Einem Report von Verizon zufolge lassen sich 80 Prozent der IT-Sicherheitsvorfälle, die personenbezogene oder geschäftliche Daten betreffen, auf schwache oder kompromittierte Passwörter zurückführen. Und das, obwohl die Maßnahmen zur Absicherung von Kennwörtern und Berechtigungsnachweisen seit Jahren immer weiter verschärft werden, immer neue Technologien zur sicheren Verwaltung von Passwörtern auf den Markt kommen und Experten immer neue Tipps zur Hand haben, wie man den Passwortschutz erhöhen kann. Für TJ Jermoluk, Mitgründer und CEO von Beyond Identity, einem führenden Anbieter von unsichtbarer, nicht manipulierbarer Multi-Faktor-Authentifizierung (MFA), ist längst klar, dass das „sichere Passwort“ nicht existiert und Passwörter endlich in die Geschichtsbücher der Cybersicherheit verbannt werden müssen.
„Ein Tag, der es sich zur Aufgabe gemacht hat, Passwortsicherheit zu verbessern, mag zwar gut gemeint sein, doch sehen wir der Realität ins Auge: Es gibt keine Möglichkeit, Passwörter sicher zu machen. Anstatt den Nutzern ein völlig falsches Gefühl von Sicherheit zu vermitteln, indem wir ihnen raten, längere und stärkere Passwörter zu verwenden oder dasselbe Passwort nicht mehrfach zu benutzen, sollten wir lieber darüber nachdenken, wie wir Passwörter ganz abschaffen können.
Passwörter sind heutzutage der wichtigste Angriffsvektor, und der Kreislauf von Aufklärung über den richtigen Einsatz von Passwörtern und Schuldzuweisungen bei Verstößen ist vollkommen sinnlos, wenn das System selbst grundlegend fehlerhaft ist. Tatsache ist, dass Passwortsicherheit unser globales Sicherheitsproblem nicht annähernd lösen oder verbessern kann.
Doch es gibt heute bereits Technologien, die die Welt von der Last der Passwörter befreien. Diese sind umso wichtiger, als kompromittierte Passwörter die Ursache für mehr als 89 Prozent aller Sicherheitsverstöße bei Webanwendungen sind. Wir müssen uns klar machen, dass alle Security-Ausgaben der Welt nutzlos sind, wenn wir weiter auf Passwörter und den damit verbundenen Authentifizierungsprozess setzen. Verwenden wir weiterhin Passwörter, steht realistischerweise nur eine MFA (sofern eingerichtet) zwischen uns und dem Angreifer. Wenn diese versagt – was doch recht häufig der Fall ist – ist das gesamte Netzwerk in Gefahr.
Die Verantwortung für die Sicherheit von Passwörtern auf den Endnutzer abzuwälzen, kommt mir wie eine Opferbeschuldigung vor. So sollten nicht die einzelnen Nutzer und Verbraucher selbst „Sicherheitsmaßnahmen“ einrichten müssen, sondern die Industrie die Optimierung unserer Sicherheit für sie übernehmen. Der Welt-Passwort-Tag weckt falsche Hoffnungen und setzt den Weg fort, dass Passwörter einen ausreichenden Schutz bieten, obwohl sie das nicht tun und auch nie getan haben.
Wir müssen aufhören, das Problem zu verdrängen und endlich konkrete Schritte unternehmen, um eine Welt zu schaffen, in der Passwörter in die Geschichtsbücher der Cybersicherheit verbannt werden.“
#BeyondIdentity