Warum sind Passwörter so schwer zu ersetzen?

Nic Sarginson, Principal Solutions Engineer bei Yubico skizziert, wie die Gefahren von Passwörtern ein Weckruf für Unternehmen und Mitarbeiter sein sollten, die sich an riskanten Passwortaktivitäten beteiligen.

In diesem Jahr war der World Password Day eine jährliche Erinnerung an die noch akutere Bedeutung der Online-Sicherheit. Wir alle haben uns mehr als sonst auf digitale Dienste verlassen, wobei hybride Arbeitsumgebungen, Online-Shopping und digitales Banking für viele im Lockdown die Norm sind. Starke Passwörter und solide Passwortpraktiken sind die absoluten Mindestvoraussetzungen für die Sicherung von Online-Identitäten, aber sie haben sich immer wieder als unangemessen als einzige Verteidigungslinie erwiesen. 

Passwörter sind seit ihren bescheidenen Anfängen in kleinen internen Netzwerken, in denen ein gewisses Maß an Vertrauen bestand, über alles hinausgewachsen, was wir uns hätten vorstellen können. Jetzt benutzen wir sie die ganze Zeit, und sie sind der Aufgabe nicht mehr gewachsen. Unternehmen haben dies wohl zu spät erkannt, aber Passwörter sind so tief in Prozesse und Systeme sowie in die Psyche der Benutzer eingebettet, dass sich die Menschen weiterhin ausschließlich auf sie verlassen. 

Riskante Passwortpraktiken

Dennoch Forschungsprojekte zeigt uns, dass 39 Prozent der Menschen Passwörter über Arbeitsplatzkonten hinweg wiederverwenden und, was noch besorgniserregender ist, dass 51 Prozent Passwörter manchmal oder häufig mit Kollegen teilen. Dies sind riskante Verhaltensweisen, die Unternehmen angreifbar machen, falls ein Kennwort kompromittiert wird. 

Sogar Passwörter, die die Kriterien erfüllen, um als stark zu gelten, weil sie einzigartig und komplex sind, haben Schwächen. Sie sind für moderne Phishing-Angriffe nicht unverwundbar, und ihre scheinbare Stärke wird ausgelöscht, wenn die Leute sie auf einem Post-it-Zettel oder einem Dokument niederschreiben, auf das leicht zugegriffen werden kann. 

Es ist leicht, den Benutzer für all dies verantwortlich zu machen. Den Leuten wird gesagt, dass sie einzigartige und komplexe Passwörter wählen sollten. Sie sollten sie nirgendwo aufzeichnen. Sie sollten sie regelmäßig wechseln. Ein solcher Ausblick verfehlt völlig den Punkt der User Experience. Die Authentifizierung sollte reibungslos erfolgen. Stark, ja absolut, aber auch anderweitig verwendbar, die Leute werden Workarounds finden, um das zu tun, was sie tun müssen. Dazu gehört, Passwörter aufzuzeichnen, wiederzuverwenden und sogar zu teilen.  

Der World Password Day sollte ein Weckruf sein 

Es ist an der Zeit, die Authentifizierungspraktiken zu stärken und die Bedürfnisse der zu authentifizierenden Personen in den Mittelpunkt eines neuen Ansatzes zu stellen. Unternehmen sollten die Multi-Faktor-Authentifizierung (MFA) in ihren Organisationen einsetzen, da sie mehr als eine Methode zur Bestätigung der Identität eines Benutzers verwendet. Typischerweise ist immer noch ein Passwort die erste Prüfung, die jedoch durch zusätzliche Faktoren wie ein Einmalpasswort (OTP), einen Sicherheitsschlüssel oder eine biometrische Kennung wie einen Fingerabdruck ergänzt wird. 

Glücklicherweise gibt es Anzeichen für MFA-Fortschritte. Fast drei Viertel (74 Prozent) der Befragten zu a Yubico/451 Forschungsstudie sagten, dass ihre Organisationen planen, die Ausgaben für MFA in diesem Jahr zu erhöhen. Sie setzen mobile OTP-Authentifikatoren (58 Prozent der Befragten), Biometrie (54 Prozent), mobile Push-basierte MFA (48 Prozent) und SMS-basierte MFA (41 Prozent) ein.

Der Haupttreiber dafür ist natürlich die erhöhte Sicherheit. Dieselbe Umfrage lässt jedoch einige Alarmglocken in Bezug auf die Benutzererfahrung aufkommen. Benutzerfreundlichkeitsfunktionen gehören zu den Hauptgründen für die Einführung von MFA – nur von 16 Prozent genannt. Tatsächlich war die Benutzererfahrung für 43 Prozent der Befragten das Hauptanliegen oder der Hauptnachteil bei der Bereitstellung von MFA.

Die MFA-Benutzererfahrung

Unternehmen sollten die Bedeutung der Benutzerfreundlichkeit bei der Einführung von erweiterter Sicherheit erkennen. Letztendlich, Forschung zeigt, Die meisten Einzelpersonen werden nur neue Technologien übernehmen, die einfach zu verwenden sind und die Kontosicherheit erheblich verbessern.

Die Herausforderung besteht darin, erhöhte Sicherheit mit Benutzerfreundlichkeit und Komfort in Einklang zu bringen, und hier muss mehr getan werden, um eine Übereinstimmung zwischen IT und Benutzern zu erreichen. Während mobile Apps und SMS-basierte MFA bei unseren befragten Managern und IT-Experten eine beliebte Wahl sind, ergab unsere frühere Studie, dass 54 Prozent der Personen der Meinung sind, dass SMS oder mobile Apps ihren Arbeitsablauf stören, und 23 Prozent sie als sehr unbequem empfinden.

Hardwarebasierte MFA-Sicherheitsschlüssel bieten eine andere Möglichkeit. Mitarbeiter registrieren ihren Schlüssel mit den von ihnen verwendeten Anwendungen und Geräten. Wenn sie sich anmelden, präsentieren sie den Schlüssel als Teil eines Authentifizierungsprozesses, der beweist, dass sie die sind, die sie sagen. Dieser Ansatz führt etwas, das der Benutzer hat, in den Authentifizierungsworkflow ein, anstatt sich nur auf etwas zu verlassen, das er kennt (ein Passwort) mit all den uns bekannten Mängeln. Im Hintergrund finden komplexe kryptografische Aktionen statt, die nicht nur beweisen, dass der Benutzer der ist, für den er sich ausgibt, sondern dass der Dienst, mit dem er sich verbindet, auch echt ist. Erweiterter Schutz, sowohl für den Benutzer als auch für das Unternehmen, tritt ein, doch die Erfahrung des Benutzers ist eine einfache Berührung oder vielleicht eine PIN-Eingabe.

WEITERLESEN: 

• Jeeva enthüllt den drahtlosen Chip mit dem weltweit niedrigsten Stromverbrauch
• Die Zukunft der Technologie im Gesundheits- und Sozialwesen
• Bahnbrechende Forschungsergebnisse von Xactly heben die Störungen hervor, die Vertriebsorganisationen im Jahr 2020 verändert haben, und geben einen Ausblick auf die Zukunft
• Was können Unternehmen von der digitalen Transformation in Zeiten von COVID lernen?

Unternehmen benötigen klare IT-Sicherheits-Roadmaps, um sie von derzeit unzureichenden Passwortpraktiken zu stärkerer Sicherheit für besseren Schutz zu führen. Passwörter haben sich als überraschend widerstandsfähig erwiesen, da die Digitalisierung eine immer zentralere Rolle in unserem Leben eingenommen hat, aber sie sind nicht schwer durch die richtige Technologie zu ersetzen. Angesichts der Vermischung von Arbeits- und Heimnetzwerken und -flüssen ist es jetzt an der Zeit zu handeln.  

Vergessen Sie nicht, unser tägliches Bulletin zu abonnieren, um weitere Neuigkeiten von Top Business Tech zu erhalten!

Folge uns auf  LinkedIn und Twitter