Interview mit SolarWinds zum Thema „Zukunft der Authentifizierung“
Wir haben ein Interview mit Nicole Pauls, Director of Security Product Management bei SolarWinds, zum Thema „Zukunft der Authentifizierung“ geführt.
Sysbus: „Die letzten Monate haben gezeigt, dass klassische Authentifizierungsmethoden, die nur auf Passwörtern beruhen, überholt sind. Dazu wurden zu viele Passwörter gestohlen oder kompromittiert. Alternativen sind Authentifizierungen mit Hilfe von Tokens, dynamischen Passcodes und ähnlichem. Diese sind oftmals aber unbeliebt, da sie von den Anwendern zusätzlichen Aufwand verlangen. Was denken Sie, in welche Richtung wird sich die Benutzerauthentifizierung in den nächsten Monaten und Jahren entwickeln?“
Pauls: „Als eigentlicher Schwachpunkt von Authentifizierungssystemen werden häufig die Nutzer selbst betrachtet, obwohl diese gar nichts dafür können. Wir Technologieanbieter haben es versäumt, die Nutzung von Sicherheitsfunktionen einfach genug zu gestalten. Richtlinien für die Passwortkomplexität und begrenzte Nutzungsfristen verschärfen die Problematik der mangelnden Passwortsicherheit nur noch. Wenn ein Nutzer sein Passwort alle 90 Tage ändern muss und Sonderzeichen erforderlich sind, wird er sich in der Regel ein simples Basis-Passwort ausdenken und ab und zu kleinere Änderungen vornehmen – oder das Passwort einfach auf eine Haftnotiz schreiben. Und obwohl der Nutzer die Hauptverantwortung für das Erstellen geeigneter Passwörter trägt, sind es oftmals eher die zugrunde liegenden Protokolle und Systeme, die Angriffsflächen bieten (etwa durch mangelhaft implementierte Protokolle oder mit Hilfe einfacher Key Logger). In letzter Zeit sind einige interessante Lösungen auf den Markt gekommen, die dem Nutzer einen Teil seiner Last nehmen, aber es wird eher Jahre als Monate dauern, bis sie sich durchsetzen. Die ThinkPads von Lenovo setzen seit Jahren einen sehr verlässlichen Fingerabdruck-Scanner ein, und durch Touch ID von Apple ist diese Authentifizierungsmethode inzwischen auch beim Durchschnittsanwender bekannt geworden. Dennoch ist für die meisten Nutzer eine Welt ohne Passwörter noch nicht wirklich vorstellbar. Die interessanteste Lösung, die ich in letzter Zeit in dieser Hinsicht gesehen haben, ist PINgrid. In den nächsten Jahren dürften auch Biometrie-Lösungen verstärkt zur Anwendung kommen, da die Technologie immer platzsparender und einfacher eingesetzt werden kann.“
Sysbus: „Sehen sie einen Unterschied in Authentifizierungstechnologien für den Unternehmensbereich wie zum Beispiel der Domänenanmeldung und der Authentifizierung in offenen Netzen wie dem Internet, beispielsweise für das Online-Shopping?“
Pauls: „Bei den Endverbrauchern läuft die Konsolidierung offenbar schneller ab als im Unternehmensbereich. Bei der überwiegenden Mehrheit neuer Online-Dienste können sich Nutzer mit den Anmeldeinformationen ihrer sozialen Netze authentifizieren (‚Social Sign-in‘). Die Anbieter dieser neuen Dienste wollen sich nicht mit der Verwaltung von Benutzerkonten herumschlagen und profitieren zudem vom Netzwerkeffekt der sozialen Kanäle, daher haben alle etwas davon. In Unternehmen jedoch besteht weiterhin hoher Bedarf an herkömmlichen Enterprise-Lösungen für Identitäts-Management. Diese Lösungen werden langsam aber sicher benutzerfreundlicher und einfacher zu integrieren, allerdings in einem Tempo, das sich von dem des Endverbraucherbereichs fundamental unterscheidet. Privatkonsumenten wollen einfach nicht ständig neue Benutzerkonten erstellen, deren Daten sie sich merken müssen.“
Sysbus: „In welchen Bereichen wird sich in Zukunft trotz aller Probleme die reine Passwortauthentifizierung behaupten?“
Pauls: „Für ältere, weiterhin genutzte Anwendungen werden immer noch Passwörter eingesetzt. Aber es gibt eigentlich keinen Grund, warum dies in Zukunft, wenn wir die technischen Herausforderungen für sicheren Zugriff und sichere Authentifizierung in den Griff bekommen haben, auch noch gelten sollte.“
Sysbus: „Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus neuen Ansätzen für die Authentifizierung ergeben?“
Pauls: „Einer der interessantesten Trends ist gerade beim automatisierten Informationsaustausch zwischen Computern und anderen IT-Systemen (Machine-to-Machine, M2M) zu beobachten. Im Rahmen der automatisierten Skalierung in der Cloud und anderer M2M-Anwendungen kommen Zugriffs-Token und SSH-Schlüssel für die Authentifizierung zum Einsatz. Das ist ein enormer Schritt nach vorn im Vergleich zu fest programmierten Passwörtern im einfachen Textformat.“
[subscribe2]