So können Firmen passwortlose Authentifizierung einführen

Es ist keine neue Erkenntnis, dass Passwörter nicht mehr zeitgemäß sind. Dennoch sind sie Alltag. Wie können Unternehmen eine passwortlose Authentifizierung einrichten?

Es ist leicht nachzuvollziehen, warum die passwortlose Authentifizierung immer mehr an Bedeutung gewinnt. Passwörter sind eine große Sicherheitslücke und eine der Hauptursachen für Datenschutzverletzungen. Der 2021 Data Breach Investigations Report von Verizon hat herausgefunden, dass 89 Prozent der Verletzungen von Webanwendungen mit dem Missbrauch von Anmeldedaten einhergehen.

Die vollständige Abschaffung von Passwörtern ist noch nicht machbar, aber es gibt passwortlose Authentifizierungsmethoden, die Unternehmen heute einsetzen können, um die Abhängigkeit von riskanten Passwörtern zu verringern und damit die Verwendung von Anmeldedaten als Angriffsvektor zu reduzieren.

Aktuelle Optionen für die kennwortlose Authentifizierung

Unternehmen können die folgenden verfügbaren passwortlosen Authentifizierungsmethoden in Betracht ziehen:

  • E-Mail-basiert. Die Nutzer erhalten einen temporären Einmal-Passcode per E-Mail, um sich bei ihrem Konto anzumelden. Eine URL mit dem eingebetteten Code oder Token kann eingefügt werden, um den Prozess zu beschleunigen und für die Benutzer bequemer zu machen.
  • WebAuthn-basiert. Die WebAuthn-API stützt sich bei der Authentifizierung auf etwas, das die Benutzer besitzen, anstatt auf etwas, das sie kennen. Unter Verwendung der Public-Key-Kryptografie dient ein vertrauenswürdiges Gerät – wie ein Smartphone, ein Notebook oder ein Sicherheitsschlüssel – als Authentifizierungsfaktor.
  • Biometrisch. Die biometrische Authentifizierung stützt sich auf die physischen oder verhaltensbezogenen Merkmale der Benutzer, um die Identität zu überprüfen. Geräte mit fortschrittlichen Kameras, hochwertigen Mikrofonen oder Fingerabdruckscannern stellen fest, ob der Benutzer, der ist, für den er sich ausgibt.
  • Eine Kombination von Methoden. Beispielsweise die Verwendung von WebAuthn und Biometrie, um einen mehrschichtigen Authentifizierungsansatz zu ermöglichen. Biometrische Scans authentifizieren die Benutzer an einem Gerät, und die Generierung von WebAuthn-Tokens sorgt für eine weitere Authentifizierung.

Best Practices für die Implementierung passwortloser Authentifizierung

Wenn IT-Teams eine passwortlose Strategie entwickeln, sollten sie die folgenden bewährten Verfahren beachten:

  • Überprüfen Sie die aktuellen Authentifizierungsprozesse. Führen Sie eine Bestandsaufnahme durch, wie Ihr Unternehmen – Mitarbeiter, Auftragnehmer, Partner – Benutzer heute authentifiziert. Machen Sie sich mit den bestehenden Authentifizierungsmethoden vertraut, bevor Sie ermitteln, was durch passwortlose Authentifizierung ersetzt werden kann.
  • Setzen Sie ein Beta-Programm auf. Setzen Sie passwortlose Authentifizierungsmethoden in kleinen Testgruppen ein. Die Teilnehmer sollten ein breites Spektrum an Berufsrollen, demografischen Merkmalen, Alter und Geschäftsfunktionen abdecken.
  • Bewerten Sie das Feedback zum Beta-Programm. Sammeln Sie nach der Testphase die Meinungen der beteiligten Teilnehmer, um festzustellen, ob die Strategie der passwortlosen Authentifizierung effektiv und effizient war oder ob sie aktualisiert werden muss.

Beachten Sie außerdem die folgenden Punkte, wenn Ihr Unternehmen die Umstellung auf ein passwortloses System in Bezug auf Denkweise, Technologie und Risikobereitschaft in Angriff nimmt:

  • Seien Sie geduldig mit den Benutzern. Rechnen Sie mit einer Zunahme von Helpdesk-Anfragen, Kommentaren auf Slack und anderen internen Kanälen sowie mit Nutzern, die nach Möglichkeiten suchen, das passwortlose System zu umgehen. Trägheit und Gewöhnung an passwortbasierte Systeme können zu anfänglichem Widerstand führen. Gehen Sie proaktiv mit Videos und simulierten Phishing-Angriffen vor, und bestimmten Sie Mitarbeiter, die Einfluss in ihren Bereichen haben, als Experten für passwortlose Systeme.
  • Für den Datenschutz sensibilisieren. Angesichts der zunehmenden Bedeutung des Datenschutzes durch die Behörden und die Verbraucher ist es wichtig, sich der wachsenden Menge an gespeicherten und abgerufenen Daten von Mitarbeitern, Auftragnehmern und Partnern bewusst zu werden. Biometrische Daten wie Fingerabdrücke, Gesichts- und Netzhautscans sowie die Ausweitung dieser Daten auf persönliche Geräte erhöhen plötzlich den Datenschutz- und Sicherheitsbedarf eines Unternehmens. Dies bedeutet, dass die Sensibilisierung der Nutzer, die Durchführung regelmäßiger Risikobewertungen und die Gewährleistung der Einhaltung der Vorschriften von entscheidender Bedeutung sind.
  • Die Kostenkontrolle im Blick behalten. Wie bei jedem Projekt ist es von entscheidender Bedeutung, das geplante Budget einzuhalten. Insbesondere im Fall von passwortlosen Anwendungen könnte der Umgang mit älteren Anwendungen und deren Feinheiten zu höheren Kosten führen. Denken Sie auch an die Einführung neuer Technologien – wie Drohnen, Roboter und Metaverse-Systeme –, bei denen das passwortlose System in Zukunft funktionieren muss. Planen Sie diese Anwendungsfälle für die Zukunft und schätzen Sie sie ein.

Die passwortlose Authentifizierung bietet Unternehmen eine zuverlässige und weniger riskante Möglichkeit der Benutzerauthentifizierung als die passwortbasierte. Wenn die oben genannten Faktoren berücksichtigt werden, können Unternehmen durch eine frühzeitige Einführung mehr Sicherheit erreichen.

Erfahren Sie mehr über Identity and Access Management (IAM)

ComputerWeekly.de
Close