Das Passwortproblem : Warum Firmen zunehmend auf Passwörter verzichten
Wissen ist Macht, so heißt es gemeinhin. Wenn es um Zugriffsberechtigungen und Authentifizierung geht, hat das Wissen allerdings seine Schattenseiten. Wissensbasierte Faktoren wie Passwörter beeinträchtigen nicht nur die Leistungsfähigkeit, sondern machen Firmen anfällig für Angriffe. Viele setzen deshalb auf eine passwortlose Zukunft.
Laut einem Bericht der Analysten von Forrester spielen bei 80 % aller Datensicherheitsverletzungen privilegierte Anmeldeinformationen eine Rolle. Ein weiterer Angriffsvektor, der mit Passwörtern in Verbindung steht, ist Phishing. Er kommt in 34 % aller Beschwerden zum Tragen, die in den Internet Crime Report 2023 des FBI eingegangen sind. Anfang 2024 enthielt „The Mother of all Breaches“ 26 Milliarden gestohlene Datensätze, etliche von ihnen enthielten Benutzernamen und Passwörter.
Die Methode dieses Problem zu lösen, besteht darin, bei der Benutzerauthentifizierung nicht nach etwas zu fragen, das ein Nutzer kennt (Passwort), sondern nach etwas, das er besitzt oder das Teil seiner eindeutigen Identität ist. Ein passwortloser Authentifizierungsansatzes behandelt, im Gegensatz zu anderen, die Ursache von Datensicherheitsverletzungen, die auf Passwortmissbrauch zurückgehen. Hier werden Passwörter vollständig aus der Gleichung entfernt.
Das Passwortproblem
Nach Angaben von Deloitte hat ein einziger Benutzer im Durchschnitt über 22 Konten und verwendet für 16 Konten davon ein Passwort. Sollte eines davon geknackt werden, besteht die Gefahr, dass ein Angreifer auch auf die übrigen Anwendungen zugreifen kann. Insbesondere deshalb, weil Nutzer aus Bequemlichkeit dazu neigen dasselbe Passwort mehrfach zu verwenden. Mit einem einfachen Credential-Stuffing-Skript haben Cyberkriminelle dann die Möglichkeit, die erbeuteten Anmeldeinformationen großflächig über mehrere Portale hinweg zu verwenden. Ziel ist es also, diese Möglichkeit an ihrem Ursprung zu unterbinden – und genau hier kommt die passwortlose Authentifizierung ins Spiel.
Was ist passwortlose Authentifizierung?
Beim passwortlosen Sicherheitsansatz geht es darum, dass Benutzer nachweisen, wer sie sind, anstatt lediglich ein Passwort anzugeben (das dafürsteht, wer sie sind). Gängige Arten sind:
- Die Biometrische Authentifizierung: Benutzer weisen sich durch ihren Fingerabdruck, ihre Stimme, Facial-ID, ihre Augen oder andere einzigartige körperliche Merkmale aus. Man kann auch Verhaltensweisen, die für KI-Spoofing schwer nachzuahmen sind, einbeziehen, z. B. die Art und Weise, wie jemand Eingaben auf einer Tastatur macht oder wie er sich bewegt. Biometrische Daten lassen sich lokal auf dem Gerät speichern, was die potenzielle Angriffsfläche stark einschränkt.
- Hardware-basiert: Benutzer generieren etwas, das sie besitzen oder bei sich tragen. Zum Beispiel einen Sicherheitsschlüssel, einen Pass oder Anhänger. Diese unterstützen unterschiedliche Sicherheitsprotokolle, um Sicherheit leichter zu skalieren.
- Einmalige Passcodes: Diese lassen sich mit einer registrierten Mobilfonnummer oder E-Mail-Adresse verknüpfen. Benutzer erhalten einen zeitaktuellen Code oder einen sogenannten „Magic Link“, mit dem sie sich anmelden können.
Digitale Zertifikate als Teil einer Public Key Infrastructure (PKI) verbessern den Sicherheitslevel zusätzlich.
PKI: Die Grundlage für eine sichere Authentifizierung
Eine Public Key Infrastructure bildet die Grundlage für eine sichere Authentifizierung aller Benutzer – die man auch als „Subscriber“ bezeichnet – in einem Netzwerk, einschließlich von Entitäten, Anwendungen oder Systemen. Vertrauenswürdige Zertifizierungsstellen (Certificate Authorities, CA) von Drittanbietern stellen digitale Zertifikate aus. Sie sorgen für eine verschlüsselte Kommunikation zwischen den Abonnenten und damit für Vertrauen und Integrität. PKI-Server überprüfen ausgestellte Zertifikate, mit Hilfe des öffentlichen Schlüssels, der Zertifikatsinhaber und Zertifikatsaussteller. Wenn die Echtheit des Zertifikats bestätigt ist, wird der Zugriff gewährt.
PKI benutzt Public-Key-Kryptographie. Diese kann nur mit einem entsprechenden privaten Schlüssel entschlüsselt werden, der vom beabsichtigten Empfänger kontrolliert wird. Ein Beispiel: Ein Kunde verwendet seine Facial-ID, um auf seine Online-Banking-App zuzugreifen. Die betreffenden Gesichtsmerkmale fungieren als eindeutiger privater Schlüssel, den nur diese Person besitzt. Das Login für die Banking-App ist ein öffentlicher Schlüssel, der wie ein Vorhängeschloss funktioniert. Wenn der öffentliche und der private Schlüssel übereinstimmen, wird der Benutzer authentifiziert und kann sich anmelden.
Natürlich benötigen verschiedene Benutzer unterschiedliche Sicherheitsstufen und Zugangsdaten. Hier kommen Token und Single-Sign-on (SSO) ins Spiel.
Token und Single Sign-on
Mittels Token können Unternehmen die Zugriffsberechtigungen ihrer Benutzer verwalten, ohne Passwörter zu verwenden. Ein Token kann dabei für eine einzelne Session oder Transaktion verwendet werden und wird danach ungültig gemacht. Token werden auf einem Gerät des Benutzers oder in physischer Form, z. B. als USB-Stick, ausgegeben. Beispielsweise gibt es OAuth 2.0-Token die den Zugriff auf Ressourcen, häufig für eine begrenzte Zeit oder mit eingeschränkten Berechtigungen realisieren.
SSO erlaubt den Benutzern eine durchgängige User Experience. Dabei kann ein einziger Satz von Anmeldedaten, je nach Art der Berechtigung, Zugriff auf verschiedene Anwendungen gewähren. Das erleichtert die Arbeitsabläufe, ohne die Produktivität zu beeinträchtigen. Eine zentralisierte Authentifizierung von SSO ist in Unternehmenssystemen wie Microsoft Entra ID üblich.
Zugriffsbeschränkungen sind ein wichtiger Bestandteil von Vorgaben wie etwa Sarbanes-Oxley (SOX). Insbesondere Abschnitt 404 schreibt fest, dass Organisationen „die Verantwortung der Geschäftsführung für die Einrichtung und Aufrechterhaltung einer angemessenen internen Kontrollstruktur“ obliegt. IT-Teams können SSO verwenden, um den Zugriff auf Identitäten und Geräte zu kontrollieren und so eine vollständig überprüfbare Governance-Lösung schaffen.
Erwägungsgrund (Recital) 49 der Datenschutz-Grundverordnung (DSGVO) fordert eine ähnlich evidenzbasierte Beschränkung, um den „unbefugten Zugriff auf elektronische Kommunikationsnetze zu verhindern“. Microsoft Entra ID bietet verschiedene SSO-basierte Möglichkeiten, um Compliance-Anforderungen zu unterstützen. Dazu zählen föderations- und cloudbasierte Methoden mit OAuth, SAML, OpenID Connect bis hin zu lokalen und passwortbasierten Methoden.
Zugang zu gewähren und gleichzeitig Sicherheit zu gewährleisten, bleibt ein Balanceakt. Das gilt insbesondere, wenn bestimmte Konten über erweiterte Berechtigungen verfügen, bei deren Ausnutzung potenziell größerer Schaden droht. Das hat sich bereits auf die Gesetzgebung ausgewirkt, wie zum Beispiel beim HIPAA-Standard. Er definiert Mindestanforderungen, welche Maßnahmen Organisationen ergreifen müssen, um die Weitergabe von geschützten Gesundheitsinformationen zu beschränken. Ebenso entwickeln sich Datenschutzbestimmungen weiter. Wobei davon ausgegangen wird, dass bis Ende 2024 bereits 75 % der Weltbevölkerung über personenbezogene Daten verfügen, die unter Datenschutzbestimmungen fallen.
Diese Trends unterstreichen, warum viele Unternehmen nach einer Privileged Access Management-Lösung (PAM) suchen, um Passwörter und Zugriffsberechtigungen zu verwalten und zu schützen.
Passwörter und PAM (Privileged Access Management)
PAM bietet die Möglichkeit, eine Gefährdung mithilfe von starker Authentifizierung zu begrenzen. So kann man bestimmten Rollen die notwendigen Berechtigungen zuweisen, die den jeweiligen Mitarbeitenden dann automatisch den erforderlichen Zugriff gewähren. Alle Anfragen werden automatisch protokolliert und ein Prüfpfad (Audit Trail) erstellt. Dieser lässt sich nutzen, um die Data Governance zu unterstützen, aber auch als Nachweis, dass Vorschriften wie PCI DSS und Anforderungen wie die „Nachverfolgung und Überwachung aller Zugriffe auf Netzwerkressourcen“ eingehalten werden.
Das ist besonders bedeutsam, weil der Finanzsektor zu großen Teilen immer noch veraltete Systeme einsetzt – zusammen mit der Passwortauthentifizierung. So wird beispielsweise geschätzt, dass COBOL, eine in den 1950er Jahren entwickelte Programmiersprache, in „mehr als 43 % der internationalen Bankensysteme“ immer noch zum Einsatz kommt.
Vorteile einer passwortlosen Authentifizierung
In Verbindung mit Single Sign-on müssen Benutzer sich keine Gedanken mehr über die Sicherheit machen, wenn die passwortlose Authentifizierung greift. Denn unabhängig davon, wie vorsichtig jemand mit einem Passwort umgeht, sollte man sich bewusst sein, dass schon ein einziger Fehler genügt, damit Angreifer eine Chance haben. Bei der passwortlosen Authentifizierung existiert kein Passwort, dass man stehlen kann. Dazu kommt eine deutlich bessere User-Experience. Es ist sehr viel einfacher, einen Fingerabdruck, das Telefon oder einen Hardware-Schlüssel zu verwenden, als sich unterschiedliche Benutzernamen und Passwörter zu merken. Bei der Integration biometrischer Elemente wird zudem ein einzigartiges physisches Merkmal verwendet. Benutzerfreundlichkeit ist ein Schlüsselkriterium für die Einführung einer passwortloser Authentifizierung.
Passwortlose Authentifizierung
Passwörter sind in so gut wie jedem Bereich präsent und seit Langem etabliert. Trotzdem nimmt die Akzeptanz der passwortlosen Authentifizierung auf Verbraucherebene zu. Dazu haben nicht zuletzt Innovationen wie die Apple ID und Microsoft Authenticator beigetragen. Ähnliches gilt für Notebooks mit integrierten Fingerabdrucklesern und anderen benutzerfreundlichen biometrischen Authentifizierungsmethoden.
Auch die breitere Diskussion über die Vorteile einer passwortlosen Authentifizierung fördert die Akzeptanz und trägt dazu bei, Bedenken hinsichtlich des Datenschutzes auszuräumen. So werden biometrische Daten beispielsweise nur auf dem Gerät des Benutzers gespeichert und nicht in die Datenbank des Arbeitgebers hochgeladen.
Natürlich kann es dennoch vorkommen, dass ein Benutzer ausgesperrt wird. Wenn sie ein Passwort nicht auf die ihnen bekannte Weise zurücksetzen können, benötigen Unternehmen einen soliden Wiederherstellungsplan. Dabei kann es darum gehen, die Risiken zwischen verschiedenen passwortbasierten Wiederherstellungsmethoden auszugleichen, von der Zurücksetzung per E-Mail bis hin zu OTPs, um sicherzustellen, dass die Benutzer motiviert und befähigt bleiben.
Es kommt häufig vor, dass Firmen Passwörter für ältere Systeme beibehalten müssen und gezwungen sind, einen eher hybriden Ansatz zu wählen. Es wird eine Herausforderung bleiben beide Ansätze in einer sich ständig weiterentwickelnden Bedrohungslandschaft weiterzuverfolgen.
Trends und Überlegungen zur passwortlosen Authentifizierung
Das sogenannte SIM-Swapping bietet Angreifern eine Möglichkeit, die Multi-Faktor-Authentifizierung (MFA) zu umgehen und sich über OTP unbefugten Zugriff zu verschaffen. Dank künstlicher Intelligenz lassen sich inzwischen auch Stimmen klonen – eine weitere Bedrohung für die sprachbasierte Authentifizierung. Diese Entwicklung macht eine fortschrittliche Form der MFA erforderlich. Eine MFA, die biometrische Faktoren und Authentifikatoren von Drittanbietern einschließt und Anmeldungen passwortlos gestaltet.
Fast IDentity Online (FIDO2) und WebAuthn unterstützen Organisationen, ihre Sicherheitsmaßnahmen dynamisch und detailliert zu gestalten. Diese gehen über Passwörter und Zwei-Faktor-Authentifizierung hinaus und verwenden die Public-Key-Kryptografie, um einen privaten und einen öffentlichen Schlüssel zu generieren. Die Protokolle sind offen und standardisiert, um eine möglichst breite Akzeptanz zu gewährleisten – und werden von Unternehmen wie Microsoft, Amazon, Apple, Visa und Google unterstützt.
Auf dem Weg in eine sichere, barrierefreie und passwortlose Zukunft
Die passwortlose Authentifizierung ist für Unternehmen und Benutzer gleichermaßen vorteilhaft. Neben einem höheren Sicherheitslevel, spart die Methode Kosten und unterstützt die Einhaltung von Vorschriften und Zugriffsbeschränkungen. Kunden und Benutzer profitieren vom schnellen und bequemen Zugriff auf die benötigten Informationen.
Passwörter haben durchaus gute Dienste geleistet als es noch deutlich weniger Anwendungen und wertvolle Daten gab. Der Wert, das Volumen, die Vielfalt und die Verarbeitungsgeschwindigkeit von elektronischen Informationen wird zweifelsohne weiter zunehmen. Die passwortlose Authentifizierung sorgt für einen höheren Sicherheitslevel bei weniger Reibungsverlusten und einer deutlich besseren User Experience.
Alan Radford ist Global Identity and Access Management Strategist bei One Identity.