Welt-Passwort-Tag: Sollen wir den Tag streichen oder lieber umbennen?

Bereits 2004, während der damaligen RSA-Sicherheitskonferenz, prophezeite Bill Gates als damaliger CEO von Microsoft den Untergang der Passwörter: „Es besteht kein Zweifel, dass sich Menschen im Laufe der Zeit immer weniger auf Passwörter verlassen werden.“

Obwohl diese allgemeine Beobachtung sicher zutreffend war, scheint es, dass die Passwortnutzung tatsächlich eher zugenommen hat und die Probleme mit Passwörtern weiter bestehen. Obwohl Passwörter ein gewisses Maß an Benutzerauthentifizierung und Sicherheit bieten, sind sie leicht zu kompromittieren. Die Ausübung einer wirksamen Authentifizierungs-Richtlinie hängt von zwei wichtigen Faktoren ab: Sicherheit und Benutzererfahrung. Wenn sich ein Unternehmen ausschließlich auf starke Sicherheit konzentriert, ist ihr Sicherheitsprogramm zum Scheitern verurteilt. Benutzer werden immer Wege finden, jede noch so strenge Sicherheitsrichtlinie zu umgehen. Auf der anderen Seite ist die ausschließliche Konzentration auf die Benutzererfahrung kein gangbarer Weg. Passwörter verbreiten sich immer noch, weil sie aus einer relativ einfachen Authentifizierungslösung bestehen. Sie sind billig und erfordern keine besonderen Fähigkeiten, um erstellt zu werden. Aber sie sollten niemals das einzige Mittel zur Authentifizierung von Benutzern sein.

Passwörter sind schlecht für die IT-Sicherheit

Laut dem Data Breach Investigations Report von Verizon waren 81 Prozent der Sicherheitsverletzungen das Ergebnis von schwachen, gestohlenen oder wiederverwendeten Passwörtern. Bedrohungen wie Man-in-the-Middle-Angriffe und Man-in-the-Browser-Angriffe nutzen die User aus, indem sie einen Anmeldebildschirm imitieren und den Benutzer zur Eingabe seiner Passwörter auffordern. In der Cloud ist es sogar noch unsicherer. Dort gehostete Anmeldeseiten sind vollständig offengelegt, wodurch ein krimineller Akteur Phishing- oder Brute-Force-Angriffe gegen öffentlich bekannte Anmeldeseiten wie outlook.com durchführen kann. Infolgedessen zeigt der Thales 2020 Access Management Index (AMI), dass nur 29 Prozent der Unternehmen Passwörter als ein wirksames Mittel zum Schutz ihrer IT-Infrastruktur bewerten. Tatsächlich geben allerdings 67 Prozent (75 Prozent in Deutschland) der Befragten an, dass ihre Unternehmen planen, die Verwendung von Benutzernamen und Passwörtern in Zukunft sogar auszuweiten. Immerhin haben fast alle befragten (94 Prozent und 93 Prozent in Deutschland) Unternehmen ihre Sicherheitsrichtlinien in Bezug auf die Zugangsverwaltung in den letzten zwölf Monaten geändert.

Um diese Schwäche zu bekämpfen, greifen Unternehmen auf starke Passwortrichtlinien zurück. Sie verlangen von ihren Beschäftigten Passwörter, die ein komplexes Durcheinander von zufälligen Zeichen sind, die nicht einmal versuchen, ein tatsächliches Wort zu emulieren – und dass jedes Passwort für jedes Konto eindeutig sein muss.

Richtliniengesteuerte Passwort-Stärken und -Rotation führen zu Passwort-Ermüdung und tragen damit zu einer schlechten Passwort-Verwaltung bei. Der Data Breach Investigation Report von Verizon zeigt, dass über 70 Prozent der Mitarbeiterinnen und Mitarbeiter Passwörter für berufliche und private Konten wiederverwenden. Ein böswilliger Akteur könnte daher die Zugangsdaten eines Beschäftigten missbrauchen, um auf andere Anwendungen und vertrauliche Kundendaten zuzugreifen. Die Menschen neigen auch dazu, leicht zu knackende Passwörter zu wählen, weil sie Probleme haben, sich Passwörter zu merken. Eine Analyse von über fünf Millionen durchgesickerten Passwörtern ergab, dass zehn Prozent der Bevölkerung eines der 25 schlechtesten Passwörter verwendeten. Sieben Prozent der Benutzer in Unternehmen hatten extrem schwache Passwörter.

Wenn man die oben genannten Passwort-Risiken und Schwachstellen mit der inhärenten menschlichen Voreingenommenheit verbindet, eine Bedrohung außerhalb unserer physischen Welt nicht einschätzen zu können, es sei denn, wir sind bereits Opfer einer böswilligen Aktivität geworden, dann ist es leicht zu verstehen, dass es mehr als einen Welt-Passwort-Tag braucht, um effektive Authentifizierungsgewohnheiten zu haben.

Passwortlose Authentifizierung

Die Technologie der passwortlosen Authentifizierung ist so weit fortgeschritten, dass Unternehmen sich nicht mehr auf Passwörter verlassen müssen. Die Ergebnisse des AMI-Reports zeigen, dass 96 Prozent der Befragten annehmen, dass starke Authentifizierungs- und Zugriffsmanagementlösungen eine sichere Cloud-Nutzung erleichtern können. Darüber hinaus planen 70 Prozent den Einsatz von kennwortlosen Authentifizierungsmethoden.

Die kennwortlose Authentifizierung ersetzt Kennwörter durch andere Methoden der Identitätsprüfung, wodurch die Sicherheit und der Komfort verbessert werden. Diese Art der Authentifizierung hat an Zugkraft gewonnen, weil sie den Benutzern die Anmeldung erleichtert und die den textbasierten Passwörtern innewohnenden Schwachstellen überwindet. Zu diesen Vorteilen gehören ein höheres Maß an Sicherheit, das für jede Anwendung geboten wird, und – das Beste von allem – die Eliminierung des alten Passworts.

Es gibt verschiedene Ebenen der kennwortlosen Authentifizierung, die ein durchaus höheres Maß an Sicherheit bieten. Die Implementierung eines bestimmten Modells hängt vom Grad der Identität, Authentifizierung und Föderation ab, den ein Unternehmen auf der Grundlage der Geschäfts- und Sicherheitsrisiken und der Sensibilität der zu schützenden Daten anwenden möchte.

Gartner prognostiziert, dass 60 Prozent der großen und globalen Unternehmen sowie 90 Prozent der mittelständischen Betriebe bis 2022 in 50 Prozent der Fälle kennwortlose Authentifizierungsmethoden implementieren werden. Diese Veränderung wird einen Anstieg von heute weniger als fünf Prozent bedeuten.

Um die Eingangs gestellte Frage zu beantworten, müssen wir den Passwort-Tag streichen oder umbennen? Nein, wir sollten diesen Tag nicht streichen. Ja, wir sollten ihn in „World Passwordless Day“ umbenennen, um Menschen und Unternehmen dazu zu zwingen, schwache und schlechte Passwörter aufzugeben und adaptive, passwortlose Authentifizierungsmechanismen einzuführen, die mit der abgrenzungslosen Natur des modernen Geschäftslebens kompatibel sind.

Wenn Sie mehr darüber erfahren möchten, wie Unternehmen ihre Sicherheit ohne Passwörter erhöhen können, erfahren Sie hier mehr über die Passwortlose Authentifikation.

Autor

Danna Bethlehem Coronel

Director Product Marketing Identity and Access Management (IAM)