Sicher ohne Passwort?
Was ist ein sicheres Passwort? Die überraschende Antwort: Kein Passwort. Tatsächlich wird die passwortfreie Authentifizierung bereits seit einiger Zeit diskutiert. FIDO2 könnte in ein paar Jahren zum De-Facto-Standard werden. Für die IT-Sicherheit wäre das zweifellos von Vorteil, denn mit den vielen Passwörtern, die User heutzutage nutzen, geht ein hohes Risiko für die Unternehmen einher, ganz zu schweigen vom massiven Aufwand, der für die Verwaltung all der Passwörter notwendig ist.
Passwörter sind die am häufigsten verwendete Methode zur Authentifizierung für Anwendungen. Passwörter und der schlechte Umgang damit sind aber auch die Hauptursache für erfolgreiche Hackerangriffe. Das liegt zum einen daran, dass sie oft nicht sicher genug sind und zum anderen, weil viele Menschen dieselben Passwörter für mehrere Online-Konten verwenden. Eine Untersuchung von KnowBe4 Research zeigte, dass 76 Prozent der Mitarbeitenden ihre Passwörter wiederverwenden. Passwörter sind dementsprechend ein hohes Risiko für die IT-Sicherheit.
Zudem stellt die Verwaltung von Passwörtern für Unternehmen eine grosse Herausforderung dar. Viele Unternehmen haben Tausende von Konten und Passwörtern, die sie verwalten müssen. Auch für die Nutzer selbst ist der tägliche Umgang mit hunderten von Passwörtern eine Belastung. Sie sind gestresst, wenn sie ihre Passwörter vergessen. Nicht zuletzt muss auch der IT-Support viel Arbeit in das Thema Passwörter stecken: Bis zu 40 % der Helpdesk-Anrufe gehen auf das Zurücksetzen von Passwörtern zurück. Angesichts all der Probleme, die Passwörter erzeugen, überrascht es nicht, dass passwortlose Lösungen mehr als gewünscht und von vielen sogar herbeigesehnt werden. Das gilt auch für IT-Security-Verantwortliche, denn die passwortlose Authentifizierung erhöht die Sicherheit, da das Risiko, ein Passwort weiterzugeben, wiederzuverwenden oder einem Phishing-Versuch zum Opfer zu fallen, praktisch nicht besteht.
Wie die FIDO Allianz die Welt "Passwort-frei" machen will
Die FIDO-Allianz (FIDO = Fast Identity Online), ein Zusammenschluss globaler Unternehmen, widmet sich der Verbesserung der Online-Sicherheit durch die Verwendung von passwortlosen Authentifizierungsmethoden. Die Allianz hat sich zum Ziel gesetzt, die passwortlose Authentifizierung weltweit zu etablieren. Sie bietet Unternehmen und Entwicklern eine Reihe von Werkzeugen und Ressourcen, mit denen sie ihre Websites und Anwendungen sicherer machen können. Durch die Etablierung der passwortlosen Authentifizierung als Standard kann die FIDO-Allianz dazu beitragen, das Risiko von Datenschutzverletzungen zu reduzieren und das Vertrauen in das Internet als sichere Umgebung zu stärken.
Seit der Gründung der Allianz im Jahr 2013 haben sich mehr als 250 Organisationen der Allianz angeschlossen, darunter Technologiegiganten wie Google, Microsoft und Intel. Die Mitglieder der Allianz haben drei Kerntechnologien entwickelt, die jetzt unter dem Namen „FIDO2“ bekannt sind. Diese Technologien sind:
WebAuthn: Ein offener Standard, der von W3C entwickelt wurde und von allen grossen Browsern unterstützt wird. WebAuthn ermöglicht es Benutzern, ihre Anmeldeinformationen für Online-Dienste mit biometrischen Merkmalen oder hardwarebasierten Schlüsseln zu verwalten.
CTAP: Der Client-to-Authenticator-Protokollstandard ermöglicht es Geräten, mit Authentifizierungsgeräten zu kommunizieren, um den Besitz eines privaten Schlüssels zu überprüfen.
UAF: Die Universal Authentication Framework-Technologie ermöglicht es Benutzern, ihre biometrischen Merkmale für die Authentifizierung zu verwenden.
Die passwortlose, biometrische Authentifizierungsmethode FIDO2 schützt die Daten sehr effektiv, da es sehr schwierig ist, die biometrischen Merkmale zu replizieren. FIDO2 ist ausserdem sehr benutzerfreundlich und einfach zu bedienen. Benutzer müssen sich keine langen und komplizierten Passwörter merken und können sich stattdessen ganz einfach mit ihrer Biometrie anmelden. Auch die Tatsache, dass FIDO2 Open Source ist, ist ein grosser Vorteil, denn dadurch können Sicherheitsforscher die Technologie ständig weiterentwickeln und verbessern und so die Sicherheit noch weiter erhöhen.
FIDO und Zero Trust
FIDO ist ausserdem ein wesentlicher Bestandteil der Zero Trust-Sicherheit. Zero Trust ist ein Konzept, das darauf abzielt, jedem Netzwerkbenutzer den gleichen Zugriff auf Ressourcen zu gewähren, unabhängig davon, wo er sich befindet. Dieses Konzept setzt voraus, dass kein Benutzer vertrauenswürdig ist und dass alle Netzwerkaktivitäten überprüft werden müssen. FIDO bietet eine starke Authentifizierung, die es Netzwerkbenutzern ermöglicht, ihre Identität sicher zu bestätigen. Durch die Verwendung von Public Key Infrastructure (PKI) und biometrischen Merkmalen kann FIDO sicherstellen, dass nur autorisierte Benutzer auf Ressourcen zugreifen können. Darüber hinaus bietet FIDO einen hohen Grad an Flexibilität, da es sowohl mit herkömmlichen als auch neuartigen Authentifizierungsmethoden kompatibel ist. Dementsprechend ist FIDO eine ideale Lösung für Unternehmen, die nach einer Möglichkeit suchen, ihre Zero Trust-Initiative umzusetzen. Durch die Kombination von starker Authentifizierung und hoher Flexibilität kann FIDO sicherstellen, dass nur autorisierte Benutzer auf Ressourcen zugreifen können.
Wann wird die Zukunft Passwordless?
Tatsächlich hat die Zukunft bereits begonnen. Microsoft, Apple und Google verwenden diese Technologie bereits. Zwar geht es ganz ohne Passwörter noch nicht, aber Passwortlose Authentifizierung ist nicht nur eine zukunftsweisende Technologie, sondern bietet auch eine Reihe von Vorteilen gegenüber dem traditionellen Passwort-Modell. Zum einen ist die Verwendung von biometrischen Merkmalen wie Fingerabdrücken oder Gesichtserkennung erheblich sicherer als das Passwort-Modell, da es weitaus schwieriger ist, diese Arten von Informationen zu stehlen oder zu fälschen. Darüber hinaus ist die passwortlose Authentifizierungsoption in der Regel viel einfacher und intuitiver zu bedienen, was die Akzeptanz und Nutzung erheblich verbessert. Dennoch werden die traditionellen Passwörter in absehbarer Zeit nicht vollständig verschwinden. Aber: Immer mehr Unternehmen planen die Implementierung einer passwortlosen Authentifizierung. Bereits in wenigen Jahren könnte sich FIDO2 durchgesetzt haben.