Noch immer ist es Standard, dass sich Anwender mittels User-ID und Password auf den verschiedensten Systemen authentifizieren. Das klassische Passwort hat gerade beim Endanwender noch lange nicht ausgedient trotz der allgegenwärtigen Gefahr des Password-Stuffings durch Hacker.
Die Verwendung des gleichen Passwords als Zugriffsgrundlage für unterschiedlichste Services müsste in Zeiten von im Internet kursierenden Listen von Leakages längst der Vergangenheit angehören – zu groß ist die Gefahr, Angreifern dadurch den Zugang zu vertraulichen Daten auch im Unternehmensnetz zu gewähren.
Leider agieren User trotz Password-Manager nach wie vor auf Basis der Bequemlichkeit und wollen sich lediglich ein einziges Passwort merken. Wider besseres Wissen leisten sie damit Password-Stuffing Vorschub und ermöglichen Angreifern ein lukratives Auskommen. Denn wenn diese einmal die entscheiden Daten erbeutet haben, haben sie leichtes Spiel, mit Hilfe eines einzigen Passwords Zugang zu verschiedensten Diensten auszutesten.
Dass Bequemlichkeit großgeschrieben wird, zeigt auch die Bedeutung, die mittlerweile Federated-IdP als Authentifizierungs-Methode erfährt. Damit lässt sich mittels APIs beispielsweise über einen separaten Identitätsanbieter (z.B. anhand der Facebook-Identität des Anwenders) der Zugriff auf weitere Systeme ermöglichen. Ohne großen Aufwand für den Anwender, allerdings im Falle der Erbeutung der digitalen Identität mit den gleichen fatalen Folgen für die Sicherheit.
Dem Verlangen nach Bequemlichkeit versuchen neuartige Lösungsansätze zu entsprechen, die auf Basis von Sensoren authentifizieren, wie Fingerabdruck, Gesichts- oder Stimmerkennung. Allerdings ist manches biometrisches Verfahren noch nicht ganz ausgereift, so dass beispielsweise der Fingerscan mehrfach wiederholt werden muss oder die biometrische Erkennung ausgetrickst werden kann. Auf dem Handy funktioniert der Gesichtsscan auf Basis von 3D-Funktionalität mittlerweile sehr gut. Biometrie ist definitiv bequem, darf aber nur in Kombination mit einem weiteren Authentisierungsfaktor (aka. 2FA/MFA) eingesetzt werden.
Anwenderfreundlichkeit im Fokus
Einen Schritt weiter in der Authentifizierung gehen Verfahren, die ganz ohne Passwörter auskommen. PKI-basierte Verfahren überprüfen anhand eines einmaligen Zertifikats die Identität des Users und damit kann auf klassische Passwörter verzichtet werden, so dass der Anwendererfahrung Rechnung getragen wird. Die Infrastruktur, die sich hinter diesem Authentifizierungs-Konzept verbirgt, ist allerdings komplex und kostspielig im Betrieb. Andere passwortfreie Ansätze, wie SQRL, haben es schwer sich im Unternehmensumfeld durchzusetzen, da diese Public-Domain Methode nicht die geforderte Support-Struktur bieten kann.
Die Adoptionsrate eines solchen Ansatzes lässt derzeit also zu wünschen übrig. Denn alle Anwendungen müssten dieses passwortlose Modell unterstützen, was gerade im Bereich langlebiger Anwendungen eine Herausforderung darstellt. Moderne, Cloud-basierte Lösungen setzen deshalb auf SAML oder andere Token-basierte Authentifizierungsmethoden, wie Kerberos oder Open ID Connect.
Mehrfachauthentifizierung für mehr Sicherheit
Letztlich bietet das Zusammenspiel der klassischen drei Faktoren der Authentifizierung derzeit State-of-the-Art Sicherheit. Die Kombination von etwas, das der Anwender weiß (das Password), etwas, dass er hat (ein Token, Google Authenticator, SMS, yubikey) und einem persönlichen Kriterium, wie Fingerabdruck, Stimme oder Gesicht bildet die Grundlage für eine Mehrfaktorauthentifizierung, um die Unternehmen heute nicht mehr herumkommen.
Auf dieses Prinzip setzen Identity Provider, die damit Bequemlichkeit und Sicherheit beim Zugriff auf Anwendungen miteinander vereinen. Nach der Multifaktor-Authentifizierung erhält der User automatisch Zugriff auf seine nachgelagerten Anwendungen.
Nach der Ablösung des klassischen Passworts für vielfältige Services und der Mehrfaktorauthentifizierung sollten sich Unternehmen zunehmend Gedanken darüber machen, wie sie den sicheren Zugriff auf Anwendungen gewährleisten, die in die Cloud verlagert werden. Je mehr Applikationen in moderne Cloud-Umgebungen wandern, desto mehr wird das Thema Cloud-basierter Zugriffskontrollmechanismen aktuell. Ein zukunftsträchtiger Weg ist also die Kombination passwortloser Authentifizierung mit herkömmlichen Methoden.
Im Zusammenhang mit der Wolke und dem sicheren remote Zugriff auf Daten und Anwendungen, die nicht mehr im Unternehmensnetz vorgehalten werden, kommt derzeit unter dem Stichwort Zero Trust eine weitere Komponente der User-Authentifizierung in die Diskussion, die weit über ein einfaches Passwort hinausgeht. Wie kann auch nach der einmaligen Authentifizierung sichergestellt werden, dass nur ein berechtigter User auf einen zugelassenen Service zugreift?
Wie kann dabei im Zuge des Gartner CARTA-Modells kontinuierlich überwacht werden, dass der Anwender das Vertrauen auf den Zugriff verdient? Das Passwort war gestern. Das Zeitalter der Cloud macht ganz neue Überlegungen für den sicheren Zugriff erforderlich. Ein Software-definierter Perimeter ist eine Lösung.