Anzeige

Authentifizierung

Aaron Cockerill, Chief Strategy Officer, Lookout, im Interview mit it security über den Wandel in der Authentifizierung.

Glauben Sie, dass es in absehbarer Zeit tatsächlich eine wirklich passwortfreie Zukunft geben wird? Mit anderen Worten: Auch wenn es Technologien gibt, die eine neue Ebene in der Mischung aus Identifikation und Authentifizierung schaffen, werden Benutzer-/Passwort-Anmeldeinformationen trotzdem weiterhin darin vorkommen? Wenn ja, worin bestehen dann die Gefahren, wenn Passwörter für den Benutzer viel weniger sichtbar werden und „Aus den Augen, aus dem Sinn“ nicht unbedingt die stärkste Sicherheitsgrundlage ist?

Aaron Cockerill: Ich glaube, dass wir eine passwortlose Authentifizierung früher erleben werden, als viele vermuten. Passwörter sind für Endbenutzer frustrierend, kosten Unternehmen viel Geld im Support (Zurücksetzen von Passwörtern usw.) und erhöhen den Schweregrad von Datenschutzverstößen im Falle eines Passwortdiebstahls enorm. Darüber hinaus schreiben viele neue IT-Sicherheitsvorschriften (z. B. PSD2) eine stärkere Authentifizierung vor, wie beispielsweise die Multi-Faktor-Authentifizierung (MFA). Das zwingt Unternehmen dazu, ihre Authentifizierungslösungen zu überdenken. In der Vergangenheit lag die Herausforderung darin, dass es

1. keine praktikablen passwortlosen Lösungen gab und
2. das Nachrüsten älterer Anwendungen mit einer stärkeren und/oder passwortlosen Authentifizierung schwierig war.

Heutzutage gibt es relativ einfache und kostengünstige passwortfreie Alternativen. Die meisten Unternehmen verfügen über eine Identity-as-a-Service (IDaaS)- oder Single-Sign-On (SSO)-Lösung, die eine passwortfreie Authentifizierung des Endbenutzers unterstützt und sich gut in vorhandene Systeme integrieren lässt. Diese Lösungen nutzen in der Regel eine geräteseitige Biometrie, die sicherer ist, die Privatsphäre schützt und für den Benutzer viel komfortabler ist. Meiner Meinung nach scheint die Zeit für eine passwortfreie Authentifizierung gekommen zu sein.

Welche Technologien werden am ehesten Passwörter ersetzen, und was sind die damit verbundenen positiven und negativen Aspekte?

Aaron CockerillAaron Cockerill: Eine kryptografische Authentifizierungslösung, wie sie von FIDO2/WebAuthn bereitgestellt wird, ist die Technologie, die Passwörter am ehesten ersetzen wird. Viele der führenden Technologieunternehmen und Finanzinstitute setzen auf Lösungen, die auf diesem Ansatz basieren. Das zeigt die breite Unterstützung der FIDO-Allianz. Ich bin jedoch der Ansicht, dass es eine Sache gibt, die man effektiver angehen muss, wenn wir den Übergang zu einer passwortlosen Welt vollziehen: die kontinuierliche Authentifizierung.

Es reicht einfach nicht aus, eine singuläre Überprüfung zu verwenden, um die Identität einer Person zu bestätigen. Wenn wir die Art und Weise, wie wir die Identität von Personen mittels Authentifizierung bestätigen, ändern wollen, müssen wir sicherstellen, dass die neuen Systeme die Identität kontinuierlich überprüfen. Hier kommen Smartphones ins Spiel. Smartphones verfügen über eine Vielzahl von Sensoren (Biometrie, GPS, Beschleunigungssensoren, usw.), um kontinuierlich zu überprüfen, ob die Person, die sich ursprünglich bei einem System authentifiziert hat, tatsächlich die gleiche Person ist, die es jetzt benutzt. Es sind unsere Smartphones, die vermutlich die passwortlose Zukunft ermöglichen werden. Wir sollten also umso mehr dafür sorgen, dass die Geräte sicher sind.

Und zu guter Letzt, sind wirklich die Passwörter das Sicherheitsproblem oder ist es nicht doch wieder der Mensch? Mangelnde Kenntnis der Risiken, schwache Passwortregelungen, risikoträchtiges Benutzerverhalten....Wann sind Alternativen zu Passwörtern die richtige Antwort, und wann ist eine bessere Aufklärung kombiniert mit dem Einsatz von Passwortmanagern die vielleicht realistischere Sicherheitslösung?

Aaron Cockerill: Passwörter sind das Problem. Bewusstseinsbildung, eine umfassende digitale Hygiene und so weiter sind und bleiben weiterhin notwendig. Das Problem liegt jedoch im Konzept des Dienstleisters, der den geheimen Schlüssel für das Konto eines Benutzers speichert. Letztendlich sollte der Benutzer die Kontrolle über diese Daten haben. Standards wie FIDO2/WebAuthn ermöglichen es dem Anwender, mehr Kontrolle zu erhalten. Denn der Dienstleister speichert nur den öffentlichen Schlüssel zur Authentifizierung. Die biometrischen Daten verlassen das Gerät nie.

Letztendlich wird sich die Welt in Richtung verteilter Identitäten entwickeln, dies wird aber vermutlich noch eine ganze Weile dauern. Die kryptografische, kontinuierliche, passwortlose Authentifizierung ist ein wichtiger erster Schritt auf diesem Weg. Und dieser Schritt wird wahrscheinlich in absehbarer Zeit passieren.

Wir danken für das Gespräch, Herr Cockerill!

www.lookout.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cybersecurity

Cryptographic Center of Excellence von Entrust

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, stellt sein Cryptographic Center of Excellence (CryptoCoE)-Portfolio vor.
E-Mail Angst

Die fünf schlimmsten Fehler bei der E-Mail-Kommunikation

Angesichts steigender Corona-Fallzahlen ist eine „zweite Welle“ im Herbst ein wahrscheinliches Szenario. Ungewiss ist noch, welche Maßnahmen dieses Mal zur Eindämmung ergriffen werden. Die erste Lockdown-Phase hat gezeigt, dass für Unternehmen eine effiziente…
Authentifizierung

Mehr Sicherheit und Komfort durch passwortfreie Logins

Passwortverfahren zur eindeutigen Identifizierung von Nutzern sind immer wieder Ziel von Hackerangriffen und gelten zunehmend als Schwachstelle in den IT-Systemen von Industrie und Handel. Nevis gibt einen Überblick der Nutzer- Authentifizierung mittels…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!