Passwort der Zukunft: Wie wir uns bald authentifizieren werden
Ihr Passwort lautet «12345...» – oder ist Ihr Geburtstag oder der Name Ihres Liebsten? Sicher ist das schon lange nicht mehr. Wir sagen, wie es besser geht.
Mit der zunehmenden Verbreitung von Cloud-Anwendungen sowie diversen Geräten und Netzwerken reicht die schlichte Eingabe eines einfachen Passworts längst nicht mehr aus, um sich vor Cyberangriffen zu schützen. Tatsächlich sind Benutzernamen oft simpel und vorhersehbar – meist handelt es sich um eine E-Mail-Adresse, einen Namen oder Initialen.
Zudem lassen sich Passwörter leicht erraten. Laut einer Studie von Outpost24 sind die gängigsten Passwörter nach wie vor: «Admin», «12345», «12345678», «1234» und das Wort «password» selbst.
Auf dem Weg zur passwortlosen Welt
Es überrascht also nicht, dass gestohlene Zugangsdaten zu den häufigsten Methoden gehören, mit denen Angreifer auf die Informationen eines Unternehmen zugreifen können.
Tatsächlich begann mehr als die Hälfte (54 Prozent) aller Angriffe im letzten Jahr mit kompromittierten Logins. Für Experten ein Grund, eine passwortlose – oder zumindest passwortverbesserte – Zukunft einzufordern, Hand in Hand mit verbesserten Authentifizierungsmethoden.
Multi-Faktor-Authentifizierung
Eine grundlegende Verbesserung bei der Identitätsverwaltung stellt dabei die Multi-Faktor-Authentifizierung (MFA) dar. Unternehmen, die diese noch nicht implementiert haben, hinken der Entwicklung mit vielen Nachteilen für sich selbst klar hinterher.
Die MFA verlangt mehr als nur einen Benutzernamen und ein Passwort. Typische Extra-Elemente sind zum Beispiel eine SMS vom Smartphone des Nutzers, ein Einmalpasswort (OTP), das an ihre E-Mail-Adresse gesendet wird, oder biometrische Authentifizierungsmethoden.
Prinzip «Zero Trust»
Eine weitere aufstrebende Methode ist das Prinzip des «Zero Trust» oder «Least Privilege Access». Dabei wird davon ausgegangen, dass jeder Benutzer eine potenzielle Bedrohung darstellen könnte.
Während ihrer Zeit in einem Netzwerk oder System müssen sich die Benutzer kontinuierlich verifizieren. Sie erhalten nur Zugang zu den benötigten Ressourcen zum benötigten Zeitpunkt.
Eine Erweiterung des Zero-Trust-Ansatzes stellt der Just-in-Time-Zugriff (JIT) dar. Dieser gewährt einen zeitlich begrenzten Zugang zu Ressourcen, und zwar nur dann, wenn dieser für bestimmte Aufgaben erforderlich ist.
Jeder Mensch ist immer noch einzigartig
Auf dem Weg zur passwortlosen Zukunft spielen Passkeys eine wichtige Rolle. Dabei handelt es sich um digitale Anmeldeinformationen, mit deren Hilfe Nutzer Online-Konten erstellen können, ohne überhaupt Passwörter zu brauchen.
Viele Experten sind jedoch der Meinung, dass biometrische Merkmale wie Stimme, Gesichtszüge und Fingerabdrücke die wahre Zukunft der Identitätsauthentifizierung darstellen. Diese einzigartigen physischen Eigenschaften können nicht verloren gehen oder gestohlen werden.
Zumindest gilt das aktuell noch so ...