In diesem Cybersecurity Awareness Month ist die Zeit für schwache Authentifizierung abgelaufen.
Passwörter sind seit langem die Standard-Sicherheitsmethode zum Schutz aller Arten von Konten, sowohl beruflich als auch privat. Obwohl es besser ist als gar kein Schutz, sind Passwörter nachweislich anfällig für die heute häufigsten Cyberangriffe und anfällig für gängige Betrügereien zum Diebstahl von Anmeldeinformationen wie Phishing, Passwortsprühen und Man-in-the-Middle (MitM)-Angriffe. Sie sind zweifellos die am wenigsten effektive Methode zur Sicherung von Online-Daten.
Infolgedessen sehen wir, dass immer mehr Organisationen (und Einzelpersonen) auf eine passwortlose Authentifizierung umsteigen, bei der Konten mit alternativen Methoden zur herkömmlichen Kombination aus Benutzername und Passwort gesichert werden. Unternehmen, die ihre Cybersicherheit in diese Richtung lenken möchten, wird dringend empfohlen, sich für starke Multi- oder Zwei-Faktor-Authentifizierungslösungen (MFA/2FA) zu entscheiden, um sie in ihre allgemeine Cybersicherheitsstrategie zu integrieren. Sowohl MFA- als auch 2FA-Authentifizierungslösungen erfordern, dass ein Benutzer zwei oder mehr Formen der Identitätsprüfung als zusätzliche Sicherheitsebene vorlegt, um dies zuzulassen
Benutzerzugriff.
Allerdings ist nicht jede Multi-/Zwei-Faktor-Authentifizierung gleich. Beispielsweise sind Einmal-Passcodes (OTPs), die per SMS gesendet werden, und mobile Authentifizierungs-Apps die beliebtesten Formen von 2FA. Und obwohl jede Form von 2FA eine bessere Sicherheit bietet als nur eine Kombination aus Benutzername und Passwort, sind sie anfällig für Phishing, MitM-Angriffe, SIM-Tausch und Kontoübernahmen. Was die Benutzerfreundlichkeit betrifft, mag die Eingabe eines OTP relativ einfach erscheinen, aber multiplizieren Sie dies mit der Anzahl der täglich verwendeten Anmeldungen und Apps, und es kommt schnell zu Reibungen. Darüber hinaus ist es darauf angewiesen, dass das Gerät des Benutzers aufgeladen wird und zu einem bestimmten Zeitpunkt ein Signal hat.
Die Bereitstellung starker Sicherheit ohne Beeinträchtigung der Benutzerfreundlichkeit war noch nie so wichtig wie im Zeitalter der Fernarbeit. Hybride Arbeitspraktiken werden weitgehend durch die Pandemie vorangetrieben und Unternehmen müssen sicherstellen, dass ihre Sicherheitsstrategien zweckmäßig sind. Unsere Untersuchung von 2021 zum Thema „Cybersicherheit in der Ära der Arbeit von überall“ ergab, dass sich 42 % anfälliger für Cyberbedrohungen fühlen, wenn sie von zu Hause aus arbeiten, wobei sich 39 % von der IT nicht unterstützt fühlen, während 62 % angaben, keine Cybersicherheitsschulung für die Fernarbeit absolviert zu haben.
Trotz der tiefgreifenden Veränderungen in den Arbeitspraktiken, die wir in den letzten zwei Jahren erlebt haben, kämpfen selbst einige der weltweit größten Unternehmen weiterhin mit Passwörtern und veralteten MFA-Lösungen wie OTPs. Viele erleben jetzt auch erfolgreiche Angriffe gegen die Nutzung durch Mitarbeiter
von Push-Benachrichtigungssystemen. Authentifizierungsschemata, die auf der Verwendung symmetrischer Geheimnisse (z. B. Passwörter und Einmalpasswörter) beruhen, und Systeme, die anfällig für versehentliche Bestätigung sind (im Fall von Push-Benachrichtigungen), gehören zu den schwerwiegendsten und grundlegendsten Sicherheitsproblemen, denen man sich heute gegenübersieht. Sie werden jedoch weiterhin weltweit eingesetzt, und wir sehen einfach nicht den gleichen fokussierten Ansatz zur Lösung dieses Problems wie in anderen Bereichen der Informationssicherheit.
Als „Quick-Fix“-Lösung implementieren Unternehmen häufig Ansätze, um schrittweise Änderungen am Ansatz des Angreifers abzuschwächen. Dies kann beispielsweise das Erhöhen der Passwortlänge, das regelmäßige obligatorische Zurücksetzen von Passwörtern, Anforderungen in Bezug auf Zeichenkombinationen und den Einsatz von Technologie zum Vergleichen von Passwörtern mit bekanntermaßen gebrochenen Passwörtern umfassen. Diese Ansätze sind jedoch grundlegend fehlerhaft und verzögern weiterhin die Einführung von Authentifizierungssystemen. Um sinnvolle Fortschritte beim Stoppen der zunehmenden Anzahl von Angriffen auf diese veralteten Mechanismen zu erzielen, ist es wichtig, dass
Wir hören auf, sie zu beheben, und fangen an, sie als Schwachstellen zu betrachten, so wie wir es mit anderen Legacy-Lösungen (z. B. MD5, SSL und Telnet) getan haben.
Beispielsweise bietet FIDO2, ein offener Authentifizierungsstandard, der von der FIDO Alliance gehostet wird, erweiterte moderne Authentifizierungsoptionen, einschließlich starker Single-Factor (passwortlos), starker Zwei-Faktor- und Multi-Faktor-Authentifizierung. FIDO ist eine Reihe von Authentifizierungsprotokollen, die speziell darauf abzielen, eine sichere Authentifizierung bereitzustellen, die Privatsphäre der Benutzer zu schützen und bestehende passwortbasierte Anmeldeprozesse zu verstärken. FIDO2 spiegelt die neuesten digitalen Authentifizierungsstandards wider und ist ein Schlüsselelement bei der Lösung von Problemen im Zusammenhang mit der traditionellen Authentifizierung und der Beseitigung der globalen Verwendung von Passwörtern. Benutzer können sich einfach über Geräte mit integrierten Sicherheitstools – wie Fingerabdruckleser, Smartphone-Kameras oder hardwarebasierte Sicherheitsschlüssel – authentifizieren, um auf ihre digitalen Informationen zuzugreifen.
Phishing-resistente Protokolle, die in einem physischen Sicherheitsschlüssel implementiert sind und FIDO2-fähig sind, gelten als erstklassige Lösungen, um ausgeklügelte Cyberangriffe wie Phishing im Keim zu ersticken. Immer mehr Unternehmen entscheiden sich jetzt für MFA-Lösungen und FIDO2-Protokolle, die auch von globalen Organisationen, Betriebssystemplattformen und Online-Browsern wie Apple, Salesforce, TwitterGoogle Microsoft, und die US-Regierung.
Der Weg zum Passwortlosen ist nicht immer glatt oder geradlinig. Organisationen können sich jedoch den Weg erleichtern, indem sie ihre Benutzer in jeder Phase mit einbeziehen und sich auf Interoperabilität konzentrieren. Hardwarebasierte Sicherheitsschlüssel bieten eine starke Authentifizierung und reduzieren gleichzeitig Reibungsverluste bei der Anmeldung im Vergleich zu anderen mehrstufigen Authentifizierungsprotokollen. Letztendlich sollten die richtigen passwortlosen Lösungen das Leben für alle Benutzer einfacher und sicherer machen: eine Win-Win-Situation für alle in diesem Cybersecurity Awareness Month.
