Der Käuferleitfaden zur passwortlosen Authentifizierung

Veröffentlicht: 2020-09-09

Wahrscheinlich ist es sehr lange her, seit Sie Ihre Benutzerauthentifizierungslösungen evaluiert haben.

Schließlich suchen Unternehmen nicht alle Tage nach einer neuen Benutzerauthentifizierungslösung. Einige haben nie etwas anderes als ein einfaches Passwort verwendet, um ihre Benutzer zu authentifizieren. Andere haben möglicherweise eine herkömmliche Multi-Faktor-Authentifizierungslösung bereitgestellt, um bestimmte Sicherheitsbedenken im Zusammenhang mit der Authentifizierung von Remote-Zugriffsverbindungen oder als Reaktion auf eine gesetzliche Anforderung für eine stärkere Authentifizierung auszuräumen. Dieser kurze Leitfaden bietet einen aktuellen Überblick über moderne Benutzerauthentifizierungsansätze.

Der 2017 veröffentlichte Data Breach Investigation Report (DBIR) von Verizon war so etwas wie ein Wendepunkt für die Wahrnehmung der Benutzerauthentifizierung. Der Bericht machte Schlagzeilen in der gesamten IT-Welt, als er enthüllte, dass 81 Prozent der Datenschutzverletzungen auf kompromittierte Passwörter zurückzuführen waren.

Zu diesem Zeitpunkt erkannten viele Unternehmen, dass Passwörter ihre Sicherheitsprobleme nicht lösen, sondern viele von ihnen verursachen, und begannen, sich nach alternativen Authentifizierungsoptionen umzusehen. Dies ist der Moment, in dem die passwortlose Authentifizierung von einer Nischenalternative, die von zukunftsorientierten Unternehmen verfolgt wird, zu etwas wurde, über das alle sprachen.

Was ist passwortlose Authentifizierung?

Die kennwortlose Authentifizierung definiert eine Klasse von Authentifizierungslösungen, die die Identität eines Benutzers ohne die Verwendung eines Kennworts überprüfen. Der Identitätsnachweis basiert auf anderen Faktoren, die den Benutzer eindeutig identifizieren, wie z. B. dem Besitz von etwas, das eindeutig mit dem Benutzer verknüpft ist (z Fingerabdruck, Gesichtsabdruck, Netzhautscan usw.). Die Authentifizierung basierend auf etwas, das der Benutzer weiß (dh wissensbasierte Authentifizierung), ist ebenfalls möglich, solange es sich dabei nicht um ein Passwort handelt.

4 Arten passwortloser Authentifizierungsmethoden

Hier sind einige häufig verwendete passwortlose Authentifizierungsmethoden, aus denen häufig gewählt wird:

Einmalige Codes

Einmaliger Code, der an ein registriertes Mobilgerät oder eine E-Mail-Adresse gesendet wird. Dies wird normalerweise von Unternehmen eingesetzt, um ihre Kunden zu authentifizieren (B2C). Es wird seltener für die Unternehmensauthentifizierung verwendet, dh für die Authentifizierung von Mitarbeitern.

Biometrie

Diese passwortlose Authentifizierungsmethode ist zur Norm für die Authentifizierung von Benutzern gegenüber ihren Mobilgeräten geworden, wobei beliebte Implementierungen der Technologie in Apple Face ID und Fingerabdruckauthentifizierung selbst auf den billigsten Mobilgeräten allgegenwärtig verfügbar sind. Biometrie wird hauptsächlich verwendet, um den Benutzer gegenüber dem Gerät selbst und seltener gegenüber Ressourcen zu authentifizieren, auf die über das Gerät zugegriffen wird.

Dedizierte Hardware-Sicherheitstoken

Dedizierte Hardware-Sicherheitstoken, die in der Regel einen PKI-Berechtigungsnachweis (Public Key Infrastructure) speichern. In den letzten Jahren erfreuen sich FIDO-konforme Geräte wie YubiKeys wachsender Beliebtheit als hochsichere Alternative zur Benutzerauthentifizierung zu Passwörtern. Diese Geräte bieten ein gutes Maß an Sicherheit, da sie schwer zu fälschen sind und physischen Besitz erfordern, aber sie sind auch ziemlich teuer und umständlich für Benutzer herumzutragen und zu verwenden.

An ein Hostgerät angehängte Authentifizierungsdaten

Dieser Berechtigungsnachweis (dh ein PKI-Client-Authentifizierungszertifikat, das an einen PC gepinnt ist) wird hauptsächlich verwendet, um Mitarbeiterarbeitsstationen gegenüber Unternehmensnetzwerken und -ressourcen zu authentifizieren. Auch hier werden FIDO-konforme Lösungen immer beliebter, wobei das bemerkenswerteste Beispiel Microsoft Windows Hello for Business ist. Windows Hello ist auf neueren Versionen von Windows verfügbar und kombiniert einen FIDO-konformen Berechtigungsnachweis mit einer Benutzer-PIN oder einem biometrischen Ausdruck, um den Zugriff auf den Berechtigungsnachweis freizuschalten.

Multi-Faktor-Authentifizierung (MFA) vs. passwortlose Authentifizierung

Die Kombination mehrerer Authentifizierungsformen zum Identitätsnachweis führt zu einer Multi-Faktor-Authentifizierung (MFA). In der Vergangenheit wurde MFA verwendet, um die Sicherheit der passwortbasierten Authentifizierung zu verbessern. Die Verwendung eines Passworts (etwas, das Sie kennen) zusammen mit einem dedizierten Schlüsselanhänger oder einem registrierten mobilen Gerät (etwas, das Sie haben) würde mehrere Authentifizierungsfaktoren bieten, die schwerer zu phishing, zu knacken oder zu hacken sind, und daher ein höheres Maß an Sicherheit bieten.

Heutzutage ist es möglich, mehrere Authentifizierungsfaktoren ohne Passwörter als einen der Faktoren zu verwenden, was zu passwortloser MFA führt. Die am häufigsten verwendeten Authentifizierungsfaktoren für passwortlose MFA sind das registrierte mobile Gerät des Benutzers zusammen mit einer Benutzer-PIN oder einem Fingerabdruck, der über den integrierten Fingerabdrucksensor des Geräts bereitgestellt wird.

Überlegungen zur Bewertung einer passwortlosen Authentifizierungslösung

Worauf sollte ein Unternehmen also achten, wenn es nach der richtigen Authentifizierungslösung sucht? Beim Kauf einer neuen Benutzerauthentifizierungslösung müssen viele Überlegungen angestellt werden, aber die drei wichtigsten sind:

Unterstützt die Authentifizierungslösung die gesamte Breite der Anwendungsfälle der Benutzerauthentifizierung?

Die grundlegendste Überlegung ist, ob eine Authentifizierungslösung die gesamte Breite der Authentifizierungsanwendungsfälle unterstützt, denen Benutzer im Laufe ihres Arbeitstages begegnen. Wenn bestimmte Anwendungsfälle nicht unterstützt werden, stehen zwei Optionen zur Verfügung: Belassen Sie die vorhandene Authentifizierungslösung – in der Regel einfacher Benutzername und Passwort – oder führen Sie eine zweite Authentifizierungslösung ein.

Die Rückkehr zu Benutzernamen und Passwörtern widerspricht dem Zweck, in eine bessere, sicherere Authentifizierungslösung zu investieren, da es bedeutet, dass anfällige Passwörter immer noch von Angreifern ausgenutzt werden können, wodurch das Unternehmen ungeschützt bleibt. Es ist vergleichbar mit dem Bau einer befestigten Mauer um Ihr Haus und dem Hinterlassen einer Hintertür mit einem Vorhängeschloss.

Der Erwerb einer zweiten Authentifizierungslösung, die die nicht unterstützten Anwendungsfälle handhaben kann, bedeutet die Bereitstellung einer anderen Lösung und, was noch wichtiger ist, die Verpflichtung der Benutzer, einen anderen Berechtigungsnachweis/Authentifikator mit sich zu führen. Dies ist ein teures Angebot, das auch eine Erfahrung bietet, die Benutzer wahrscheinlich frustrieren wird.

Die Unterstützung der gesamten Breite der Anwendungsfälle für die Benutzerauthentifizierung kann sich zu einer ganzen Reihe von Szenarien für ein typisches Unternehmen summieren. Zu den üblichen Unternehmensanwendungsfällen gehören:

  • Die Workstation-Anmeldung, einschließlich Windows- und Mac-Hosts, und in einigen Unternehmen ist Linux ebenfalls ein wichtiger Aspekt. Dies ist oft der schwierigste Anwendungsfall für viele Authentifizierungslösungen, da es eine sorgfältige Integration mit Betriebssystemen und Netzwerkdomänenverwaltungslösungen erfordert.
  • Fernzugriffs-VPN ist eine grundlegende Technologie, die es mobilen und entfernten Mitarbeitern ermöglicht, mit ihrer Arbeit in Verbindung zu bleiben. Es gibt mehrere Technologien im Einsatz und eine Vielzahl von Anbietern, die Lösungen anbieten. Glücklicherweise hat sich im Laufe der Jahre eine Reihe von Standards herausgebildet, die eine einfache Integration mit Authentifizierungssystemen ermöglichen.
  • Der Zugriff auf Cloud-Apps ist selbst für die traditionellsten Unternehmen zum Mainstream geworden. Obwohl einige Standards vorhanden sind, um die Interoperabilität zwischen Unternehmensauthentifizierungssystemen und Cloud-Diensten zu erleichtern, sind sie nicht alle vollständig ausgereift. Konkurrierende Standards und häufige Überarbeitungen bestehender Standards bedeuten, dass die Unterstützung des Zugriffs auf Cloud-Dienste ein bewegliches Ziel war.
  • Die Offline-Authentifizierung war die Achillesferse für viele Authentifizierungssysteme im Allgemeinen und die Multifaktor-Authentifizierung (MFA) im Besonderen. Dies stellt eine schwierige Herausforderung dar, da die meisten Authentifizierungslösungen für eine vernetzte Welt entwickelt wurden. Wenn also die Netzwerkverbindung unterbrochen oder nicht verfügbar ist und der Authentifizierungsserver nicht erreichbar ist, sind aufwändige Problemumgehungen erforderlich, um sicherzustellen, dass Benutzer sich weiterhin bei ihrem Computer und lokal gehosteten Ressourcen authentifizieren können.
  • Ein verlorener Authentifikator verursacht große Kopfschmerzen, insbesondere wenn es sich um einen Hardware-Authentifikator handelt. Der physische Versand eines Ersatz-Tokens an einen entfernten Mitarbeiter ist kostspielig und zeitaufwändig. Um längere Ausfallzeiten zu vermeiden, wurden daher für einige der hardwarebasierten MFA-Lösungen softwarebasierte Wiederherstellungslösungen entwickelt.

Im Allgemeinen muss eine moderne Unternehmensauthentifizierungslösung ein Allround-Player sein, der eine Vielzahl von Authentifizierungsanwendungsfällen bewältigen kann. Wenn Sie sich für eine Punktlösung entscheiden, die bestimmte Anwendungsfälle gut abdeckt, müssen wahrscheinlich mehrere Authentifizierungslösungen bereitgestellt werden, was teuer und für die Benutzer schwierig ist.

Funktioniert die Authentifizierungslösung mit dem, was Sie bereits haben?

Die Realität für die meisten Unternehmen sieht so aus, dass sie im Laufe der Jahre der Investition in die IT eine vielfältige Mischung aus Systemen und Anwendungen erworben haben. Diese Systeme sind eine Realität, die anerkannt werden muss, und jede neue Authentifizierungslösung muss in der Lage sein, mit allem zu arbeiten, was bereits vorhanden ist. Ein Rip-and-Replace-Ansatz ist einfach zu schmerzhaft und teuer.

Es ist daher zu erwarten, dass moderne Authentifizierungslösungen so konzipiert sind, dass sie ältere Systeme und Anwendungen unterstützen und sich leicht in bestehende IT-Investitionen integrieren lassen. Die Unterstützung bestehender Benutzerverzeichnisse (z. B. Active Directory), die Arbeit mit Legacy-Systemen, die Zusammenarbeit mit bestehenden Authentifizierungslösungen usw. sollten alle in die Lösung integriert sein und keine teuren Anpassungs- und Integrationsprojekte erfordern.

Das Arbeiten mit bestehenden Authentifizierungslösungen wie USB-Token, OTP-Token, FIDO-Authentifikatoren, mobilen Authentifikatoren und mehr sollte ebenfalls erforderlich sein. Viele Unternehmen haben in starke Authentifizierungslösungen investiert, was bedeutet, dass es kaum Möglichkeiten auf der grünen Wiese gibt, wo nichts anderes eingesetzt wird. Daher ist die Arbeit im Einklang mit bestehenden Authentifizierungslösungen, die Vereinfachung des Betriebs einer heterogenen Authentifizierungsumgebung und die Bereitstellung einer Möglichkeit, ältere Lösungen schrittweise außer Dienst zu stellen und auf modernere zu migrieren, an und für sich zu einer wichtigen Überlegung geworden.

Erfüllt die Lösung die Anforderungen von Prüfern und Aufsichtsbehörden?

Die meisten Unternehmen sind heutzutage in regulierten Branchen tätig und unterliegen strengen Anforderungen an Datenschutz und Benutzerauthentifizierung. Die Einhaltung von Vorschriften und Industriestandards wie PCI DSS, DFARS, HIPAA, SOX/GLBA, PSD2, GDPR usw. ist daher ein wichtiger Aspekt und oft der Hauptgrund für die Investition in eine neue Benutzerauthentifizierungslösung.

Vorteile der passwortlosen Authentifizierung

Die passwortlose Authentifizierung ist einer der seltenen Fälle im Leben, in denen die neue Lösung in jeder Hinsicht eindeutig überlegen ist. Die Wahl erfordert keine Kompromisse oder das Abwägen von Vor- und Nachteilen. Die passwortlose Authentifizierung bietet mehr Sicherheit, ein besseres Benutzererlebnis und ist im Vergleich zu passwortbasierten Authentifizierungslösungen billiger in Anschaffung und Betrieb.

Verbessert die Benutzererfahrung

Die passwortlose Authentifizierung bietet eine bessere Benutzererfahrung, da Benutzer Passwörter nicht abrufen und eingeben müssen. Das bedeutet schnellere Anmeldungen und weniger Fehlversuche. Und Passwörter werden nie vergessen oder müssen zurückgesetzt werden, was weniger Ausfallzeiten aufgrund verlorener oder vergessener Passwörter und weniger Ärger bedeutet.

Verbessert die allgemeine Sicherheit

Das Ersetzen anfälliger Passwörter durch eine gut konzipierte passwortlose Authentifizierungslösung verbessert die Sicherheit, da passwortlos Phishing-resistent ist und einen besseren Schutz vor anderen Formen von Angriffen auf den Zugang zu Anmeldeinformationen bietet, einschließlich Man-in-the-Middle, Keylogging, Credential Stuffing, Password Spraying und anderen .

Das ist auf Dauer billiger

Die passwortlose Authentifizierung ist im Vergleich zu Passwörtern billiger zu besitzen und zu betreiben. Kennwörter erfordern eine teure Verwaltung, da sie unterstützende Kennwortverwaltungssysteme erfordern, damit Benutzer regelmäßige Kennwortaktualisierungen und gelegentliche Kennwortrücksetzungen durchführen können.

Passwörter stellen auch eine erhebliche Belastung für Helpdesks dar, wenn Benutzer ihre Passwörter vergessen oder ihren Authentifikator verlieren und den Helpdesk um Unterstützung bei der Wiederherstellung bitten. Weitere Kosteneinsparungen können erzielt werden, indem Phishing-Präventionsprogramme abgeschaltet werden, die eingerichtet wurden, um Benutzer aufzuklären und sie vor Phishing zu schützen. Eine gut gestaltete passwortlose Authentifizierung ist Phishing-sicher.

Herausforderungen bei der passwortlosen Authentifizierung

Die größte Herausforderung für Unternehmen, die sich für die passwortlose Authentifizierung entscheiden, sind normalerweise ihre Altsysteme und Anwendungen, die nicht für die passwortlose Authentifizierung entwickelt wurden. Während es also leicht ist, sich auf die Vision eines passwortlosen Arbeitsplatzes einzulassen, kann der Weg dorthin entmutigend sein, wenn man es mit einer heterogenen IT-Umgebung zu tun hat, die neue und veraltete Systeme kombiniert.

Ein Ansatz besteht darin, die passwortlose Authentifizierung nur für Systeme und Apps bereitzustellen, die dies unterstützen. Dies führt im Allgemeinen zur Bereitstellung einer passwortlosen Authentifizierung für Cloud-Apps und manchmal auch für neuere Betriebssysteme (z. B. die neuesten Versionen von Windows 10). Aber passwortlos zu werden, ist wirklich eine Alles-oder-Nichts-Bemühung: Sie werden Passwörter entweder los oder nicht.

Um die passwortlose Authentifizierung für Benutzer erfolgreich bereitzustellen, reicht es daher normalerweise nicht aus, zu entscheiden, dass passwortlos eine bessere, billigere und sicherere Option ist. Es ist wichtig, die Technologie zu wählen, die Ihnen hilft, passwortlos in einer bestehenden und heterogenen IT-Umgebung bereitzustellen und alle Ihre Authentifizierungsanwendungsfälle zu adressieren.

Lösungslandschaft für passwortlose Authentifizierung

Nahezu jeder Anbieter von Authentifizierungslösungen auf dem Markt behauptet, passwortlose Authentifizierung anzubieten. Die etablierten Authentifizierungsanbieter haben ihr MFA-Angebot angepasst, um einige Formen der passwortlosen Authentifizierung für einige Anwendungsfälle zu ermöglichen. Die neueren Authentifizierungsakteure setzen voll auf passwortlose Lösungen und zielen auf Kunden mit moderner Infrastruktur und Anwendungen ab, die gut mit passwortlosen Lösungen funktionieren – veraltete Systeme und Apps bleiben zurück.

Aber die universelle Bereitstellung einer passwortlosen Authentifizierung ist für die meisten Unternehmen immer noch nicht möglich, da es immer noch viele Systeme und Apps gibt, die nicht darauf ausgelegt sind, passwortlos zu arbeiten. Das Belassen von Passwörtern für einige Systeme macht den Zweck fast zunichte, denn um von der Passwortfreiheit zu profitieren, müssen Sie wirklich alle Passwörter loswerden.

Eine erfolgreiche Migration zu einer passwortlosen Authentifizierungslösung erfordert eine Lösung, die system- und anwendungsübergreifend funktioniert, wo möglich eine passwortlose Authentifizierung bereitstellt und ein passwortloses Erlebnis schafft, wo ein passwortloses nicht möglich ist. Der Vorteil dieses Ansatzes besteht darin, dass Benutzer aus UX-Perspektive kein Passwort erstellen, abrufen oder eingeben müssen.

Aus Sicherheitssicht werden Passwörter entweder vollständig entfernt oder sind den Benutzern einfach nicht bekannt, was sie vor Phishing schützt. Darüber hinaus werden Passwörter bei der Implementierung einer passwortlosen Erfahrung von Maschinen verwaltet, was bedeutet, dass sie von hoher Komplexität und häufigen Rotationen profitieren, was sie wiederum widerstandsfähiger gegen viele Formen von Angriffen auf Passwörter macht.