Bereits im Jahr 2004 - während der RSA-Sicherheitskonferenz - prophezeite Bill Gates als damaliger CEO von Microsoft den Untergang der Passwörter: „Es besteht kein Zweifel, dass sich Menschen im Laufe der Zeit immer weniger auf Passwörter verlassen werden.“ Obwohl diese allgemeine Aussage sicher zutreffend war, hat die Nutzung von Passwörtern tatsächlich eher zugenommen.
Die Umsetzung einer wirksamen Authentifizierungs-Richtlinie hängt von zwei wichtigen Faktoren ab: Sicherheit und Benutzererfahrung. Wenn sich ein Unternehmen ausschließlich auf starke Sicherheit konzentriert, ist ihr Sicherheitsprogramm zum Scheitern verurteilt, denn die Benutzer werden immer Wege finden, jede noch so strenge Sicherheitsrichtlinie zu umgehen.
Auf der anderen Seite ist die ausschließliche Konzentration auf die Benutzererfahrung kein gangbarer Weg. Passwörter verbreiten sich immer noch, weil sie aus einer relativ einfachen Authentifizierungslösung bestehen. Sie sind billig und erfordern keine besonderen Fähigkeiten, um erstellt zu werden. Aber sie sollten niemals das einzige Mittel zur Authentifizierung von Benutzern sein.
Passwörter sind schlecht für die IT-Sicherheit
Laut dem Data Breach Investigations Report von Verizon waren 81 Prozent der Sicherheitsverletzungen das Ergebnis von schwachen, gestohlenen oder wieder verwendeten Passwörtern. Bedrohungen wie Man-in-the-Middle-Angriffe und Man-in-the-Browser-Angriffe nutzen Cyberkriminelle aus, indem sie einen Anmeldebildschirm imitieren und den Benutzer zur Eingabe seiner Passwörter auffordern.
In der Cloud ist es sogar noch unsicherer. Dort gehostete Anmeldeseiten sind vollständig offengelegt, wodurch ein krimineller Akteur Phishing- oder Brute-Force-Angriffe gegen öffentlich bekannte Anmeldeseiten durchführen kann.
Infolgedessen zeigt der Thales 2020 Access Management Index (AMI), dass nur 29 Prozent der Unternehmen Passwörter als ein wirksames Mittel zum Schutz ihrer IT-Infrastruktur bewerten. Tatsächlich geben allerdings 67 Prozent (75 Prozent in Deutschland) der Befragten an, dass ihre Unternehmen planen, die Verwendung von Benutzernamen und Passwörtern in Zukunft sogar auszuweiten. Immerhin haben fast alle befragten (94 Prozent und 93 Prozent in Deutschland) Unternehmen ihre Sicherheitsrichtlinien in Bezug auf die Zugangsverwaltung in den letzten zwölf Monaten geändert.
Um diese Schwäche zu bekämpfen, greifen Unternehmen auf starke Passwortrichtlinien zurück. Sie verlangen von ihren Beschäftigten Passwörter, die ein komplexes Durcheinander von zufälligen Zeichen sind, die nicht einmal versuchen, ein tatsächliches Wort zu emulieren – und dass jedes Passwort für jedes Konto eindeutig sein muss.
Richtliniengesteuerte Passwort-Stärken und -Rotation führen zu Passwort-Ermüdung und tragen damit zu einer schlechten Passwort-Verwaltung bei. Der Data Breach Investigation Report von Verizon zeigt, dass über 70 Prozent der Mitarbeiterinnen und Mitarbeiter Passwörter für berufliche und private Konten wiederverwenden. Ein böswilliger Akteur könnte daher die Zugangsdaten eines Beschäftigten missbrauchen, um auf andere Anwendungen und vertrauliche Kundendaten zuzugreifen.
Die Menschen neigen auch dazu, leicht zu knackende Passwörter zu wählen, weil sie Probleme haben, sich Passwörter zu merken. Eine Analyse von über fünf Millionen durchgesickerten Passwörtern ergab, dass zehn Prozent der Bevölkerung eines der 25 schlechtesten Passwörter verwendeten. Sieben Prozent der Benutzer in Unternehmen hatten extrem schwache Passwörter.
Wenn man die oben genannten Passwort-Risiken und Schwachstellen mit der inhärenten menschlichen Voreingenommenheit verbindet, eine Bedrohung außerhalb unserer physischen Welt nicht einschätzen zu können, es sei denn, wir sind bereits Opfer einer böswilligen Aktivität geworden, dann ist es leicht zu verstehen, dass es mehr als einen Welt-Passwort-Tag braucht, um effektive Authentifizierungsgewohnheiten zu haben.
Passwortlose Authentifizierung
Die Technologie der passwortlosen Authentifizierung ist so weit fortgeschritten, dass Unternehmen sich nicht mehr auf Passwörter verlassen müssen. Die Ergebnisse des AMI-Reports zeigen, dass 96 Prozent der Befragten annehmen, dass starkes Authentifizierungs- und Zugriffsmanagement eine sichere Cloud-Nutzung erleichtern können. Darüber hinaus planen 70 Prozent den Einsatz von kennwortlosen Authentifizierungsmethoden.
Die kennwortlose Authentifizierung ersetzt Kennwörter durch andere Methoden der Identitätsprüfung, wodurch die Sicherheit und der Komfort verbessert werden. Diese Art der Authentifizierung hat an Zugkraft gewonnen, weil sie den Benutzern die Anmeldung erleichtert und die den textbasierten Passwörtern innewohnenden Schwachstellen überwindet. Zu diesen Vorteilen gehören ein höheres Maß an Sicherheit, das für jede Anwendung geboten wird, und – das Beste von allem – die Eliminierung des alten Passworts.
Es gibt verschiedene Ebenen der kennwortlosen Authentifizierung, die ein durchaus höheres Maß an Sicherheit bieten. Die Implementierung eines bestimmten Modells hängt vom Grad der Identität, Authentifizierung und Föderation ab, den ein Unternehmen auf der Grundlage der Geschäfts- und Sicherheitsrisiken und der Sensibilität der zu schützenden Daten anwenden möchte.
Gartner prognostiziert, dass 60 Prozent der großen und globalen Unternehmen sowie 90 Prozent der mittelständischen Betriebe bis 2022 in 50 Prozent der Fälle kennwortlose Authentifizierungsmethoden implementieren werden. Diese Veränderung wird einen Anstieg von heute weniger als fünf Prozent bedeuten.