Die (Un-)Sicherheit der passwortlosen Anmeldung: Ein Selbsthilfe Leitfaden für IT-Führungskräfte

Trotz ihrer starken Präsenz sind Passwörter mittlerweile bestenfalls Anachronismen und eine klaffende Sicherheitslücke für Unternehmen und Einzelpersonen gleichermaßen. Einfacher gesagt: Passwörter sind nutzlos. Sie sind eines der schwächsten Glieder in der Sicherheitskette, eine der Hauptursachen für Datenschutzverletzungen und sowohl schwierig als auch frustrierend in der Verwaltung.

Ich kann mich nur wiederholen: Passwörter taugen nichts. Sie taugen nicht für die Sicherheit und sind schlecht für die Benutzererfahrung. Sie sind auf ganzer Linie unbrauchbar. Absolut nutzlos. Man darf sogar behaupten, dass sie die am weitesten verbreitete und weithin akzeptierte (wenn auch irrationale) globale Schwachstelle sind. Sie bieten praktisch keinerlei Vorteile und Sie sollten sofort aufhören, sie zu benutzen.

Zusammenfassend lässt sich sagen: Passwörter sind Mist.

Da Sie sich aber auf der Website von Ping Identity befinden, würde ich mit meinem Vortrag über die Unzulänglichkeiten der Passwortsicherheit wahrscheinlich Eulen nach Athen tragen. Im Grunde wissen die meisten von uns durchaus darüber Bescheid. Wir wissen auch, dass die passwortlose Authentifizierung all diese Probleme lösen kann, da sie die Sicherheit erhöht, die Benutzerfreundlichkeit verbessert und die Zugangsverwaltung rationalisiert:

• Bei den Kunden verbessert die passwortlose Authentifizierung das Engagement und senkt gleichzeitig die Zahl der Abbrüche. Diese reibungslosen Online-Erlebnisse erzeugen letztendlich höhere Umsätze.

 

• Für die Mitarbeiterbedeutet die passwortlose Authentifizierung weniger Zeitaufwand bei der Eingabe und dem Zurücksetzen von Anmeldedaten. Dies wiederum führt zu einer höheren Produktivität und einer geringeren Belastung der Helpdesks.
  

Obwohl höhere Gewinne als Motivation für die Einführung einer passwortlosen Anmeldung bereits ausreichen sollten, liegen auch die Vorteile für die Sicherheit klar auf der Hand. Hierzu ist zu sagen, dass 80% der Datenschutzverletzungen durch Brute-Force-Angriffe oder die Verwendung verlorener oder gestohlener Anmeldedaten verursacht werden.

Die Vorteile einer passwortlosen Anmeldung überwiegen ganz eindeutig gegenüber den Nachteilen, die das Bestehen auf dem Status quo mit sich bringt. Dies wirft die Frage auf, warum wir, um alles in der Welt, an Passwörtern festhalten?!

Wenn es nur so einfach wäre...

Die Wahrheit ist, dass die meisten Teams für Cybersicherheit durchaus wissen, dass Passwörter nur wenig Sicherheit bieten. Passwörter sind aufgrund von Widerständen bei der Einführung weiterhin vorherrschend.

Die drei häufigsten Hindernisse für eine Umstellung auf die passwortlose Anmeldung sind folgende:

Technische Schulden

Viele Unternehmen sind heute noch immer auf Altsysteme, Anwendungen und Registrierungsabläufe angewiesen, die von Anfang an auf Passwörtern basierten. Viele dieser Systeme und Anwendungen wurden nicht für die Verwendung offener Standards ausgelegt, die für die passwortlose Anmeldung erforderlich sind und bieten daher keine Unterstützung.

Darüber hinaus laufen viele der kritischen alltägliche Operationen auf diesen Altsystemen und eine Rückentwicklung, um die passwortlose Anmeldung zu realisieren, wäre technisch zu schwierig. Darüber hinaus kann die „Umverdrahtung“ älterer Infrastrukturen zu einer Vielzahl weiterer Probleme führen, da es zu Ausfallzeiten kommen kann. Damit wird die Umstellung auf die passwortlose Anmeldung zu einem äußerst risikoreichen Unterfangen – nicht nur für die Unternehmen, sondern auch für die IT-Mitarbeiter, die unfreiwillig mit den Gegenreaktionen dafür konfrontiert werden, dass eine Fertigungsstraße stillsteht oder andere wichtige Geschäftsabläufe aufgehalten werden, nur weil sie versuchen, ihre Arbeit zu erledigen. Dieses entscheidende Hindernis führt direkt zur nächsten Hürde bei der Einführung der passwortlosen Authentifizierung.

Angst vor Veränderung

Dies hat eine Menge mit dem Stand der Information zu tun. Passwörter sind sich seit Jahrzehnten in unserem Denken verankert. Sie sind Bestandteil unserer täglichen Routine und vermitteln uns ein falsches Gefühl der Sicherheit. Außerdem ist ihre Implementierung für Unternehmen relativ unkompliziert und alte Gewohnheiten wird man nur schwer wieder los; häufig wird demnach weiterhin auf Passwörter zurückgegriffen, weil dies der Weg des geringsten Widerstands ist.

Weiterhin führt auch der Begriff „passwortlos“ zu Missverständnissen. Es stellt sich heraus, dass manche Nutzer dies als einen Mangel an Sicherheit interpretieren, obwohl die Umstellung zur passwortlosen Anmeldung in der Tat eine stärkere Authentifizierung bietet. Dies hängt ebenfalls mit Informiertheit zusammen. Wenn eine Initiative zur Umstellung auf die passwortlose Anmeldung angestoßen werden soll, müssen häufig mehrere betroffene Interessengruppen in einem Unternehmen über die Vorteile aufgeklärt werden, damit alle an demselben Strang ziehen, wenn es um die erfolgreiche Umsetzung der Initiative geht.

Verschiedene Benutzerszenarien

Unternehmen unterscheiden sich durch die Art ihrer Investitionen in die Technologie, durch die Einhaltung spezieller branchenspezifische Vorschriften, durch geografisch definierte Organisationsstrukturen und verschiedene Benutzergruppen, die über mehrere Abteilungen verteilt sind.

Kein Unternehmen gleicht dem nächsten und verschiedene Benutzer müssen sich oft auf unterschiedliche Weise authentifizieren. So gesehen gibt es keine Einheitskonzept für die Umstellung auf die passwortlose Anmeldung, die sich für alle eignet. Das Spektrum der Anwendungsfälle, die abgedeckt werden müssen, ist breit gefächert, und die Unternehmen benötigen ausreichende Flexibilität, mehrere unterschiedliche Benutzerszenarien zu unterstützen.

Zur Veranschaulichung: Stellen Sie sich ein Unternehmen von, in dem Mitarbeiter mit unterschiedlichen Funktionen in Büros und Fertigungsstätten beschäftigt sind. Da sich die Bedürfnisse dieser Mitarbeiter unterscheiden, unterscheiden sich auch ihre Anmeldeerfahrungen. Ein Büroangestellter kann sich über einen Daumenabdruck auf einem FIDO-Sicherheitsschlüssel oder über die Windows Hello-Gesichtserkennung anmelden, während die Authentifizierung der Identität eines Benutzers in einer Fertigungshalle besser über Retina-Scan erfolgt, da er Handschuhe trägt und ein Gerät benutzt, das auch andere Mitarbeiter verwenden.

Das oben beschriebene Szenario ist nur ein konstruierter Fall, der jedoch einen wichtigen Punkt deutlich macht:

Die passwortlose Anmeldung ist keine Einzellösung, sondern erfordert vielmehr die Integration mehrerer unterschiedliche Produkte und Technologien. Eine schlüsselfertige passwortlose Anmeldung gibt es nicht. Im Grunde hat jedes Unternehmen seine eigenen, spezifischen Anwendungsfälle und Anforderungen an die Technologie, die berücksichtigt werden müssen.

Für viele Unternehmen ist das Fehlen von vorkonfigurierten Plug-and-Play-Lösungen bei gleichzeitiger Notwendigkeit, unterschiedliche Benutzerszenarien und Anwendungsfälle zu berücksichtigen, ein großes Hindernis für die Umstellung auf eine passwortlose Anmeldung. Dies blockiert in der Regel die Bestrebungen der Einführung.

Zur Veranschaulichung führen wir hier eine vor kurzem durchgeführte Umfrage zur passwortlosen Anmeldung an, in der 600 IT-Führungskräfte befragt wurden. Sie ergab Folgendes:

• 97% der Befragten, die noch keine passwortlose Anmeldung eingeführt haben, sind der Ansicht, dies sei mit Schwierigkeiten verbunden.

 

• 83% der Unternehmen, die keine Einführung der passwortlosen Anmeldung beabsichtigen, gaben an, ihnen fehle das nötige Wissen, für eine Implementierung.
  

 

• 33% derjenigen, die noch keine passwortlose Authentifizierung eingeführt haben, gaben mangelnde Fachkompetenz als Hindernis für die Einführung von passwortlosen Authentifizierungsarten an.
  

Interessanterweise konnten aus genau der gleichen Umfrage auch die folgenden Statistiken generiert werden:

• 100% der Befragten sahen die Vorteile der passwortlosen Authentifizierung, wobei:

   

  • 52% Möglichkeiten zur Senkung der Kosten für Sicherheitsmaßnahmen und Anhebung der Sicherheitslage erkannten, und

     

  • 48% angaben, damit bräuchten sie weniger Support.

Diese Statistiken ergeben zusammengenommen ein interessantes Bild, das darauf hindeutet, dass die IT-Verantwortlichen in den meisten Unternehmen passwortlose Lösungen anstreben und sich sehr wohl bewusst sind, dass dies die Sicherheitslage ihrer Unternehmen verbessern, die Belastung der Helpdesks durch weniger Passwortrücksetzungen verringern und weitere Vorteile bieten würde. Obwohl die Technologie zwar mittlerweile problemlos verfügbar ist, bleibt die Akzeptanz dennoch gering, weil die IT-Fachkräfte einfach nicht wissen, wo sie anfangen sollen.

Dies kann man ihnen kaum zum Vorwurf machen. Die unangenehme Realität ist, dass die meisten Unternehmen keine ausreichenden betriebsinternen Fachkompetenzen und Ressourcen für einen Alleingang haben. Angesichts der Tatsache, dass 82% der Datenschutzverletzungen des letzten Jahres auf gestohlene Passwörter, Phishing-Angriffe und eine insgesamt schlechte Verwaltung der Anmeldeinformationen zurückzuführen waren und sich die Kosten einer Datenschutzverletzung weltweit auf durchschnittlich 4,35 Millionen US-Dollar belaufen, lässt sich die Bedeutung eines sicheren Passwort-Managements kaum ignorieren. Es hat sich gezeigt, dass die meisten Unternehmen besser beraten sind, wenn sie bei ihrem Kampf gegen Credential-basierte Cyberattacken externe Hilfe und Führung für ihre Journey zur passwortlosen Anmeldung in Anspruch nehmen.

Wie bereits oben erwähnt, unterscheiden sich die Unternehmen durch ihre individuellen branchenspezifischen Layouts, Benutzerszenarien und erforderlichen Anwendungsfälle. Folglich gibt es kein standardisiertes Konzept für die Umstellung auf ein passwortloses System, da jedes Unternehmen seinen eigenen, spezifisch angepassten Ansatz benötigt. Es gibt jedoch einen roten Faden und bewährte Verfahren, an denen man sich orientieren sollte.

Die Auswahl des richtigen Anbieters für die passende Lösung ist entscheidend für die erfolgreiche Implementierung eines robusten und nachhaltigen Programms für die passwortlose Anmeldung. Führende Anbieter passwortloser Lösungen sollten mindestens die folgenden fünf Funktionen anbieten, die für einen langfristigen Erfolg unerlässlich sind.

5 Nach diesen wichtigen Funktionalitäten sollten Sie bei einem Anbieter für passwortlose Lösungen achten:

1. Identitätsverifizierung (Nachweis der Identität)

    

   Obwohl der Verzicht auf Passwörter als Methode mehr Sicherheit bei der Authentifizierung bietet, stellt es beim Wiederherstellen von Konten generell einen Nachteil dar. Das wird insbesondere dann zum Problem, wenn Benutzer das einzige Gerät verlieren, an das ihre Identität für die Authentifizierung gekoppelt ist. Während viele Anbieter bei der Wiederherstellung ausschließlich auf wenig sichere Medien (z. B. Einmalpasscodes per SMS) setzen, können Anbieter, die eine Funktion für den Identitätsnachweis anbieten, die Wiederherstellung des Kontos schneller und sicherer durch ein Selfie und/oder andere identitätsunterstützende Dokumente durchführen.

    

    

2. Zentralisierte adaptive Authentifizierung

    

   Die Kombination von Multi-Faktor-Authentifizierung (MFA) mit Single Sign-On (SSO) und Risikosignalen bietet mehr Sicherheit, da es die adaptive Authentifizierung noch adaptiver und flexibler macht. Die Risikobewertung läuft durchgehend im Hintergrund und unterbricht die Benutzererfahrung nur minimal. Eine Anforderung von zweiten Faktoren, wie beispielsweise Push-Benachrichtigungen, wird nur dann ausgelöst, wenn dies unbedingt erforderlich ist (d. h. bei einer Warnung aufgrund eines erhöhten Risikowertes, einer ungewöhnlichen Richtlinienverletzung usw.). Führende Anbieter der passwortlosen Anmeldung sollten zusätzlich zu SSO und passwortloser MFA auch Risikosignale als ergänzende Funktionen anbieten, die integriert werden können, um robuste und umfassende passwortlose Lösungen bereitzustellen.

    

3. Anforderungen für hybride Lösungen

    

   Eine hybride passwortlose Lösung, die sowohl SaaS- als auch traditionelle standortbasierte Funktionen vorsieht, ist flexibler, kann sich an hybride Umgebungen anpassen und versetzt Unternehmen in eine bessere Ausgangslage für die Einführung passwortloser Technologien und für zukünftige Skalierungen als Lösungen für den ausschließlich lokalen Betrieb.

    

4. Abdeckung für alle Arten von Identitäten

    

   Es gibt viele unterschiedliche Identitätstypen – Mitarbeiter, Kunden, Partner und andere. Das Gleiche gilt für Anwendungsfälle. Denken Sie zum Beispiel an ein Unternehmen, in dem die Mitarbeiter im Einzelhandel mit unterschiedlichen Geräten arbeiten, die möglicherweise nicht FIDO-fähig sind, während andere Mitarbeiter in Unternehmen FIDO-Sicherheitsschlüssel benötigen. Anbieter von passwortlosen Lösungen, die eine Vielzahl von Benutzer- und Anwendungsszenarien abdecken, sind unter Umständen die bessere Wahl, wenn es darum geht, alle Anforderungen Ihres Unternehmens zu erfüllen.

    

5. Orchestrierung

    

   Sie sollten in der Lage sein, unterschiedliche Wege zur passwortlosen Anmeldung mit verschiedenen Anwendungen und Diensten zu gestalten. Die Orchestration ermöglicht Ihnen das einfache Erstellen und Optimieren von Abläufen für die passwortlose Authentifizierung ohne Programmierkenntnisse (no-code). Es ist äußerst wichtig, dass Sie das tatsächliche Benutzererlebnis in schneller Abfolge testen können.

Glücklicherweise haben wir bei Ping Identity diesen Paradigmenwechsel schon vor Jahren vorhergesehen und daher beschlossen, die PingOne Cloud-Plattform zu entwickeln: eine nahtlos integrierte Suite von erstklassigen Identitätslösungen mit Identitätsverifizierung, Active Directory-Profilmanagement, Identifizierung und Autorisierung. Die PingOne Cloud-Plattform ist mit allen Identitätstypen in hybriden Umgebungen kompatibel. Außerdem stehen Risikosignale zur Verfügung, um moderne Bedrohungen mit minimalen Reibungsverlusten für den Benutzer mithilfe einer flexibleren adaptiven Authentifizierung abzuwehren.

Abbildung 1. Die PingOne Cloud-Plattform kombiniert erstklassige Lösungen für alle Identitätskontrollpunkte, um die Umstellung auf eine passwortlose Anmeldung, das Verhindern von Betrug, Zero-Trust-Initiativen und alles dazwischen zu unterstützen. Unter Verwendung einer simplen Drag-and-Drop-Identitätsorchestrierung können Unternehmen vollständige User Journeys erstellen, testen und optimieren, die digitale Interaktionen sichern und gleichzeitig reibungslose Online-Erlebnisse bereitstellen.

Darüber hinaus wird die PingOne Cloud-Plattform von PingOne DaVinci unterstützt, unserer Plattform für die Identitätsorchestrierung. Mit PingOne DaVinci können für eine Vielzahl von Anwendungen und Diensten passwortlose Workflows ohne das Entwickeln von Code erstellt und optimiert werden. Mithilfe der Identitätsorchestrierung von PingOne DaVinci können Unternehmen ihre passwortlosen Erfahrungen kontinuierlich verbessern, indem sie die verschiedenen Risikosignale, Authentifizierungsfaktoren und sogar MFA-Lösungen verschiedener Anbieter testen.
 

Abbildung 2. PingOne DaVinci ermöglicht Unternehmen die schnelle Integration und Erstellung passwortloser Workflows über zahlreiche Anwendungen und Dienste hinweg auf einer intuitiven Drag-and-Drop-Oberfläche mit wenig oder ohne Code. So können sie sichere und reibungslose Benutzererlebnisse erstellen, testen und optimieren.

Der Verzicht auf Passwörter ist unerlässlich, wenn Sie den Kunden sichere, schnelle und reibungslose digitale Erlebnisse bieten möchten, die sie stärker ansprechen und nicht zu Verärgerung und dem Abbruch von Transaktionen führen. Weiterhin ist dies wichtig, um die Mitarbeiterproduktivität zu optimieren, Kosten für das Zurücksetzen von Passwörtern zu senken und Ihr Unternehmen vor kostspieligen Datenschutzverstößen zu schützen.

Welche Methoden der passwortlosen Authentifizierung für Ihr Unternehmen am besten geeignet sind, hängt von Ihren individuellen Benutzerszenarien ab. Die Anwendungsfälle und Anforderungen für eine passwortlose Anmeldung können auch unfassbar komplex sein, und den meisten Unternehmen fehlt es an ausreichender betriebsinterner Fachkompetenz, um sie im Alleingang erfolgreich umzusetzen.

Daher sollte die Auswahl des richtigen Anbieters von passwortlosen Lösungen als Partner und vertrauenswürdiger Berater eine strategische Priorität für Unternehmen sein, die es mit der Verbesserung der Sicherheitslage und des Komforts für Kunden und Mitarbeiter ernst meinen.

Anbieter, die alle Identitätstypen abdecken und sowohl SaaS- als auch herkömmliche Vor-Ort-Funktionen anbieten, verbessern Ihre Chancen auf die erfolgreiche Implementierung eines robusten und nachhaltigen Programms für die passwortlose Anmeldung, das sich mit Ihren Anforderungen weiterentwickelt.

Schließlich empfehlen wir Unternehmen sehr, nur mit Lösungsanbietern zusammenzuarbeiten, die Funktionen zur Identitätsorchestrierung anbieten. Im Endeffekt benötigen Sie für das Gestalten, Testen und Optimieren von Online-Erfahrungen ohne Passwort ausreichend Flexibilität, um schnell iterieren und verschiedene Funktionen für Kunden testen zu können. Identitätsprovider, die Ihnen Orchestrierungsfunktionen anbieten, mit denen Sie kontinuierlich unterschiedliche Flows der passwortlosen Anmeldung austesten können, ermöglichen die schnellste Realisierung von Rendite.

Wenn Ihnen ausreichende interne Fachkenntnisse fehlen, um eine passwortlose Authentifizierung zu implementieren, dann ist das kein Problem – Ping Identity hat die Lösung für Sie. Die Lösungen für die passwortlose Authentifizierung von Ping Identity decken alle Identitätstypen auch im großen Rahmen ab und berücksichtigen verschiedene Szenarien in allen Phasen Ihrer passwortlosen Journey. Dies reicht von der Zentralisierung der SSO und MFA über eine Authentifizierungsinstanz mit Risikosignalen über das Verringern von Passworteingaben durch Biometrie, magische E-Mail-Links, QR-Codes, Authentifizierungs-Apps und weitere Authentifizierungsfaktoren als primäre Anmeldeerfahrung bis hin zur Implementierung von FIDO2 (Fast Identity Online). Der passwortlose offene Standard nutzt die Public-Key-Kryptografie, um Ihren Benutzern die biometrische Authentifizierung über FIDO2-Sicherheitsschlüssel oder andere FIDO-kompatible Geräte zu ermöglichen.

Darüber hinaus wird PingOne DaVinci das Erreichen Ihres Ziel der passwortlosen Anmeldung beschleunigen, indem Ihnen die Lösung ermöglicht, die Online-Erlebnisse der Endbenutzer mit einer herstellerunabhängigen, einfachen Drag-and-Drop-Orchestrierungs-Plattform mit wenig oder sogar keinem Code zu testen und zu optimieren.

Wenn Sie mehr über Best Practices für die ersten Schritte ihrer passwortlosen Journey erfahren möchten, finden Sie weiter Informationen unter Passwortlose Lösungen von Ping Identity .

Noch besser ist die Variante, das passwortlose System selbst auszuprobieren, mit einerkostenlosen 30-Tage-Testversion von Ping Identity.

Weitere Informationen zur Nutzung der Identitätsorchestrierung für das Erstellen, Testen und Optimieren Ihrer eigenen passwortlosen Workflows finde Sie unter PingOne DaVinci.