World Password(less) Day: Die Zukunft der Cybersicherheit ist passwortfrei!

Seit Dekaden sind Passwörter ein Grundstein der Onlinesicherheit: Kaum ein System, eine Anwendung, ein Gerät gewährt ohne die Eingabe eines Passworts noch Zugriff. Ganz unproblematisch sind Passwörter jedoch nicht. Wir sollten uns nicht länger ausschließlich auf sie verlassen. Zum diesjährigen World Password(less) Day sprachen wir mit unserem Datensicherheitsexperten Alex Cox sowie mit David Turner, verantwortlich für die Entwicklung von Standards bei der FIDO Alliance. Warum und auf welchen Wegen sollten wir uns in eine passwortfreie Zukunft aufmachen? Und wie können Unternehmen Passwortprobleme jetzt schon entschärfen?

Das Problem mit den Passwörtern

In den Anfangszeiten des Internets gab es gar keine Passwörter; über Sicherheit machte man sich damals noch keine Gedanken. Die Idee, dass Nutzer ihre Daten vor dem Zugriff anderer schützen können sollten, fasste erst mit der Entwicklung und Ausdehnung des Internets Fuß. Das Grundproblem existiert im Internet bis auf den heutigen Tag, nur inzwischen in ganz anderer Größenordnung. Ein durchschnittlicher Internetnutzer hat über 100 Onlinekonten, und idealerweise schützt er jedes einzelne davon mit einem eigenen Passwort. Die Realität sieht aber leider anders aus. Niemand kann sich so viele verschiedene Passwörter merken. Aus Nutzersicht ist es deshalb naheliegend, für mehrere Konten dasselbe Passwort oder leicht geänderte Varianten davon zu nutzen. Schafft es ein Hacker, in eines dieser Konten einzudringen, sind auch die restlichen in Gefahr, die mit diesem Passwort geschützt werden. „Betrüger haben genau auf dem Schirm, dass wir gerne Passwörter mehrfach nutzen.“ - Alex Cox, Leiter Datensicherheit bei LastPass Vergleichsweise einfach kann man an Passwörter auch per Social Engineering kommen. Kriminelle wissen, dass Menschen ihre Passwörter gerne auf Basis von Begriffen erstellen, die ihrem Alltag entstammen. Und suchen dann nach Hinweisen auf mögliche Begriffe in den Social-Media-Konten und anderen Onlineaktivitäten der betreffenden Person. Wen Sie also ein Bild Ihres Haustiers mit Namen posten und diesen Namen in Ihren Passwörtern verwenden, ist es nur eine Frage der Zeit, bis Unbefugte in Ihre Konten eindringen. Die Bedrohungslandschaft verändert sich täglich. Die modernen Spielarten des Phishings, die ebenfalls zu den Social-Engineering-Taktiken gehören, werden selbst von Experten nicht immer zuverlässig entlarvt. „Hacker hacken sich nicht in Konten, sie melden sich dort an.“ - David Turner, Leiter der Entwicklung von Standards bei der FIDO Alliance Die Lösung für das Passwortproblem? Passwörter gänzlich abschaffen!

Passwortfreier Login – warum?

Ein passwortfreier Login ist einfach die intelligentere Form von Sicherheit. Doch das ist nicht sein einziger Vorzug. Unternehmen können damit strengere Sicherheitsstandards durchsetzen und Geräte, Daten, Benutzer und Kunden besser schützen. Sie verbessern ihre Sicherheit insgesamt und profitieren zudem von folgenden Dingen:

• Zeitersparnis bei der Verwaltung der Passwortsicherheit: IT-Teams sind weniger mit der zeitaufwendigen Zurücksetzung und Verwaltung von Passwörtern beschäftigt
• Ersparnis von Zeit und Kosten für Aufklärungs- und Schulungsmaßnahmen zum Thema Sicherheit
• Nahtlose Sicherheitsumgebung für die IT und die Endbenutzer (maximale Sicherheit bei minimalem Aufwand)
• Steigende Produktivität, Zeiteinsparung bei der Passwortverwaltung und beim Zugriff auf Konten
• Höherer Nutzerkomfort: Gartner zufolge versprechen sich 64 % der Nutzer von einem passwortfreien Login eine einfachere Verwaltung ihrer Konten; 40 % würden sich dadurch insgesamt „weniger gestresst“ fühlen.

Der Weg in die passwortfreie Zukunft

Experten sind sich einig: Von heute auf morgen wird der passwortfreie Login keine Realität, vielmehr wird die FIDO2-konforme Umsetzung einer Anmeldung, die an jedem Standort, auf jedem Gerät, in jedem Browser und auf jeder Website funktioniert, noch Jahre dauern. Der Weg dorthin ist kompliziert und erfordert die Unterstützung und Entwicklungsmaßnahmen zahlloser Technologieanbieter. Begonnen hat die Entwicklung jedoch längst. Schon heute können Unternehmen auf verschiedene Weisen dafür sorgen, dass nicht bei jedem Login ein Passwort eingegeben werden muss oder die Authentifizierung nur per Passwort erfolgt.

• Passwort-Manager: Passwort-Manager können die Anzahl der Passwörter, die Mitarbeiter verwalten oder erstellen müssen, auf eines reduzieren – das Master-Passwort für den Vault. Jedes Passwort kann damit nach bestimmten Mindestkriterien für die Sicherheit erzeugt und so gespeichert werden, dass der Login für Nutzer komfortabler wird.
• Single Sign-On: Auch SSO kann Mitarbeitern die Eingabe vieler Passwörter ersparen. Sie melden sich dabei mit nur einem Satz autorisierter Zugangsdaten an und können anschließend auf viele verschiedene Anwendungen zugreifen. SSO basiert auf der Identität und den Berechtigungen eines Benutzers.
• Multifaktor-Authentifizierung: MFA ergänzt die Eingabe des Passworts um eine weitere Sicherheitsebene. Sie prüft vor der Gewährung des Zugriffs die Identität des Benutzers und ermöglicht die Anmeldung ohne Passworteingabe. MFA kann über eine Authenticator-App für iOS- oder Android-Mobilgeräte (Push-Benachrichtigung), biometrisch (Gesichts- oder Fingerabdruck, Stimmerkennung), per SMS-Code oder über Einmalpasswörter realisiert werden.
• Physische Schlüssel: Sicherheitsschlüssel wie der YubiKey sind gleichfalls eine Form der MFA – eine Hardware (z. B. ein USB-Stick) im Besitz eines Benutzers, die seinem Gerät (Mobilgerät oder Laptop) zugewiesen ist. Da es pro Nutzer nur einen physischen Schlüssel gibt, wird der Zugriff dadurch sicherer.
• Passkeys: FIDO-standardkonforme Passkeys sind eine Alternative zu Passwörtern, mit denen die geräteübergreifende Anmeldung eines Benutzers bei Websites und Apps schneller, einfacher und sicherer wird. Im Unterschied zu Passwörtern sind Passkeys grundsätzlich stark und Phishing-resistent.

LastPass befindet sich bereits auf dem Weg in eine passwortfreie Zukunft. Bei der letztjährigen RSA Conference hatte LastPass die passwortfreie Vault-Anmeldung auf Desktop-Geräten per LastPass Authenticator bekanntgegeben und erklärt, die passwortfreien Anmeldeoptionen im Jahr 2023 zu erweitern. Die nächsten Schritte werden eine passwortfreie Anmeldung bei Workstations und weitere FIDO2-kompatible Optionen für die Vault-Anmeldung sein – per Hardwareschlüssel (YubiKey) oder Softwareschlüssel (Biometrie). Mittelfristig sollen auch Passkeys erstellt, gespeichert und verwaltet werden können. Unser Leben online muss sicherer, komfortabler und effizienter werden. Es ist Zeit, Passwörter hinter sich zu lassen. Passwortfrei hat viele Vorzüge. Und Sie können Ihr Unternehmen schon heute besser absichern. Alles dazu erfahren Sie in diesem Webinar von LastPass und der FIDO Alliance. Wir wünschen Ihnen einen schönen World Password(less) Day!