Die Zukunft der Passwortsicherheit ist passwortlos

Passwort

Passwörter sind bislang das wichtigste Verfahren zum Schutz vor Angriffen auf sensible Unternehmensdaten. Einblicke in die Passworthygiene sind deshalb unverzichtbar. Passwortlose Authentifizierung jedoch bietet mehr Sicherheit – auch wenn sie noch in der Zukunft liegt.

Arbeitnehmende in der Remote- und Hybrid-Welt leiden zunehmend unter Burnout. Dadurch werden Unternehmen anfälliger für Sicherheitsrisiken wie Schatten-IT und fehlende Passworthygiene. Laut dem aktuellen State of Access Benchmark Report von 1Password, “The Burnout Breach”, verwendet oder lädt fast die Hälfte (48 Prozent) aller Befragten Software herunter, die nicht von der IT-Abteilung oder den IT-Verantwortlichen ihres Unternehmens genehmigt wurde. 

Anzeige

Um die Sicherheit Ihrer Angestellten zu gewährleisten, brauchen Unternehmen daher umfassende Einblicke in potenzielle Sicherheitsrisiken, die durch das Verhalten von Mitarbeitenden entstehen können – noch sicherer ist allerdings der Login ohne Passwort. 

Risikofaktor: Passwort

Mittlerweile gibt es zahlreiche Technologien, wie beispielweise biometrische Logins, die Passwörter ersetzen können. Doch die klassische Kombination aus Nutzernamen und Passwort wird IT-AdministratorInnen und CISOs jedoch noch eine ganze Weile erhalten bleiben. 

Durch den Einsatz von Passwörtern mit zu einfacher Zeichenkombination geht jedoch eine große Gefahr aus: Kriminelle können sich diese ohne große Mühen beschaffen, indem sie beispielsweise Rohdaten im Darknet erwerben. Das Nutzen der immer gleichen Zugangsdaten auf verschiedenen Anwendungen und Systemen ist also weiterhin mit großen Risiken behaftet. 

Einblick in die Passworthygiene schafft Abhilfe 

Um derlei Gefahren zu umgehen, setzen Organisationen immer häufiger auf Passwortmanager. Diese merken sich die möglichst starken und für jede Anmeldung individuellen Passwörter. Damit ist es allerdings längst nicht getan. Denn: Unternehmen sollten ihren Mitarbeitenden nicht die alleinige Verantwortung übergeben, sondern sich zusätzlich umfassende Einblicke in die Passworthygiene verschaffen. Um die Passwortsicherheit innerhalb eines Unternehmens zu verbessern, müssen also beide Seiten anpacken.

Die Funktion „Password Health“ im 1Password Feature „Insights“ informiert beispielsweise aktiv über kompromittierte Log-ins. Hierdurch lassen sich zügig geeignete Gegenmaßnahmen ergreifen, die das Ändern oder Löschen betroffener Zugänge erleichtern. Mithilfe von „Team Usage“ können IT-Verantwortliche Gefahren umgehen, die durch Schatten-IT, also die Nutzung externer Dienste, entstehen. So werden diese per Benachrichtigung darauf aufmerksam gemacht, wer den Passwortmanager schon länger nicht genutzt hat und können die entsprechenden Mitarbeitenden dann gezielt darauf hinweisen. 

NL Icon 2
Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.

Passwortmanager ohne Passwörter: die Zukunft der Logins

Um noch sicherere, einfachere und schnellere Anmeldelösungen für alle zu entwickeln, hat 1Password fast zwei Jahrzehnte damit verbracht, Logins bequemer zu machen und ist kürzlich der der FIDO Alliance beigetreten, um eine bessere Zukunft für die Authentifizierung zu schaffen. Denn im Zuge des technologischen Fortschritts tauchen immer wieder neue Authentifizierungsmethoden auf – auch ohne Passwort.

Immer mehr Dienste werden passwortlose Anmeldemethoden einsetzen.  Ein Passwortmanager sollte sich also nicht mehr nur Passwörter merken, sondern auch, für welche Konten überhaupt eines genutzt wird. So wird eine sichere Anmeldung ermöglicht, ohne sich Gedanken darüber machen zu müssen, welche Technologie sich dahinter verbirgt.

WebAuthn als Teil der Lösung

So sollten die AnbieterInnen von Passwortmanagern immer auf der Suche nach Möglichkeiten sein, die neuesten Forschungsergebnisse und Innovationen zu nutzen, um so die Sicherheit ihrer Kunden und Kundinnen zu erhöhen. Eine Lösung ist beispielsweise die Verwendung der entsprechenden Anwendung als WebAuthn-Gerät. WebAuthn ist ein sicheres Protokoll, das gemeinsam von der FIDO Alliance und dem World Wide Web Consortium entwickelt wurde. Es verwendet starke Public-Key-Kryptographie, um passwortlose Anmeldungen einfach und universell zu machen.

Der typische Nachteil von WebAuthn ist, dass es spezielle Hardware erfordert, die verloren gehen oder gestohlen werden kann oder einfach nicht zur Hand ist, wenn man sie braucht. Dieses Manko ließe sich jedoch beheben, indem private Schlüssel direkt im Passwortmanager integriert würden. 

Vertrauen ist gut, ein sicherer Login ist besser

Jede und jeder Einzelne sollte das Recht haben zu wählen, wie die eigenen Online-Identitäten verwaltet werden – ein offener und freier Authentifizierungsstandard wird dazu beitragen, diese Wahl zu gewährleisten. Denn sämtliche Verbindungen mit dem Internet erfordern Vertrauen. Und gerade, wenn es um finanzielle Informationen, medizinische Daten oder Website-Logins geht, sollte dieses Vertrauen gewahrt bleiben. Doch laut Verizon Data Breach Investigations Report 2022 machen Anmeldedaten und persönlich identifizierbare Informationen (PII) nach wie vor den Großteil der gefährdeten Daten bei modernen Sicherheitsverletzungen aus. VerbraucherInnen werden dadurch immer misstrauischer. 

Deshalb müssen führende Tech-Unternehmen zusammenarbeiten, um eine Lösung zu finden, die plattformübergreifend funktioniert und die individuellen Präferenzen der Menschen unterstützt. Auch wenn die passwortlose Authentifizierung noch in den Kinderschuhen steckt: Sie ist ein guter Anfang für ein sichereres Leben online.

Autor: Alex Hoffmann, Sales Engineer, www.1password.com/de

Anzeige

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.