{"id":22231,"date":"2022-11-12T11:28:00","date_gmt":"2022-11-12T10:28:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22231"},"modified":"2022-11-03T11:48:57","modified_gmt":"2022-11-03T10:48:57","slug":"die-vorteile-und-herausforderungen-passwortloser-authentifizierung","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22231","title":{"rendered":"Die Vorteile und Herausforderungen passwortloser Authentifizierung"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Autor\/Redakteur: <a href=\"https:\/\/delinea.com\/de\/\">Andreas M\u00fcller, VP DACH bei Delinea<\/a>\/gg<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bedenkt man, dass der Gro\u00dfteil der Datenschutzverletzungen heutzutage auf kompromittierte Passw\u00f6rter zur\u00fcckzuf\u00fchren ist, liegt eine fl\u00e4chendeckende Durchsetzung passwortloser Authentifizierungsmethoden mehr als nahe. Auch die Tech-Giganten Google, Microsoft und Apple lie\u00dfen vor einigen Wochen verlautbaren, zuk\u00fcnftig auf eine passwortfreie, rein ger\u00e4tebasierte Authentifizierung setzen zu wollen, und gehen damit einen wichtigen Schritt in Richtung passwortloser Zukunft. Die Sicherheit von Unternehmen, aber auch die Benutzerfreundlichkeit und damit Produktivit\u00e4t der Mitarbeitenden kann davon nachhaltig profitieren, doch einige Cyberrisken bleiben dennoch bestehen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/11\/andreas-mueller.1024x1024-002.webp\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"874\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/11\/andreas-mueller.1024x1024-002-1024x874.webp\" alt=\"\" class=\"wp-image-22233\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/11\/andreas-mueller.1024x1024-002-1024x874.webp 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/11\/andreas-mueller.1024x1024-002-300x256.webp 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/11\/andreas-mueller.1024x1024-002-768x655.webp 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/11\/andreas-mueller.1024x1024-002.webp 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption class=\"wp-element-caption\">Bild: Delinea<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p class=\"wp-block-paragraph\">Welches IT-Betriebsteam kennt die Probleme nicht: Passw\u00f6rter m\u00fcssen zur\u00fcckgesetzt werden, weil Benutzer sie vergessen haben, Authentifizierungsvorg\u00e4nge schlagen wiederholt fehl, Zugangsdaten wurden kompromittiert und m\u00fcssen schnell ge\u00e4ndert werden, Mitarbeitende geben Kennw\u00f6rter aus Bequemlichkeit an Dritte weiter und so weiter. Sicherheitsverantwortliche in Unternehmen wissen l\u00e4ngst, dass die Sicherheit ihrer IT in hohem Ma\u00dfe auch von der Nahtlosigkeit ihrer Authentifizierungsmethoden abh\u00e4ngt. Kennwortlose Verifikationsmethoden machen dem Authentifizierungsklassiker Passwort nicht umsonst immer h\u00e4ufiger Konkurrenz, wie auch eine aktuelle <a href=\"https:\/\/www.forrester.com\/blogs\/sr-forum-2021-passwordless-authentication-adoption-is-gaining-momentum\/\">Forrester-Studie<\/a> zeigt. Demnach experimentiert bereits die H\u00e4lfte der Unternehmen mit passwortlosen Verfahren und f\u00fchrt Pilotprojekte, Proofs-of-Concept und kleine Implementierungen mit bestimmten Benutzergruppen durch.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Was versteht man unter passwortloser Authentifizierung?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr einen traditionellen Anmeldevorgang braucht es einen Identifikator, das ist in der Regel ein Benutzername, sowie einen Verifikator, das hei\u00dft ein Passwort, eine Passphrase, eine PIN, einen Schl\u00fcssel, ein Zertifikat oder eine andere Art von Secret. Der Identifikator best\u00e4tigt dabei die Identit\u00e4t des Benutzers und bestimmt, welcher Verifikator f\u00fcr die Authentifizierung und die Erteilung der Zugriffsberechtigung erforderlich ist.\u202f\u202f<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Auch wenn die passwortlose Verifikation auf das manuelle oder automatisierte Eingeben von Kennw\u00f6rtern verzichtet, so werden doch auch hier Secrets, etwa ger\u00e4tegebundene Schl\u00fcssel oder Token, im Hintergrund ausgetauscht, um die Berechtigungen und die Zugriffsebene eines Benutzers zu \u00fcberpr\u00fcfen. Oft kommen kennwortfreie Anmeldeverfahren im Rahmen einer Multi-Faktor-Authentifizierung (MFA) zum Einsatz, die biometrische Muster, Sicherheitsschl\u00fcssel, ger\u00e4te-basierte Sicherheitschecks und Mobilger\u00e4te kombinieren. So soll etwa nach den <a href=\"https:\/\/blog.google\/technology\/safety-security\/one-step-closer-to-a-passwordless-future\/\">Vorstellungen von Google<\/a> das Smartphone schon bald der Generalschl\u00fcssel f\u00fcr s\u00e4mtliche Ger\u00e4te und Konten werden: Loggt sich ein Nutzer auf seinem Handy ein \u2013 beispielsweise \u00fcber eine biometrische Fingerabdruckerkennung, aktiviert er damit auch einen sogenannten Passkey. \u00dcber diesen auf dem Ger\u00e4t verschl\u00fcsselten Token loggt sich der User dann auch bei vielen anderen Diensten ein \u2013 ohne dort ein Passwort eingeben zu m\u00fcssen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Die Vorteile passwortloser Authentifizierung<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Mindert riskantes Benutzerverhalten:<\/strong> Das Aufschreiben von Passw\u00f6rtern auf Zetteln aber auch das Abspeichern in Excel-Tabellen hat sich in der Vergangenheit immer wieder als T\u00fcr\u00f6ffner f\u00fcr Cyberangriffe erwiesen. Und auch das Ablegen von Kennw\u00f6rtern in herk\u00f6mmlichen vermeintlich sicheren Passworttresoren wird den Anforderungen von Unternehmen an die Konsistenz und das Monitoring von Passw\u00f6rtern bei weitem nicht gerecht. Denn viele L\u00f6sungen werden selbst nur mit einem einfachen Passwort abgesichert und verf\u00fcgen nicht \u00fcber eine ausreichend starke Identit\u00e4tspr\u00fcfung. Zudem fehlt den Security-Teams hier die n\u00f6tige Transparenz, um Risiken im Umgang mit Passw\u00f6rtern angemessen bewerten zu k\u00f6nnen. Letztlich wird die Verantwortung f\u00fcr die Passwortpflege also auf die Schultern der Mitarbeitenden (die in ihrer Arbeit ganz andere Priorit\u00e4ten setzen) gelegt.<br>Dar\u00fcber hinaus verhindert eine passwortlose Authentifizierung auch das weit verbreitete, aber riskante Password Sharing. Denn werden Zugangsdaten unter Mitarbeitenden geteilt, werden eventuell Least-Privilege- beziehungsweise Zero Trust-Vorgaben missachtet und Personen erhalten Zugriff auf Systeme und Daten, f\u00fcr die sie eigentlich keine Rechte haben. Au\u00dferdem sind Security-Verantwortliche hierdurch nicht mehr in der Lage, festzustellen, welcher Benutzer welche Aktivit\u00e4t durchgef\u00fchrt hat. Compliance-Berichte, Audits und forensische Untersuchungen nach einem Vorfall sind so praktisch unm\u00f6glich.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Bietet mehr Schutz vor Account-Kompromittierungen:<\/strong> Erfahrungsgem\u00e4\u00df gehen Menschen bei Passw\u00f6rtern oft den Weg des geringsten Widerstands und erstellen Passw\u00f6rter, die leicht zu merken und einzugeben, f\u00fcr Cyberkriminelle gleichzeitig aber auch leicht zu knacken sind \u2013 insbesondere mittels Brute-Force- und Pass-the-Hash-Angriffen. Aber auch starke, Maschinen-generierte Passw\u00f6rter bieten l\u00e4ngst nicht die Sicherheit, die sie versprechen. Das liegt vor allem daran, dass Hacker f\u00fcr die Kompromittierung von Accounts in vielen F\u00e4llen Berechtigungsnachweise nutzen, die sie zuvor von einem Server gestohlen oder im Darknet gekauft haben, und dessen Komplexit\u00e4t f\u00fcr das Vorankommen der Hacker also keine Rolle spielt. Authentifizieren sich Nutzer passwortlos minimiert sich die Angriffsfl\u00e4che eines Unternehmens folglich stark.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Entlastet IT-Helpdesks:<\/strong> Untersuchungen zeigen, dass rund 50 Prozent aller IT-Helpdesk-Anfragen in Unternehmen Probleme mit Passw\u00f6rtern und fehlgeschlagene Authentifizierungen betreffen. F\u00fcr Unternehmen bedeutet dies nicht nur hohe Kosten und eine Bindung von Personal, das in Zeiten des Fachkr\u00e4ftemangels sowieso schon knapp ist, sondern f\u00fchrt auch zu einer hohen Frustration bei den Mitarbeitenden, die dadurch verleitet werden, Sicherheitskontrollen zu umgehen. Passwortlose Anwendungen erm\u00f6glichen es, sich schnell und reibungsfrei bei verschiedenen Anwendungen zu authentifizieren, st\u00f6rende Kontosperrungen und zeitaufwendige Passwortr\u00fccksetzungen zu vermeiden und so die Produktivit\u00e4t der Mitarbeitenden zu erh\u00f6hen.<\/li>\n<\/ul>\n\n\n\n<!--nextpage-->\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Der Schl\u00fcssel zum erfolgreichen passwortlosen Authentifizieren<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bevor IT-Verantwortliche etwas \u00fcberst\u00fcrzen, sollten sie bedenken, dass auch die passwortlose Authentifizierung Risiken und Herausforderungen mit sich bringt. Zu den Wichtigsten z\u00e4hlen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Anf\u00e4llige Systeme m\u00fcssen weiterhin kontrolliert und abgesichert werden:<\/strong> Obwohl die passwortlose Authentifizierung die Angriffsfl\u00e4che von Unternehmen nachhaltig minimiert, sind die Systeme dennoch weiterhin von Kompromittierung durch unbefugte Benutzer sowie Cyberangriffe bedroht. Denn auch alternative Authentifizierungsfaktoren wie Links, PINs, Push- oder E-Mail-Benachrichtigungen k\u00f6nnen potenziell abgefangen und von unautorisierten Dritten dazu genutzt werden, sich Zugang zu verschaffen. Daher ist es ratsam, die passwortlose Authentifizierung in eine umfassende Privilege Management-Strategie zu integrieren, um die notwendige Transparenz und Sicherheit zu gew\u00e4hrleisten. Auf diese Weise kann die Zugriffsverwaltung zentralisiert und die Datenabwanderung und -gef\u00e4hrdung begrenzt werden.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Vorsicht bei der Bereitstellung neuer Ger\u00e4te:<\/strong> Eine der gr\u00f6\u00dften Herausforderungen bei der passwortlosen Nutzung besteht dann, wenn Benutzer neue Ger\u00e4te erhalten und diese von einem alten Ger\u00e4t aus registriert oder migriert werden m\u00fcssen. Dies birgt verschiedene Risiken bei der Vorbereitung der neuen Ger\u00e4te auf eine passwortlose Strategie. Dieser Prozess erfordert in der Regel einen Backup-Schl\u00fcssel oder einen Wiederherstellungsschl\u00fcssel f\u00fcr den Fall, dass das alte Ger\u00e4t nicht mehr funktioniert oder verloren geht.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Transparenz schafft Akzeptanz bei den Nutzern:<\/strong> Passw\u00f6rter begleiten den Gro\u00dfteil der Menschen schon ihr ganzes Arbeitsleben, weshalb der \u00dcbergang zu passwortlosen Benutzeroberfl\u00e4chen dem Einzelnen m\u00f6glicherweise nicht leichtf\u00e4llt. Umso wichtiger ist es, dass IT-Verantwortliche diesen neuen Authentifizierungsansatz mit den Mitarbeitenden ausf\u00fchrlich besprechen, sie durch den Prozess f\u00fchren und \u00fcber die damit einhergehenden Vorteile und Risken genau aufkl\u00e4ren.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>S\u00e4mtliche Secrets brauchen Enterprise-PAM<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Egal ob Unternehmen auf Passw\u00f6rter oder passwortlose Authentifizierungsfaktoren setzen, sie sollten sich bewusst machen, dass generell s\u00e4mtliche Arten von Secrets, das hei\u00dft nicht nur Passw\u00f6rter, aus Sicherheitsgr\u00fcnden effektiv verwaltet, \u00fcberwacht und regelm\u00e4\u00dfig ge\u00e4ndert werden m\u00fcssen. Da das manuelle Rotieren jedoch sehr zeitintensiv ist und zus\u00e4tzliche Arbeit f\u00fcr IT-Betriebsteams verursacht, sollten Unternehmen auf Privileged Access Management (PAM)-L\u00f6sungen setzen, die Secrets automatisiert und nach dem Zufallsprinzip austauschen, ohne die Benutzererfahrung zu unterbrechen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bedenkt man, dass der Gro\u00dfteil der Datenschutzverletzungen heutzutage auf kompromittierte Passw\u00f6rter zur\u00fcckzuf\u00fchren ist, liegt eine fl\u00e4chendeckende Durchsetzung passwortloser Authentifizierungsmethoden mehr als nahe. Auch die Tech-Giganten Google, Microsoft und Apple lie\u00dfen vor einigen Wochen verlautbaren, zuk\u00fcnftig auf eine passwortfreie, rein ger\u00e4tebasierte Authentifizierung setzen zu wollen, und gehen damit einen wichtigen Schritt in Richtung passwortloser Zukunft. Die Sicherheit von Unternehmen, aber auch die Benutzerfreundlichkeit und damit Produktivit\u00e4t der Mitarbeitenden kann davon nachhaltig profitieren, doch einige Cyberrisken bleiben dennoch bestehen.<\/p>\n","protected":false},"author":81,"featured_media":22233,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,15078],"tags":[16517,398,9709,11341,4873],"class_list":["post-22231","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-authentifizierung","tag-delinea","tag-helpdesk","tag-pam","tag-passwortlos","tag-zero-trust"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22231","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=22231"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22231\/revisions"}],"predecessor-version":[{"id":22234,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22231\/revisions\/22234"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/22233"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=22231"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=22231"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=22231"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}