Mittlerweile gibt es praktikable Optionen, um die Notwendigkeit der Passwortauthentifizierung (fast) vollständig zu ergänzen oder zu eliminieren. Hier sind ein paar Gründe, warum kennwortlose Optionen für Sie in Frage kommen könnten. [...]
In den letzten Jahren haben Experten erkannt, dass die vielleicht beste Passwortstrategie für Ihre Anwendungslogins darin besteht, überhaupt kein Passwort zu haben – was oft als „passwordless“ bezeichnet wird. Diese Bezeichnung ist nicht ganz zutreffend, wie Sie sehen werden, sobald wir die kommerziellen Varianten untersuchen. Das kennwortlose Konzept hat diverse Neuerungen erfahren, darunter Windows 10 Hello und Okta Verify. Anbieter wie SecretDoubleOctopus, Auth0 und HYPR haben ihre eigenen Lösungen.
Gründe, einen kennwortlosen Ansatz zu erproben
Lassen Sie uns einen Schritt zurücktreten und versuchen, die Vorteile der Passwortlosigkeit zu verdeutlichen. Wollen Sie die Passwörter für alle (oder eine Teilmenge) Ihrer Benutzer wirklich eliminieren oder nur ihre Neigung verringern, leicht zu merkende Passwörter über mehrere Logins hinweg zu duplizieren? Benutzen Sie derzeit Hardwareschlüssel wie RSA SecurID und möchten etwas Bequemeres? Versuchen Sie, die Nutzung der Multi-Faktor-Authentifizierung (MFA) zu fördern, um Ihre Login-Daten besser zu schützen?
Das sind alles gute Gründe, passwortlose Optionen in Betracht zu ziehen. Der Teufel steckt jedoch im Detail. Zum Beispiel unterstützt nicht jede Anwendung jede kennwortlose Option oder gar besonders viele MFA-Optionen. Wenn Sie Ihre eigenen benutzerdefinierten Anwendungen einsetzen, werden Ihre Entwickler diese Methoden hinzufügen oder ein Software-Entwicklungskit verwenden müssen, das Ihnen die Arbeit erleichtern kann. (Sowohl Auth0 als auch HYPR verfügen über Tools, die z.B. bei Ihren eigenen Anwendungen helfen können.)
Wenn Sie ein Single-Sign-On (SSO)-Produkt verwenden oder einen unternehmensweiten Passwortmanager einsetzen, sollten Sie diese Tools wahrscheinlich weiterhin in Kombination mit einer der passwortlosen Methoden zum Einsatz bringen, um sie für Ihre Benutzer schmackhafter zu machen. Wenn Sie über kein solides Identitätsmanagementsystem verfügen, sehen Sie sich an, was RSA, OneLogin und Okta hier zu bieten haben und was es kosten würde, eines von ihnen zu implementieren – alle drei haben Bestrebungen zur kennwortlosen oder zumindest besseren MFA-Integration mit ihren Tools unternommen. Oder erwägen Sie die Verwendung von Auth0’s SSO und beginnen Sie mit ihren kennwortlosen Optionen fest im Hinterkopf.
Wie kennwortlose Methoden funktionieren
Die allgemeinen kennwortlosen Ansätze decken mehrere verschiedene Methoden ab: eine Kombination aus Geräte-Firmware und Software-Fingerprinting, Biometrie und Unterstützung für die neuesten FIDO-Standards der Federated Identity Alliance. Bei jedem Ansatz wird MFA verwendet, ohne dass eine einmalige PIN eingegeben werden muss. Das ist der Punkt: Sie brauchen noch etwas anderes, um den Authentifizierungsdialog abzuschließen. Das bedeutet einen Kompromiss, und es könnte zu einer erheblichen Umstellung der Benutzer führen, die in Ihrem gesamten Unternehmen durchgeführt werden muss.
Biometrische kennwortlose Methoden
Da die meisten Smartphones inzwischen mit Fingerabdrucklesern ausgestattet sind, ist die Verwendung von Fingerabdrücken (oder Gesichtserkennung bei den neuesten Handys) als weitere MFA-Methode populär geworden. Die wichtigsten Authentifizierungs-Smartphone-Apps, darunter Authy, Lastpass und Dashlane, haben die Unterstützung von Fingerabdrücken oder Apples Gesichts-ID und Touch-ID-Authentifizierung in ihre Smartphone-Apps implementiert. Dies ist vielleicht der einfachste Weg hin zur Passwortlosigkeit, vorausgesetzt, Ihre Benutzer sind mit einer dieser Apps vertraut.
Auf der anderen Seite kann die Festlegung der zusätzlichen biometrischen Authentifizierungsanforderungen für jede Ihrer Unternehmensanwendungen ein Support-Alptraum sein – und es gibt keine Möglichkeit, sich in diese Situation zu begeben, wenn die Benutzer noch keine Erfahrung mit den Smartphone-Authentifizierungsanwendungen haben. Die bessere Alternative könnte darin bestehen, mit den Smartphone-Authentifikatoren zu beginnen, bis eine bessere biometrische Integration mit Ihrem SSO- oder Identitätsmanagement-Anbieter erreicht ist.
Geräte-Fingerprinting
Einem Whitepaper zufolge kann die Sicherheit des kennwortlosen Ansatzes „auf beliebig viele verschiedene Arten erreicht werden, indem man die Public-Key-Kryptographie nutzt, die einen öffentlichen Schlüssel verwendet, der sicher mit jedem geteilt werden kann, und einen privaten Schlüssel, der auf dem lokalen Gerät verbleibt, so dass es – anders als ein Kennwort – nicht anfällig für Lauschangriffe ist“. In dieser Hinsicht unterscheidet sich die Passwortlosigkeit nicht viel von den Split-Key-Verfahren, die seit Jahrzehnten verwendet werden, und ähnelt der Funktionsweise der meisten Verschlüsselungsroutinen für die grundlegenden Internet-Protokolle.
Der wahrscheinlich beste Weg, dies zu erreichen, besteht darin, ein Stück Firmware einzubauen, entweder eingebettet in Ihr vorhandenes Smartphone oder mit einem anderen fob-ähnlichen Gerät, das einen einzigartigen Code mit sich führt, der Ihr Passwort ersetzen kann. Der jüngste Vertreter der kennwortlosen Welt ist der SSO-Anbieter Okta mit seiner App Verify MFA. Diese wird schließlich Fingerabdrücke von Geräten enthalten, um sie kennwortlos zu machen.
Die Entscheidung für Okta ist eine große Verpflichtung und wird eine umfangreiche Implementierung erfordern. Und wenn Sie bereits mit einem anderen SSO-Tool arbeiten, ist das wahrscheinlich kein ausreichender Grund, jetzt umzusteigen. Okta verfügt jedoch über eine der umfangreicheren Sammlungen für unterstützte SaaS-Unternehmensanwendungen, die die Einführung einfacher machen als einige der anderen Fingerabdruck-Technologien, die noch in den Kinderschuhen stecken.
Eine zweite Technologie verwendet Open-Source-Methoden im Rahmen des Tidas-Projekts. Dieses Projekt startete 2016, ist aber noch nicht richtig angelaufen. Es verwendet die privaten Chiffrierschlüssel der neueren iPhones (es wurde noch keine Android-Unterstützung geschaffen), um Ihre Daten zu signieren und zu verschlüsseln. Die Anmeldungen werden durch das Software-Entwicklungs-Kit abgewickelt, so dass die Benutzer keine Passwörter konstruieren müssen und einfach mit dem Finger auf die Touch-ID-Taste auf dem Telefon (oder auf dem Hauptbildschirm selbst) drücken müssen.
Eine dritte Wahl ist Iovation, die die Kreditanstalt Transunion gekauft hat und unter dem Namen ClearKey und ihrem adaptiven Authentifizierungstool LaunchKey vertreibt. Es registriert das physische Smartphone mit seinem Firmware-Fingerabdruck als zusätzlichen Authentifizierungsfaktor.
Schließlich hat Trusona einen interessanten Ansatz. Wenn Sie sich für seinen Service registrieren, schickt man Ihnen per Kurier ein Gerät, das auf Ihr Smartphone passt und wie ein Bankomatkartenleser aussieht. Vielmehr assoziiert dieses Gerät (und die Chain of Custody, die seine Lieferung von ihrer Fabrik bis zu Ihren Händen verfolgt) Ihre Kreditkarte oder andere magnetisch ausgestattete Gegenstände mit Ihrer Identität. Im Wesentlichen ist es eine andere Form eines Hardware-MFA-Sicherheitstokens wie Google Titan und RSA SecurID. Die Einführung in einem Unternehmen könnte einige Anstrengungen erfordern.
FIDO2
Die Idee hinter FIDO ist es, über eine Reihe von Standards zu verfügen, damit Sie dieselbe Authentifizierungsmethode – sei es ein Hardware-Einmalschlüsselanhänger oder die Firmware Ihres Telefons – in allen Ihren Unternehmensanwendungen verwenden können. FIDOs Zugkraft war zwar geringer als erwartet, aber sie wird jetzt von genügend Anbietern implementiert, damit sie nützlich ist. Die neueste Spezifikation, FIDO2, hat Hunderte von Unterstützern – darunter Sicherheitsanbieter, Großbanken und andere große IT-Organisationen – und wird jetzt von Microsoft, Google, Apple und anderen unterstützt.
Wenn Sie bisher gezögert haben, Ihren Zeh in die Gewässer des FIDO zu tauchen, ist jetzt vielleicht ein guter Zeitpunkt, sich seine Software-Tools zu besorgen und mit einem Pilotprojekt zu experimentieren, um die Implementierung zu testen. Die beiden sichtbarsten FIDO2-Instanzen sind die Sicherheitsschlüssel Titan von Google und Yubikey von Yubico. Im Gegensatz zu den früheren RSA-SecurID-Schlüsseln gibt es keine PINs zu übertragen. Sie drücken lediglich einen eingebetteten Knopf auf dem Schlüssel, um Ihre Annahme während des Anmeldedialogs anzuzeigen. Die Schlüssel sind in verschiedenen Formen, mit verschiedenen Generationen von USB-Anschlüssen und via Bluetooth erhältlich.
*David Strom schreibt für CSO Online, Network World, Computerworld und andere Publikationen über Sicherheits-, Netzwerk- und Kommunikationsthemen.
Be the first to comment