Über den Autor Shimirit Tzur David ist CTO und Mitbegründer von Secret Double Octopus. Er hat einen Master und einen Doktortitel von der Hebrew University in Computer Science.
Während die Geschäftswelt allmählich die Sicherheitsrisiken von einfach zu stehlenden und gemeinsam genutzten Passwörtern erkennt, sind alternative Sicherheitssysteme entstanden. Es gibt verschiedene alternative Authentifizierungsmethoden, die keine Kennwörter enthalten, z. B. ein Hardware-Token (ein Objekt, dessen Identität der Benutzer überprüfen muss) oder biometrische Methoden oder Geräte, z. B. eine physische Eigenschaft, die einem Benutzer gehört, z. B. seinen Fingerabdruck.
Alle diese Methoden beinhalten zwar einen anderen Ansatz für die kennwortlose Authentifizierung, haben jedoch eines gemeinsam: Die Anmeldeinformationen des Benutzers werden niemals wie ein Kennwort auf dem System gespeichert. Es ist dieses entscheidende Element, das passwortlosen Lösungen ihren Sicherheitsvorteil verleiht.
Der Fall von passwortlosen Systemen.
Warum sind passwortlose Sicherheitssysteme besser als Passwortsysteme? Hier sind einige Gründe:
User Experience (UX) - Kennwortlose Authentifizierung bedeutet, dass der Benutzer keine Geheimnisse mehr speichert, was den Authentifizierungsprozess vereinfacht. Durch das Entfernen von Kennwörtern aus dem Bild müssen Benutzer nicht mehr für jedes ihrer Konten ein Kennwort entwerfen und speichern. Sie sollten sie auch nicht jedes Mal nutzen, wenn sie sich anmelden.
Bessere Sicherheit: Benutzergesteuerte Passwörter sind eine große Sicherheitslücke. Benutzer verwenden Kennwörter wieder und können sie mit anderen teilen. Passwörter, der Hauptangriffsvektor, sind auch anfällig für Identitätsstaus, CATO (Company Account Control), Passwortbegasung, Brute-Force-Angriffe und mehr.
Niedrige Gesamtbetriebskosten (TCO) - Passwörter sind teuer; IT-Mitarbeiter, die Systeme aktualisieren müssen, wenn Benutzer ihre Kennwörter ändern, müssen ständig gewartet und regelmäßig geändert werden. Laut einer Branchenstudie machen das Zurücksetzen von Passwörtern bis zur Hälfte aller Support-Center-Anrufe aus, was die IT des Unternehmens stark belastet. Laut Forrester betragen die Kosten für das Zurücksetzen eines einzelnen Passworts durchschnittlich 70 Euro.
Kontrolle und Sichtbarkeit von IT-Gewinnen: Wiederverwendung und Freigabe sind häufige Probleme bei der Kennwortauthentifizierung. Mit der kennwortlosen Authentifizierung erreicht die IT ihr Ziel einer vollständigen Transparenz bei der Identitäts- und Zugriffsverwaltung. Ohne Passwörter gibt es nichts zu schneiden, zu teilen oder wiederzuverwenden. Der Benutzer ist nicht länger der Platzhalter im Zugriffsschema einer Organisation.
Bildnachweis: Shutterstock
(Bild: © Bildnachweis: Ai825 / Shutterstock)
Warum reichen Passwörter nicht aus?
Die Aufsichtsbehörden haben die Sicherheitsbedrohungen und -schwächen im Zusammenhang mit der Speicherung und Verwendung von Kennwörtern verstanden und erkannt. Aus diesem Grund legen sie die Messlatte für Mindestanforderungen an Kennwörter (Länge, Komplexität, Verschlüsselung, Änderungszyklen) ständig höher. In vielen Fällen erfordern Regulierungsbehörden die Verwendung einer Zwei-Faktor-Authentifizierung.
Beispielsweise erfordert NIST, die Organisation, die in den USA Technologiestandards setzt und als Benchmark für viele andere Länder dient, in vielen Umgebungen, z. B. in Instituten, eine Multi-Faktor-Authentifizierung (MAE). finanziell Viele Webdienste (wie Google und Facebook) haben den MFA-Standard zum Schutz der Benutzer übernommen. Bei der MFA-Authentifizierung wird die Identität der Benutzer mit mindestens zwei der folgenden drei Faktoren garantiert:
- Etwas, das Sie wissen (Passwort / Benutzername)
- Etwas, das Sie haben (mobiles Gerät oder FIDO-Schlüssel)
- Etwas, das du bist (Biometrie)
MFA ist sicherlich besser, als sich aus Sicherheitsgründen auf ein Passwort zu verlassen, aber das Entfernen von Passwörtern wäre noch besser. Eine Strategie mit Passwort und Faktor zwei bewahrt die inhärenten Fehler von Passwörtern. Benutzer müssen sich noch Geheimnisse merken und schützen, damit das Sicherheitsrisiko für die Wiederverwendung von Kennwörtern und die Kosten für die Kennwortwartung bestehen bleiben. Laut Proofpoint-Forschern können Hacker sogar Passwörter verwenden, um den zweiten Authentifizierungsfaktor vollständig zu umgehen. Tatsächlich scheint es, dass in vielen Fällen der zweite Faktor einfach ein "Verband" ist, der von Organisationen verwendet wird, um das Hauptsicherheitsprotokoll durchzusetzen: Passwörter. Sie machen einen großen, möglicherweise teuren Fehler.
Bildnachweis: Shutterstock
(Bild: © Shutterstock)
Eine Zukunft ohne Passwort.
Die passwortlose Authentifizierung ist auf vielen Geräten, die biometrische und Gesichtserkennung verwenden, bereits weit verbreitet. Es ist also klar, dass kein Passwort für die Hauptsendezeit bereit ist, sei es auf Desktops oder Servern. Die passwortlose Authentifizierung wurde von Apple, Linux oder Microsoft entwickelt und wird Realität.
Technologien und Implementierungen gibt es für alle, daher gibt es keinen Grund, sie nicht zu nutzen. Es steht außer Frage, dass die kennwortlose Authentifizierung sicherer ist als die kennwortbasierte Sicherheit, und es ist klar, dass Mitarbeiter, IT und Management von der Benutzerfreundlichkeit profitieren werden. und die Kostenreduzierung, die sich aus der Implementierung der kennwortlosen Authentifizierung ergibt. Wenn es um Sicherheit geht, ist es Zeit zu handeln.
Shimirit Tzur David, CTO und Mitbegründer von Secret Double Octopus
