Ist jetzt die Zeit für kennwortlose Authentifizierung?

Mittlerweile gibt es praktikable Optionen, um die Notwendigkeit der Passwortauthentifizierung (fast) vollständig zu ergänzen oder zu eliminieren. Hier sind ein paar Gründe, warum kennwortlose Optionen für Sie in Frage kommen könnten. [...]

Die allgemeinen kennwortlosen Ansätze decken mehrere verschiedene Methoden ab, darunter auch Biometrie (c) Pixabay.com

In den letzten Jahren haben Experten erkannt, dass die vielleicht beste Passwortstrategie für Ihre Anwendungslogins darin besteht, überhaupt kein Passwort zu haben – was oft als „passwordless“ bezeichnet wird. Diese Bezeichnung ist nicht ganz zutreffend, wie Sie sehen werden, sobald wir die kommerziellen Varianten untersuchen. Das kennwortlose Konzept hat diverse Neuerungen erfahren, darunter Windows 10 Hello und Okta Verify. Anbieter wie SecretDoubleOctopus, Auth0 und HYPR haben ihre eigenen Lösungen.

Gründe, einen kennwortlosen Ansatz zu erproben

Lassen Sie uns einen Schritt zurücktreten und versuchen, die Vorteile der Passwortlosigkeit zu verdeutlichen. Wollen Sie die Passwörter für alle (oder eine Teilmenge) Ihrer Benutzer wirklich eliminieren oder nur ihre Neigung verringern, leicht zu merkende Passwörter über mehrere Logins hinweg zu duplizieren? Benutzen Sie derzeit Hardwareschlüssel wie RSA SecurID und möchten etwas Bequemeres? Versuchen Sie, die Nutzung der Multi-Faktor-Authentifizierung (MFA) zu fördern, um Ihre Login-Daten besser zu schützen?

Das sind alles gute Gründe, passwortlose Optionen in Betracht zu ziehen. Der Teufel steckt jedoch im Detail. Zum Beispiel unterstützt nicht jede Anwendung jede kennwortlose Option oder gar besonders viele MFA-Optionen. Wenn Sie Ihre eigenen benutzerdefinierten Anwendungen einsetzen, werden Ihre Entwickler diese Methoden hinzufügen oder ein Software-Entwicklungskit verwenden müssen, das Ihnen die Arbeit erleichtern kann. (Sowohl Auth0 als auch HYPR verfügen über Tools, die z.B. bei Ihren eigenen Anwendungen helfen können.)

Wenn Sie ein Single-Sign-On (SSO)-Produkt verwenden oder einen unternehmensweiten Passwortmanager einsetzen, sollten Sie diese Tools wahrscheinlich weiterhin in Kombination mit einer der passwortlosen Methoden zum Einsatz bringen, um sie für Ihre Benutzer schmackhafter zu machen. Wenn Sie über kein solides Identitätsmanagementsystem verfügen, sehen Sie sich an, was RSA, OneLogin und Okta hier zu bieten haben und was es kosten würde, eines von ihnen zu implementieren – alle drei haben Bestrebungen zur kennwortlosen oder zumindest besseren MFA-Integration mit ihren Tools unternommen. Oder erwägen Sie die Verwendung von Auth0’s SSO und beginnen Sie mit ihren kennwortlosen Optionen fest im Hinterkopf.

Wie kennwortlose Methoden funktionieren

Die allgemeinen kennwortlosen Ansätze decken mehrere verschiedene Methoden ab: eine Kombination aus Geräte-Firmware und Software-Fingerprinting, Biometrie und Unterstützung für die neuesten FIDO-Standards der Federated Identity Alliance. Bei jedem Ansatz wird MFA verwendet, ohne dass eine einmalige PIN eingegeben werden muss. Das ist der Punkt: Sie brauchen noch etwas anderes, um den Authentifizierungsdialog abzuschließen. Das bedeutet einen Kompromiss, und es könnte zu einer erheblichen Umstellung der Benutzer führen, die in Ihrem gesamten Unternehmen durchgeführt werden muss.

Biometrische kennwortlose Methoden

Da die meisten Smartphones inzwischen mit Fingerabdrucklesern ausgestattet sind, ist die Verwendung von Fingerabdrücken (oder Gesichtserkennung bei den neuesten Handys) als weitere MFA-Methode populär geworden. Die wichtigsten Authentifizierungs-Smartphone-Apps, darunter Authy, Lastpass und Dashlane, haben die Unterstützung von Fingerabdrücken oder Apples Gesichts-ID und Touch-ID-Authentifizierung in ihre Smartphone-Apps implementiert. Dies ist vielleicht der einfachste Weg hin zur Passwortlosigkeit, vorausgesetzt, Ihre Benutzer sind mit einer dieser Apps vertraut.

Auf der anderen Seite kann die Festlegung der zusätzlichen biometrischen Authentifizierungsanforderungen für jede Ihrer Unternehmensanwendungen ein Support-Alptraum sein – und es gibt keine Möglichkeit, sich in diese Situation zu begeben, wenn die Benutzer noch keine Erfahrung mit den Smartphone-Authentifizierungsanwendungen haben. Die bessere Alternative könnte darin bestehen, mit den Smartphone-Authentifikatoren zu beginnen, bis eine bessere biometrische Integration mit Ihrem SSO- oder Identitätsmanagement-Anbieter erreicht ist.

Geräte-Fingerprinting

Einem Whitepaper zufolge kann die Sicherheit des kennwortlosen Ansatzes „auf beliebig viele verschiedene Arten erreicht werden, indem man die Public-Key-Kryptographie nutzt, die einen öffentlichen Schlüssel verwendet, der sicher mit jedem geteilt werden kann, und einen privaten Schlüssel, der auf dem lokalen Gerät verbleibt, so dass es – anders als ein Kennwort – nicht anfällig für Lauschangriffe ist“. In dieser Hinsicht unterscheidet sich die Passwortlosigkeit nicht viel von den Split-Key-Verfahren, die seit Jahrzehnten verwendet werden, und ähnelt der Funktionsweise der meisten Verschlüsselungsroutinen für die grundlegenden Internet-Protokolle.

Der wahrscheinlich beste Weg, dies zu erreichen, besteht darin, ein Stück Firmware einzubauen, entweder eingebettet in Ihr vorhandenes Smartphone oder mit einem anderen fob-ähnlichen Gerät, das einen einzigartigen Code mit sich führt, der Ihr Passwort ersetzen kann. Der jüngste Vertreter der kennwortlosen Welt ist der SSO-Anbieter Okta mit seiner App Verify MFA. Diese wird schließlich Fingerabdrücke von Geräten enthalten, um sie kennwortlos zu machen.

Die Entscheidung für Okta ist eine große Verpflichtung und wird eine umfangreiche Implementierung erfordern. Und wenn Sie bereits mit einem anderen SSO-Tool arbeiten, ist das wahrscheinlich kein ausreichender Grund, jetzt umzusteigen. Okta verfügt jedoch über eine der umfangreicheren Sammlungen für unterstützte SaaS-Unternehmensanwendungen, die die Einführung einfacher machen als einige der anderen Fingerabdruck-Technologien, die noch in den Kinderschuhen stecken.

Eine zweite Technologie verwendet Open-Source-Methoden im Rahmen des Tidas-Projekts. Dieses Projekt startete 2016, ist aber noch nicht richtig angelaufen. Es verwendet die privaten Chiffrierschlüssel der neueren iPhones (es wurde noch keine Android-Unterstützung geschaffen), um Ihre Daten zu signieren und zu verschlüsseln. Die Anmeldungen werden durch das Software-Entwicklungs-Kit abgewickelt, so dass die Benutzer keine Passwörter konstruieren müssen und einfach mit dem Finger auf die Touch-ID-Taste auf dem Telefon (oder auf dem Hauptbildschirm selbst) drücken müssen.

Eine dritte Wahl ist Iovation, die die Kreditanstalt Transunion gekauft hat und unter dem Namen ClearKey und ihrem adaptiven Authentifizierungstool LaunchKey vertreibt. Es registriert das physische Smartphone mit seinem Firmware-Fingerabdruck als zusätzlichen Authentifizierungsfaktor.

Schließlich hat Trusona einen interessanten Ansatz. Wenn Sie sich für seinen Service registrieren, schickt man Ihnen per Kurier ein Gerät, das auf Ihr Smartphone passt und wie ein Bankomatkartenleser aussieht. Vielmehr assoziiert dieses Gerät (und die Chain of Custody, die seine Lieferung von ihrer Fabrik bis zu Ihren Händen verfolgt) Ihre Kreditkarte oder andere magnetisch ausgestattete Gegenstände mit Ihrer Identität. Im Wesentlichen ist es eine andere Form eines Hardware-MFA-Sicherheitstokens wie Google Titan und RSA SecurID. Die Einführung in einem Unternehmen könnte einige Anstrengungen erfordern.

FIDO2

Die Idee hinter FIDO ist es, über eine Reihe von Standards zu verfügen, damit Sie dieselbe Authentifizierungsmethode – sei es ein Hardware-Einmalschlüsselanhänger oder die Firmware Ihres Telefons – in allen Ihren Unternehmensanwendungen verwenden können. FIDOs Zugkraft war zwar geringer als erwartet, aber sie wird jetzt von genügend Anbietern implementiert, damit sie nützlich ist. Die neueste Spezifikation, FIDO2, hat Hunderte von Unterstützern – darunter Sicherheitsanbieter, Großbanken und andere große IT-Organisationen – und wird jetzt von Microsoft, Google, Apple und anderen unterstützt. 

Wenn Sie bisher gezögert haben, Ihren Zeh in die Gewässer des FIDO zu tauchen, ist jetzt vielleicht ein guter Zeitpunkt, sich seine Software-Tools zu besorgen und mit einem Pilotprojekt zu experimentieren, um die Implementierung zu testen. Die beiden sichtbarsten FIDO2-Instanzen sind die Sicherheitsschlüssel Titan von Google und Yubikey von Yubico. Im Gegensatz zu den früheren RSA-SecurID-Schlüsseln gibt es keine PINs zu übertragen. Sie drücken lediglich einen eingebetteten Knopf auf dem Schlüssel, um Ihre Annahme während des Anmeldedialogs anzuzeigen. Die Schlüssel sind in verschiedenen Formen, mit verschiedenen Generationen von USB-Anschlüssen und via Bluetooth erhältlich.

*David Strom schreibt für CSO Online, Network World, Computerworld und andere Publikationen über Sicherheits-, Netzwerk- und Kommunikationsthemen.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*