Wann haben Sie das letzte mal ein Passwort zurücksetzen müssen? Haben Sie vielleicht einen Arbeitsaccount nach langer Zeit mal wieder nutzen wollen? Oder war es der Online-Shop, bei dem Sie sich sicher sind, ein Benutzerkonto angelegt zu haben?

Passwort vergessen? Das zurücksetzen kostet Zeit und Geld. Passwortlose Authentifizierung macht das Merken von komplexen Passwörtern überflüssig.

Keine Sorge, es geht nicht nur Ihnen so. Eine Studie im Auftrag der Centrify Corporation schätzte den monetären Verlust durch Passwort-Resets im Jahr auf rund 420$ pro Mitarbeiter. Das ist eine Menge Geld dafür, dass Mitarbeiter nur wertvolle Zeit mit Passworterstellung vergeuden. Aber das ist nur ein Problem von vielen, die Passwörter mit sich bringen und die durch passwortlose Authentifizierung gelöst werden können.

1. Passwörter sind Schwachstellen – wegen uns Menschen

Wenn sie ein neues Passwort erstellen, legen es die meisten Nutzer so an, dass sie es sich merken können. Auch wenn es keines aus der Top25 der schlechtesten Passwörter ist (Platz 1: “123456”), so benutzen sie oft dasselbe Passwort für mehrere Accounts. Rund 52 % befragter Personen geben an, dies regelmäßig zu tun. Das Problem: Sind die Daten eines Accounts einmal gestohlen, nutzen Hacker diese, um sich in andere Accounts einzuloggen. Der Mensch ist nun einmal vergesslich und zufallsgenerierte Zeichenfolgen sind schwer zu merken; so wird der Mensch zur Schwachstelle für die IT-Sicherheit.

Liste der schlechtesten Passwörter 2019

2. Auch komplizierte Zahlenfolgen sind hackbar

Auch wenn Nutzer bei ihrem Passwort alle Vorschriften berücksichtigen, können Hacker mit den richtigen Methoden Passwörter herausfinden. Dabei ist es gleich, ob die Passwörter Zahlen, große und kleine Buchstaben und Sonderzeichen enthalten. Software und Algorithmen erraten ein Passwort, indem sie auf der Grundlage von Standard-Passwortanforderungen (z. B. 8 Zeichen, mindestens 1 Großbuchstabe oder mindestens 1 Zahl) Milliarden von Möglichkeiten innerhalb von Sekunden kombinieren. Mit der notwendigen Rechenleistung ist es nur eine Frage der Zeit, bis ein Hacker das Passwort herausfindet.

3. Passwortmanager verschieben nur das Problem

Passwortmanager können uns hier Arbeit abnehmen. Bei einem Passwortmanager legt man nur ein einziges, sehr starkes (also langes) Master-Passwort fest. Hinter diesem ersten Passwort werden alle weiteren Passwörter gespeichert. Dabei können für jeden Login zufällige Zeichenfolgen generiert werden – praktisch, da man sich ja nur das Master-Passwort merken muss. Da kommt aber wieder Punkt 1 zum Tragen: Der Mensch bleibt hier die Schwachstelle, denn auch ein Master-Passwort kann vergessen oder mit zu geringer Sorgfalt ausgewählt werden.

4. Auch 2-Faktor-Authentifizierung hilft nur bedingt

Natürlich gibt es noch Möglichkeiten, ein Passwort durch einen zusätzlichen Faktor zu sichern. Beliebt ist ein SMS-Versand, der bestätigt, dass gerade versucht wird, auf ein Benutzerkonto zuzugreifen. Ganz klar: Diese Methode sollten Sie unbedingt anwenden, um wichtige Zugänge zusätzlich abzusichern. 

Dennoch muss Ihnen klar sein: Durch gezieltes Phishing ist es Unbefugten auch hier möglich, sich Zugang zu verschaffen. Phishing attackiert NutzerInnen durch eine gefälschte E-Mail, die bspw. vorgibt, dass sie mit Dringlichkeit von Ihrer Bank verschickt wurde. Über einen Link wird das Opfer auf eine gefälschte Website geleitet, um dort alle nötigen Daten für den Log-in anzugeben – auch den SMS-Code, der für den Log-in benötigt wird.

Und nun?

Passwortlose Authentifizierung: Biometrie als sichere Alternative zum Passwort

Passwortlose Authentifizierung: Besserer Passwortschutz ohne Passwort?

Wie schön wäre es nach diesem kleinen Ausflug in die Passwortsicherheit, wenn wir ganz auf Passwörter verzichten könnten? Heutzutage gibt es Lösungen, die ohne komplizierte Zahlenfolgen auskommen: Die passwortlose Authentifizierung. Das Grundprinzip ist Folgendes: Anstelle von einer Authentifizierung durch etwas, das der Nutzer weiß (ein Passwort), wäre es besser, wenn sich der Nutzer mit etwas verifiziert, das er besitzt (ein Smartphone) oder das er ist (Biometrie).

Die Lösung schlummert schon auf Ihrem Smartphone

Die Technik ist heute schon verfügbar und nicht kompliziert umzusetzen: Anstatt ein Passwort einzugeben, werden Sie lediglich aufgefordert, Ihr Smartphone zu entsperren (etwas, das Sie besitzen), und beweisen so, dass Sie wirklich autorisiert sind. Auch ein spezieller USB-Stick kann hier zum Einsatz kommen. Der Vorteil des Smartphones: Sie haben es stets in Ihrer Hosentasche. Für Sie als NutzerIn ist das System sehr einfach, für Hacker sehr schwer zu umgehen.

Biometrie kommt heute auch schon oft zum Einsatz (etwas, das Sie sind). Sie kennen den Ansatz vielleicht schon von Ihrem Smartphone oder PC: Biometrische Merkmale, wie das Gesicht, werden schon von Apples FaceID oder Microsofts HelloMicrosoft verwendet, auch der Fingerabdruck ist schon bei vielen Android-Geräten und Apples TouchID verbreitet. Ein guter Dienstleister für passwortlose Sicherheitsarchitektur sollte folgendes bieten:

  • Made in Germany: Sie sollten Wert auf eine Lösung aus einem Land mit hohen Datenschutzstandards und großer IT-Sicherheit legen. Bei einer Lösung aus Deutschland können Sie sich sicher sein, dass alle Standards eingehalten werden.
  • Schutz vor Insider-Threats: Was ist, wenn eine autorisierte Person das Unternehmen verlässt? Bei Zero Trust handelt es sich um einen Sicherheitsstandard, der verhindert, dass selbst autorisierte Personen nicht an Daten gelangen, die sie nichts angehen. So können auch Insider keinen Schaden anrichten, da selbst Administratoren keinen uneingeschränkten Zugang haben.
  • Dezentrale Speicherung: Auch der beste Sicherheitsanbieter kann Opfer eines Hacks werden. Werden Benutzerprofile nicht in einer zentralen Datenbank abgespeichert, sondern in der Blockchain, ist Ihre Firma und ihr System weiterhin sicher.

Fazit: Passwortlose Authentifizierung ist eine sichere Alternative

Ein Datenleck ist ein enormer Vertrauensverlust für jedes Unternehmen. Egal, in welcher Branche Sie arbeiten: Wenn Ihre KundInnen das Gefühl haben, dass Ihre Daten nicht in sicheren Händen sind, werden sie nicht mehr mit Ihnen arbeiten wollen. Von allen Cyberangriffen sind 81 Prozent auf korrumpierte Passwörter zurückzuführen. Es ist jetzt an der Zeit, das Passwort abzuschaffen und Ihr Risiko eines Angriffs um diese erstaunlichen 81 Prozent zu senken.

Autor: Al Lakhani
Redaktion: Christel Schmuck

Über den Autor:

Al Lakhani

Al Lakhani ist Gründer und Geschäftsführer der Münchner IDEE GmbH und verfolgt mit seinem Unternehmen die Vision einer Welt, in der alle digitalen Interaktionen der Menschen vertrauenswürdig und privat sind. Mit fast 20 Jahren Erfahrung im Bereich Cyber-Forensik ist Al Lakhani ausgewiesener Experte auf dem Gebiet der Cyberkriminalität und Datenforensik sowie im Blockchain-Umfeld.

Auch interessant:

Blog

Übersicht: Förderungen für die Digitalisierung des Mittelstands

Die Coronakrise hat die Lebensrealität vieler Menschen und Unternehmen nachhaltig geprägt und die Digitalisierung wieder ganz oben auf die Agenda gebracht. Neben Soforthilfen und Subventionen bietet der Staat und öffentliche Anlaufstellen eine ganze Vielzahl an Förderinstrumenten für kleine und mittlere Unternehmen an. Hier geben wir Ihnen einen kompakten Überblick über die wichtigsten Förderungen für die Digitalisierung des Mittelstands.

30. November 2020
Online

30.

IT-Sicherheit im Homeoffice

WebImpuls | Datensicherheit im Homeoffice? Wir zeigen, wie Unternehmen die Sicherheit ihrer IT-Infrastruktur gewährleisten und ihre Assets trotz der rasant veränderten Rahmenbedingungen effektiv schützen.

Kontaktieren Sie uns.

Bei Fragen und Anmerkungen helfen wir Ihnen gerne weiter. Schreiben Sie uns!

Nicht lesbar? Neues Captcha anfragen. captcha txt

Start typing and press Enter to search