Passwörter sind schwer zu merken und zu schützen, da Cyberkriminelle sie leicht knacken oder abgreifen können. Daher stellen sie für Sicherheitsfachkräfte und Benutzer gleichermaßen eine Quelle der Frustration dar. Um die Sicherheit einer Organisation zu erhöhen, werden Benutzer häufig dazu angehalten, ihre Passwörter regelmäßig zu ändern oder zu aktualisieren. Zu den augenscheinlich hilfreichen Tipps, die Benutzern gegeben werden, gehören: Verwenden Sie mindestens 15 Zeichen, mischen Sie Buchstaben und Symbole, verwenden Sie keine fortlaufenden Zahlen, persönlichen Informationen und nichts, das leicht zu erraten ist wie „P@sswort“. Dies bürdet Benutzern nicht nur eine große Sicherheitsverantwortung auf. Es führt auch zu häufigen Anrufen bei den Helpdesks, weil Nutzer oft nicht in der Lage sind, sich jede neue, noch kompliziertere Kennwortkombination zu merken, und sich aus den Systemen aussperren. Dadurch werden wertvolle Zeit, Energie und Ressourcen verschwendet.
Oft werden Benutzer auch dazu angehalten, Lösungen wie Passwort-Manager zu verwenden, um sich keine komplexen und ständig wechselnden Passwörter merken zu müssen. Das Problem hierbei: Die Benutzer tragen immer noch die Verantwortung für ihre Passwörter. Und da alle Passwörter in einem einzigen, leicht zugänglichen Repository gespeichert sind, kann ein erfolgreicher Hack des Passwort-Managers selbst – der ebenfalls ein eigenes Passwort benötigt – katastrophale Folgen haben. Der Hack des Passwort-Manager-Anbieters Lastpass ist nur ein Beispiel für den Schaden, der durch solche Angriffe entstehen kann. Deshalb ist es sinnvoller, ganz auf Passwörter zu verzichten und ein neues Sicherheitskonzept zu verfolgen.
Hackers Liebling: Passwortbasierte Angriffe
Hacker brechen nicht mehr ein, sie loggen sich ein. Ein überwältigender Anteil der Datensicherheitsverletzungen beginnt mit einem passwortbasierten Angriff. Laut dem Data-Breach- Investigations-Report 2022 von Verizon wurden über 80 Prozent der Verletzungen von Webanwendungen durch gestohlene Anmeldeinformationen verursacht, wobei fast 20 Prozent der Verletzungen auf Phishing zurückzuführen waren.
Dies überrascht nicht, denn wenn die Anmeldedaten eines Unternehmens passwortbasiert sind, werden sie in Datenbanken gespeichert, die Hacker auch direkt angreifen können. Es spielt keine Rolle, ob ein Kennwort mehr als 1000 Zeichen lang und voller Symbole ist, denn sobald ein Benutzer einer raffinierten Phishing-E-Mail zum Opfer fällt, ist die Komplexität seines Kennworts irrelevant. Indem Unternehmen sich von Passwörtern verabschieden, können sie verhindern, dass ihre Anmeldedaten an verschiedenen Orten und in verschiedenen Datenbanken gespeichert werden, wo sie von Hackern gestohlen werden können.
Zero-Trust-Prinzipien: Jeden und alles die ganze Zeit überprüfen
In den letzten Jahren haben der Ansatz und die Techniken, die in der Zero-Trust-Security Anwendung finden, neue Möglichkeit eröffnet, Benutzer, Nutzerverhalten und die Geräte, die sie für den Zugriff auf Systeme verwenden, aktiv zu authentisieren und zu überwachen – und dies wirklich kontinuierlich und sicher, ohne dabei die Arbeitsabläufe der Nutzer zu behindern.
Diese Lösungen der nächsten Generation machen Passwörter sowie passwortbasierte Multi-Faktor-Authentifizierung (MFA) überflüssig, die Magic-Links und Einmal-Passwörter verwenden, welche anfällig für Fälschung oder für Man-in-the-Middle-Angriffe sind. Stattdessen werden unveränderliche kryptografische Anmeldeinformationen eingesetzt.
Statt Passwörtern erhält jeder Nutzer einen Berechtigungsnachweis auf seinem Gerät, der nicht bewegt, geklont oder manipuliert werden kann und in einem Trusted-Platform-Module (TPM) auf dem Gerät gespeichert und geschützt ist. Dieser Ansatz ermöglicht es Unternehmen, sich gegen Hacks und Passwort-Exploits zu schützen, die in der Regel zu Ransomware-Angriffen führen.
Durch die Verwendung von passwortloser MFA können Unternehmen Zero-Trust-Sicherheitsprinzipien durchsetzen, die dafür sorgen, dass sich nur autorisierte Benutzer und Geräte, die bekannt und genehmigt sind sowie alle notwendigen Sicherheitsanforderungen erfüllen, tatsächlich anmelden können. Alle auf Anmeldeinformationen basierenden Angriffe werden abgewehrt.
Vereinfachung der Sicherheit und Befähigung der Benutzer
Das Abschaffen von Passwörtern bringt für Unternehmen erhebliche Sicherheitsvorteile mit sich. Zudem sind die führenden Authentisierungslösungen einfach zu implementieren und zu warten und beseitigen auch die Produktivitätseinbußen, die Benutzer bei herkömmlichen MFA-Verfahren in der Regel erleiden.
Da unnötige Reibungsverluste bei der Anmeldung vermieden werden, ist es nicht mehr notwendig, ein zweites Gerät zu nutzen, um einen Code oder Link zu empfangen. Außerdem sind die Benutzer nicht mehr dafür verantwortlich, komplexe Passwörter zu wählen und diese häufig zu ändern. Vergessene Passwörter und deren Zurücksetzen am Helpdesk gehören der Vergangenheit an. Stattdessen können Unternehmen ihre Sicherheit dank eines passwortlosen Authentifizierungsansatzes, der eine kontinuierliche risikobasierte Authentifizierung ermöglicht, auf effektive und effiziente Weise erhöhen.
Mit der Eliminierung von Passwörtern können Unternehmen passwortbasierte Angriffe im Keim ersticken. Die Umstellung auf eine Phishing-resistente MFA, die Faktoren wie Biometrie, kryptografische Sicherheitsschlüssel und Sicherheitsprüfungen von Benutzern und Geräten zum Zeitpunkt der Anmeldung sowie auch anschließend kontinuierlich durchführt, erlaubt nun den Schutz von Netzwerken und Ressourcen, der über eine einzige Plattform zentral angepasst, verwaltet und überwacht werden kann.
Da Unternehmen einer Flut an Cyberangriffen ausgesetzt sind, sollte das Überdenken der Authentifizierungsverfahren im gesamten Unternehmen oberste Priorität haben, um die Sicherheit von Kunden, Mitarbeitern und Partnern zu gewährleisten. Diejenigen Unternehmen, die Passwörter abschaffen und zu kryptografischen Passkeys übergehen, erleichtern nicht nur den Arbeitsalltag der Benutzer und verbessern deren Produktivität. Sie beseitigen auch einen der Hauptangriffsvektoren, den Hacker nutzen, um sich Zugang zu Unternehmenssystemen zu verschaffen.
Von Jasson Casey, Chief Technology Officer, Beyond Identity
