. Im Gegensatz dazu erfolgt die Authentifizierung bei passwortlosen Anmeldungen anhand von Merkmalen, die angeboren und schwerer zu stehlen sind, z. B. biometrischen Merkmalen. Keiner wird Ihren Daumenabdruck erraten.

Wahrscheinlich verwenden Sie bereits eine Version davon, wenn Sie Ihr Telefon entsperren, z. B. mit einem Scan Ihres Gesichts oder Ihres Fingers anstelle eines Passcodes. Diese Mechanismen funktionieren lokal auf Ihrem Telefon und machen es nicht erforderlich, dass Unternehmen einen großen Bestand an Benutzerpasswörtern – oder Ihre sensiblen biometrischen Daten – auf einem Server speichern, um Anmeldungen zu überprüfen. In bestimmten Fällen können Sie jetzt auch eigenständige physische Token verwenden, um sich drahtlos und ohne Passwort anzumelden. Die Idee ist, dass man das irgendwann für so ziemlich alles machen kann.

„Alle Bausteine haben einen Reifegrad erreicht, der es ermöglicht, dass sie von technikbegeisterten Early Adopters zum Mainstream übergehen“, sagt Mark Risher, Senior Director of Product Management für Identitäts- und Sicherheitsplattformen bei Google. „Sie haben eine starke Plattformunterstützung, sie funktionieren bei allen großen Anbietern und sie werden den Nutzern immer vertrauter. Früher wussten wir als Branche nicht einmal, wie man Passwörter loswerden kann. Jetzt wird es einige Zeit dauern, aber wir wissen, wie wir es machen.“

Ende Juni kündigte Microsoft mit Windows 11 eine tiefere Integration der passwortlosen Anmeldung an, insbesondere für die Anmeldung bei Geräten, die biometrische Daten oder eine PIN verwenden. In ähnlicher Weise kündigte Apple einige Wochen zuvor an, dass seine neuen Betriebssysteme iOS 15 und macOS Monterey eine neue Option namens Passkeys in den iCloud-Schlüsselbund integrieren werden, ein Schritt in Richtung der Verwendung von biometrischen Daten oder Geräte-PINs zur Anmeldung bei mehr Diensten. Und im Mai sprach Google über seine Bemühungen, eine sichere Passwortverwaltung zu fördern, während es gleichzeitig daran arbeitet, die Kunden von Passwörtern wegzubringen.

Trotz dieser und anderer Bemühungen der Branche, sowohl Entwickler als auch Nutzer für eine Welt ohne Passwörter zu gewinnen, bleiben jedoch zwei große Herausforderungen bestehen. Zum einen werden Passwörter zwar allgemein verachtet, sind aber auch sehr vertraut und in absurder Weise allgegenwärtig. Es ist nicht einfach, jahrzehntelang gewachsene Gewohnheiten zu durchbrechen.

„Es ist ein erlerntes Verhalten – das erste, was man tut, ist ein Passwort einzurichten“, sagt Andrew Shikiar, Geschäftsführer der FIDO Alliance, eines langjährigen Branchenverbands, der sich speziell mit sicherer Authentifizierung beschäftigt. „Das Problem ist also, dass wir von einer wirklich schlechten Grundlage abhängig sind. Was wir tun müssen, ist, diese Abhängigkeit zu durchbrechen.

Es war eine schmerzhafte Entgiftung. Eine FIDO-Arbeitsgruppe hat sich im vergangenen Jahr mit der Benutzererfahrung befasst, um Empfehlungen nicht nur für die passwortlose Technologie selbst, sondern auch für die Art und Weise zu geben, wie sie normalen Menschen präsentiert werden kann, damit sie die Sicherheitsvorteile besser verstehen. Die FIDO sagt, dass Organisationen, die ihre Standards für passwortlose Systeme umsetzen, Schwierigkeiten haben, die Benutzer dazu zu bringen, die Funktion tatsächlich anzunehmen. Daher hat die Allianz Richtlinien für die Benutzererfahrung veröffentlicht, die ihrer Meinung nach bei der Gestaltung und Präsentation helfen werden. „‚Wenn du es baust, werden sie kommen‘ ist nicht immer ausreichend“, schrieb Shikiar letzten Monat.

Die zweite Hürde ist noch schwieriger. Selbst wenn all diese Elemente vorhanden sind, funktionieren viele passwortlose Systeme nur auf neueren Geräten und erfordern den Besitz eines Smartphones und mindestens eines weiteren Geräts. In der Praxis ist das ein ziemlich begrenzter Anwendungsfall. Viele Menschen auf der ganzen Welt teilen sich Geräte und können sie nicht häufig aufrüsten, oder sie verwenden, wenn überhaupt, nur Funktionstelefone.

Und während passwortlose Implementierungen zunehmend standardisiert werden, gilt dies nicht für Optionen zur Wiederherstellung von Konten. Wenn Sicherheitsfragen oder eine PIN als Backup-Optionen dienen, verwenden Sie im Grunde immer noch Passwörter, nur in einem anderen Format. Daher bewegen sich passwortlose Systeme hin zu Systemen, bei denen ein Gerät, das Sie zuvor authentifiziert haben, ein neues als vertrauenswürdig einstufen kann.

„Nehmen wir an, Sie lassen Ihr Telefon im Taxi liegen, haben aber noch Ihren Laptop zu Hause“, sagt Risher von Google. „Sie besorgen sich ein neues Telefon und verwenden den Laptop, um das Telefon zu segnen, und können sich so gewissermaßen wieder aufbauen. Und wenn dann jemand Ihr verlorenes Telefon findet, ist es immer noch durch die lokale Gerätesperre geschützt. Wir wollen das Passwortproblem nicht einfach auf die Kontowiederherstellung abwälzen.

Es ist sicherlich einfacher, als die Codes für die Wiederherstellung von Sicherungskopien auf einem Zettel zu notieren, aber auch hier stellt sich die Frage, welche Optionen für Personen geschaffen werden sollen, die nicht mehrere persönliche Geräte verwalten wollen oder können.

Da sich die passwortlose Nutzung immer mehr durchsetzt, bleiben diese praktischen Fragen über den Übergang bestehen. Der Passwort-Manager 1Password, der natürlich ein geschäftliches Interesse daran hat, dass Passwörter weiterhin verwendet werden, sagt, dass er die passwortlose Authentifizierung überall dort, wo sie sinnvoll ist, gerne unterstützt. Auf Apples iOS und macOS können Sie beispielsweise Ihren 1Password-Tresor mit TouchID oder FaceID entsperren, anstatt Ihr Hauptpasswort einzugeben.

Es gibt jedoch einige feine Unterschiede zwischen dem Master-Passwort, das einen Passwortmanager sperrt, und den darin gespeicherten Passwörtern. Die vielen Passwörter im Tresor werden alle zur Authentifizierung bei Servern verwendet, die ebenfalls eine Kopie des Passworts speichern. Das Master-Kennwort, das Ihren Tresor verschließt, ist allein Ihr Geheimnis; 1Password selbst kennt es nicht.

Diese Unterscheidung macht die passwortlose Anmeldung, zumindest in ihrer aktuellen Form, für einige Szenarien besser geeignet als für andere, sagt Akshay Bhargava, Chief Product Officer von 1Password. Er weist auch darauf hin, dass einige seit langem bestehende Bedenken gegenüber Passwortalternativen bestehen bleiben. Zum Beispiel sind biometrische Daten in vielerlei Hinsicht ideal für die Authentifizierung, da sie buchstäblich Ihre einzigartige physische Präsenz vermitteln. Die breite Verwendung biometrischer Daten wirft jedoch die Frage auf, was passiert, wenn Daten über beispielsweise Ihre Fingerabdrücke oder Ihr Gesicht gestohlen werden und von Angreifern manipuliert werden können, um sich als Sie auszugeben. Und während Sie Ihr Passwort aus einer Laune heraus ändern können – ihre beste Eigenschaft als Authentifikatoren – sind Ihr Gesicht, Ihr Finger, Ihre Stimme oder Ihr Herzschlag unveränderlich.

Es wird Zeit und weitere Experimente brauchen, um ein passwortloses Ökosystem zu schaffen, das alle Funktionen von Passwörtern ersetzen kann, vor allem eines, das die Milliarden von Menschen, die kein Smartphone oder mehrere Geräte besitzen, nicht zurücklässt. In einer passwortlosen Welt ist es schwieriger, Konten mit vertrauenswürdigen Personen zu teilen, und alles an ein Gerät wie das Telefon zu binden, schafft noch mehr Anreize für Hacker, dieses Gerät zu kompromittieren.

Bis zur vollständigen Abschaffung von Passwörtern sollten Sie immer noch die Ratschläge befolgen, die WIRED seit Jahren gibt: Verwenden Sie starke, eindeutige Passwörter, einen Passwortmanager (es gibt viele gute Optionen) und eine Zwei-Faktor-Authentifizierung, wo immer Sie können. Wenn Sie jedoch die Möglichkeit sehen, bei einigen Ihrer sensibelsten Konten auf Passwörter zu verzichten, wie z. B. bei der Einrichtung von Windows 11, sollten Sie es ausprobieren. Vielleicht spüren Sie eine Erleichterung, von der Sie nicht einmal wussten, dass es sie gibt.