Cybersecurity

Passwortlos – aber richtig: 7 Fehler, die es zu vermeiden gilt
Keine Kommentare

Die Zukunft ist passwortlos – dafür spricht die Entwicklung am Markt. Immer bessere digitale Identitäten sowie verfügbare Biometrie-Technologie erleichtern den sicheren Zugriff auf Onlinedienste ohne den Bedarf von kryptischen Zeichenfolgen. Doch auf dem Weg zu einer passwortlosen Infrastruktur gibt es einige Fallstricke. Al Lakhani, Gründer und Geschäftsführer der Münchner IDEE GmbH, zeigt, was es zu vermeiden gilt.

Die Abschaffung des Passworts ist keine Frage des „ob“, sondern des „wann“. Bis zu 82 Prozent der Cyberangriffe sind aktuell auf kompromittierte Passwörter zurückzuführen. Neben der Tatsache, dass auch lange und komplexe Passwörter durch Brute Force nach wie vor mit der richtigen Rechenleistung zu knacken sind, sind vor allem wir Menschen der größte Risikofaktor. Phishing und Insider-Threats sind durch Corona auf einem Allzeithoch und auch in Zukunft wird sich daran wohl nichts ändern. Es sei denn, man verfolgt mit letzter Konsequenz den Weg dahin, das Passwort aufzugeben. Denn auch Lösungen wie 2-Faktor-Authentifizierung (2FA) lassen sich durch geschicktes Phishing umgehen, und Passwortmanager und Single Sign-On (SSO) verbergen oder verschieben nur das Problem.

Das Gute ist: Es gibt schon heute Lösungen, die die Notwendigkeit von Passwörtern ablösen. Einige Anbieter schaffen es, bei der Authentifizierung von wissensbasierten Faktoren (Passwörter) zu Faktoren, die man besitzt (Smartphone-Authentifizierung), und Faktoren, die inhärent sind (Biometrie), zu wechseln. Denn bei einem wissensbasierten Faktor ist stets ungewiss, ob jemand anderes dieses Wissen auch hat. Mit anderen Worten: Für einen Nutzer ist nicht nachvollziehbar, ob eine andere Person das Passwort nicht auch kennt. Bei etwas wie einem persönlichen Smartphone, welches zur Authentifizierung dient, kann man sich sicher sein, dass es gerade niemand anderes in den Händen hält ohne, dass es der Nutzer bemerkt. Von einem Gesicht als biometrischer Faktor ganz zu schweigen.

Angular Camps 2021

Basic Camp für Einsteiger

Erfahren Sie eine strukturierte und nachvollziehbare Einführung in Angular. Alle Konzepte und Hintergründe leicht online erklärt!

Neu: Deep-Dive für Fortgeschrittene

Durchdringen Sie alle Konzepte von Angular. Lernen Sie mehr über Fallstricke, Missverständnisse und bewusste Einschränkungen. Als Online-Training oder vor-Ort in Düsseldorf!

Dennoch gibt es bei der Implementierung von passwortloser Technologie Fallstricke, die jeder Entwickler kennen und vermeiden sollte. Ziel sollte es sein, dass passwortlose Authentifizierung als Teil einer Zero-Trust-Architektur eingebunden ist. Zero Trust beruht dabei auf einigen Grundprinzipien:

  • Alle Daten und Geräte werden als Ressourcen betrachtet. Geräte von Mitarbeitern beispielsweise, müssen im Sicherheitskonzept mitgedacht werden, wenn sie genutzt werden können, um auf Firmendaten zuzugreifen
  • Die Kommunikation muss gesichert sein, egal ob innerhalb oder außerhalb des Netzwerkes. Authentifizierung und Verschlüsselung muss stets Teil der Kommunikation sein
  • Zugang zu individuellen Unternehmensressourcen darf nur auf Anfrage erteilt werden und ist dann auf die jeweiligen Ressourcen beschränkt
  • Zugriff wird durch klare Richtlinien bestimmt, die Identität, System und weitere Attribute einschließt
  • Eigene und angebundene Systeme werden einem kontinuierlichen Monitoring unterzogen, um höchste Sicherheitsstandards aufrecht zu erhalten
  • Die Authentifizierung des Nutzers muss vor dem Zugriff streng kontrolliert werden

Um diesen Goldstandard der Cybersecurity zu erreichen, sind einige Maßnahmen in der Entwicklung notwendig. Um beim Thema passwortloser Authentifizierung Fehler von vornherein zu vermeiden, sind hier die größten Fallstricke hier in 7 Punkten zusammengefasst:

1. „Passwordless Experience“ ist nicht gleich „Truly Passwordless“

Nicht jeder scheinbar passwortloser Ansatz ist auch echt passwortlos. Viele Lösungen versuchen lediglich, das Passwort vor dem Nutzer in der Nutzererfahrung zu verbergen – man spricht hier von „Passwordless Experience“. Passwortmanager sind ein Beispiel dafür: Hier wird ein einzelnes Passwort im Hintergrund, für den Nutzer unsichtbar, wiederholt. Das sorgt für eine reibungslose Nutzererfahrung, löst jedoch nicht das eigentliche Grundproblem: Woher wissen Sie, dass niemand Ihr Passwort kennt? Ist das Passwort einmal kompromittiert, wird dadurch Zugang zu allen Ressourcen gewährt und dem Angreifer stehen alle Türen offen – sogar zu individuellen anderen Nutzerkonten. Die Risiken der schwachen Authentifizierung bleiben also bestehen.

Ziel von passwortloser Technologie ist es nicht, die Zahl der Passwörter zu verringern oder vor dem Nutzer zu verbergen, sondern eine komplett unabhängige Alternative zu schaffen, die ganz ohne Passwörter auskommt. Während die „Passwordless Experience“ zwar gewisse Vorteile hat, wie zum Beispiel, dass ein Nutzer sich nur noch ein Passwort merken muss, ist sie denoch keine echt passwortlose Technologie und alle Nachteile von Passwörtern im Allgemeinen bleiben bestehen. „Truly Passwordless“ bedeutet, dass die Authentifizierung nur durch eine Reihe von starken Authentifizierungsfaktoren, wie Besitz oder Inhärenz, stattfindet und vollständig auf wissensbasierte oder zentral gespeicherte Faktoren verzichtet. So ist „Truly Passwordless“-Technologie fundamental stärker und vermeidet nebenbei sämtliche passwortbasierte Angriffsvektoren wie Phishing oder Credential Stuffing.

2. Verwenden Sie keine Anmeldedaten, die nicht an ein bestimmtes Gerät gebunden sind

Ein guter Schritt in Richtung passwortloser Technologie ist sicherlich, die Anmeldedaten für ein Nutzerkonto auf einem Gerät zu hinterlegen. So muss der Nutzer unter Beweis stellen, dass er im Besitz des Geräts ist, um sich so einzuloggen. Wer also sichergehen will, dass der Besitz eindeutig einer bestimmten Identität zuzuordnen ist, muss sicherstellen, dass die Anmeldedaten an ein bestimmtes Gerät gebunden sind. Eine Lösung ist, dass eine Authenticator-App auf dem Gerät nur von einer bestimmten Person durch einen inhärenten Faktor geöffnet werden kann. So wird beim Zugriff auf ein System die Authenticator-App auf einem Gerät angepingt – bevor der Nutzer sich jedoch mit seinem Gerät authentifizieren kann, muss er durch Biometrie nachweisen, dass er auch der rechtmäßige Besitzer des Geräts ist. Durch die Verkettung der Faktoren, übersteigt diese Methode die Sicherheit eines Fido-Sticks, der auch in fremde Hände gelangen kann, und stellt sicher, dass der Faktor Besitz nicht durch Klonen des Geräts missbraucht werden kann.

3.Verwenden Sie kein implizites Vertrauen, wenn Sie neue Geräte hinzufügen

Gerätebasierte Authentifizierung ist, wie oben bereits beschrieben, ein sinnvoller Ansatz, um wissensbasierte Faktoren zu vermeiden. Doch was passiert, wenn versucht wird, das System durch das Hinzufügen eines neuen Geräts zu umgehen. Um auch hier für Eindeutigkeit bei der Authentifizierung zu sorgen, muss die Identität sicher bestätigt werden. Das heißt: eine Bestätigung im E-Mail-Postfach ist nicht sicher genug. Eine E-Mail-Adresse kann kompromittiert sein, und so bei der Wiederherstellung eines Benutzerkontos oder eben bei der Neueinrichtung eines Geräts eine einfache Möglichkeit für Angreifer sein, die Identitätsbindung zu umgehen. Die Methode zur Einrichtung neuer Geräte sollte genauso stark sein wie die Authentifizierungsmethode. Der bequemste Weg, dies zu erreichen, ist sicherlich, dass die Benutzer das Hinzufügen eines neuen Geräts mit dem aktuellen Authentifizierungsgerät genehmigen.

4. Verwenden Sie keine schwachen Authentifizierungsfaktoren

Dieser Punkt mag offensichtlich erscheinen, ist aber ein wichtiger Aspekt und die zentrale Grundlage: Während des gesamten Prozesses dürfen keine schwachen Authentifizierungsfaktoren Verwendung finden. In der Praxis sieht dies oft anders aus. Viel zu oft kommen unnötigerweise schwache Authentifizierungsfaktoren wie SMS, Magic-Link, manuelle Eingabe oder ein Wissensfaktor zum Einsatz. Dies sollte nach Möglichkeit vermieden werden. Starke Faktoren wie der Besitz und die Kontrolle eines kryptographischen Schlüssels, der in einem sicheren Element eines Smartphones gespeichert ist, ist der bevorzugte Weg.

5. Shared Secrets sind zu vermeiden

Auch Cybersecurity-Firmen sind nicht vor Hackerangriffen gefeit. Ein gewisses Restrisiko bleibt immer bestehen. Sollte also ein Angreifer sich einmal Zugriff zu einem Identity Provider (IdP) verschaffen, der Credentials aller angelegten Identitäten in einer zentralen Datenbank speichert, hat der Angreifer Zugriff auf sämtliche Kundensysteme. Es ist schließlich egal, ob die Credentials auf dem Firmenserver gespeichert sind oder auf dem des Serviceproviders – ein Datenleak hätte die gleichen verheerenden Folgen. Doch auch hier gibt es einen Ausweg: Anstatt sich auf zentrale und vermeintlich sichere Datenbanken zu verlassen, sollten Credentials als asymmetrische Schlüssel angelegt werden. So können die Anmeldedaten dezentral auf dem Sicherheitschip des Smartphones hinterlegt werden. Ein Angreifer kann also selbst, wenn er sich Zugang zu einem IdP verschafft, nicht an Zugangsdaten gelangen.

6. Vermeiden Sie serverbasierte Account-Wiederherstellung

Auch in einer passwortlosen Technologie können Accounts verloren gehen – beispielsweise durch den Verlust oder die Beschädigung des Besitz-Faktors. Die sichere Wiederherstellung eines Accounts ist eine der wichtigsten Aspekte, wenn es darum geht passwortlose Authentifizierung zu erreichen und seine Vorteile nicht unnötig zu untergraben. Entscheidend ist, dass nur der echte Nutzer Zugriff auf den wiederhergestellten Datensatz hat. Das ist nur dann möglich, wenn die Identität sicher authentifiziert ist und die Wiederherstellung nutzerseitig verläuft. Zu keinem Zeitpunkt sollte die Wiederherstellung serverseitig stattfinden. Schließlich sollen nach wie vor serverbasierte Insider-Attacken und Credential Harvesting ausgeschlossen werden.

7. Sicherheitsrisiken stets holistisch betrachten

Ein häufiger Fehler bei der Stärkung der Sicherheitsarchitektur ist, dass oft lediglich ein einzelner Aspekt angepasst wird. Unternehmen sind beispielsweise bestrebt, die Zugriffskontrolle zu verbessern und richten ihre Maßnahmen nach diesem Ziel aus, ohne dabei die anderen Komponenten der Architektur zu berücksichtigen. Außerdem herrscht ein konstanter Zielkonflikt zwischen Sicherheit und Benutzerkomfort, der ebenfalls nicht außer Acht gelassen werden sollte. Beides führt bei einer siloartigen Betrachtung dazu, dass die Optimierung einer Funktion auf Kosten eines anderen Sicherheitsfeatures erfolgt. Gerade beim Schutz der Unternehmens-IT sollte daher stets darauf geachtet werden, dass Entwickler sich der potentiellen Bedrohungen, die im Zuge von Anpassungen entstehen können, bewusst sind. Bedrohungsmodelle, wie das von IDEE, können hier helfen, eine umfassende Bewertung vorzunehmen und entsprechend fundierte Entscheidungen zu treffen.

Fazit: Ein rundum sicheres Gefühl

Unternehmen, die ihre Authentifizierung verbessern wollen, werden nicht umhinkommen, auf passwortlose Ansätze zu vertrauen. Der Wechsel ist dabei nicht so kompliziert und aufwendig, wie es auf den ersten Blick scheint. Wichtig ist, dass die oben genannten Punkte bei der Implementierung berücksichtigt werden. Während die Wahl des Ansatzes von der jeweiligen Risikobereitschaft des Unternehmens abhängt, sind die meisten Firmen gut beraten, auf eine MFA mit echt passwortloser Authentifizierung zu setzen. Damit lässt sich in der Regel eine ausgewogene Mischung zwischen Sicherheit und Nutzerfreundlichkeit erreichen, ohne die Kosten unnötig in die Höhe zu treiben. Wird ein solcher Ansatz gewählt, müssen Entwickler darauf achten, dass Aspekte wie die Registrierung, die Absicherung der Authentifizierungsmethode oder die Wiederherstellungsoptionen entsprechend sicher konzipiert sind.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments
X
- Gib Deinen Standort ein -
- or -