Weg vom Passwort – Passwort I

Die durchschnittlichen Gesamtkosten einer Datenschutzverletzung steigen von Jahr zu Jahr konstant. Große Hersteller konzentrieren sich auf die Umsetzung von Datenschutz-, Datensicherheit- und Informationssicherheitsrichtlinien in ihren Standardlösungen. Die Akzeptanz und vor allem die Umsetzung durch Unternehmen mit ihren Benutzern ist noch lange nicht abgeschlossen.

Im Mai diesen Jahres haben Apple, Google und Microsoft gemeinsam bekannt gegeben, dass sie einen gemeinsamen, passwortlosen, Anmeldestandard unterstützten. Dieser Standard wurde von der FIDO Allianz und dem World Wide Web Konsortium definiert.

Die FIDO Allianz hat eine offene und skalierbare technische Spezifikation entwickelt, die es Menschen ermöglicht, über ein gemeinsames Protokoll auf Websites und Apps zuzugreifen. Dies bedeutet, dass jedes Unternehmen FIDO-Standards verwenden kann, um Technologien wie öffentliche elektronische Schlüssel für die sichere Authentifizierung zu implementieren.

Ein Hauptschlüssel, der zu einem Benutzer gehört, ist eine FIDO-Anmeldeinformation, die an einen Ursprung (Website oder Anwendung) und ein physisches Gerät gebunden ist. Mit diesem Schlüssel kann sich ein Benutzer authentifizieren, ohne seinen Benutzernamen und sein Passwort eingeben zu müssen oder einen zusätzlichen Authentifizierungsfaktor angeben zu müssen. Diese Technologie zielt darauf ab, Passwörter als primären Authentifizierungsmechanismus zu ersetzen. Eine Authentifizierung findet für den Benutzer nicht mehr sichtbar statt.

Kostenreduktion

Der Übergang zur passwortlosen Authentifizierung ist eine Möglichkeit, die IT-Kosten zu senken und Zeit bei der Fehlerbehebung von Sicherheitslücken zu sparen. Aber auch für diejenigen, die den Wandel mitmachen, bleiben Herausforderungen bestehen, die zu meistern sind.

Für viele Unternehmen ist das Ersetzen von Passwörtern durch diese neue Form eine schwierige, eher unverständliche, Entscheidung, da es möglicherweise nicht zu ihren aktuellen Vorgehensweisen, Richtlinien und Normen passt. Der Status Quo ist quasi die eigene, gelebte, Best Practices für Cybersicherheit. Diese Vorgehensweisen ist aber die Ursache von Risiken und Angriffsvektoren gegenüber dem Unternehmen, die mit diesen neuen Verfahren zumindest verringert, wenn nicht sogar vermieden, wird. Um es erlebbar zu machen empfiehlt sich eine Mischung aus integrierter passwortloser Authentifizierung mit bestehenden Cybersicherheitsverfahren. Wenn man den Aussagen der FIDO Allianz Glauben schenken mag, wird der Wechsel in eine Welt ohne Passwörter Wunder bewirken, um Cybersicherheitsprobleme im Unternehmen zu reduzieren.

Der Übergang zur passwortlosen Authentifizierung ist am Arbeitsplatz unaufhaltsam. Aktuell müssen meist Benutzer mehrere Passwörter für viele Konten erstellen, verwalten und aktualisieren. Das ist nicht nur eine zusätzliche Belastung für Benutzer, es hat auch erhebliche Auswirkungen auf die Sicherheit und sind Ursache von Risiken, wie Passwort Kompromitierung. Um diesen Risiken entgegenzuwirken, entwickeln Anbieter verschiedene Strategien, um Passwörter zu eliminieren. Benutzer können jetzt ihre Smartphones verwenden, um Anmeldungen zu authentifizieren. Es wird durch Benutzer auch erwartet, dass dieses System den Zugriff auf verschiedenen Plattformen ermöglicht und freischaltet.

Aber nicht nur Unternehmen mit ihren Benutzern sind gefragt hier zu handeln, sondern auch Dienstanbieter (vgl.: managed service provider) ihre Sicherheit zu stärken und gleichzeitig die Komplexität dieses Themas nicht wieder an den Benutzer weiterzureichen. Da stellt die Einführung einer passwortlosen Authentifizierung in einer Multimandatenumgebung einen Schlüsselfaktor für Akzeptanz und Benutzbarkeit durch den Kunden dar.

Ist jetzt passwortlose Authentifizierung umgesetzt so bieten sich mehrere Einsparungspotentiale.

  • Jede Einführung eines neuen Dienstes, einer neuen Anwendung muss nur einmalig angebunden werden. Die laufende Wartung der Benutzerkonten verbleibt wo sie ist. Bei den meisten Unternehmen ist dies ein Azure Active Directory in dem alle Identitäten und Schlüssel verwaltet werden.
  • Die laufende Wartung und Unterstützung wird durch den Wegfall der mehrfachen Identitäts- und Passwortverwaltung wesentlich entlastet.
  • Die Umsetzung von Selbstservice Portalen mindert zusätzlich den Wartungs- und Administrationsaufwand.

Daraus folgt, Einführung und Betrieb werden effizienter umgesetzt und das geht mit einer Kostenreduktion einher.

Share on:

Schreibe einen Kommentar