AKTUELLES
- Drittsystem Jira zur Flexibilisierung des SAP-Komplexes andocken
- Ein kurzer Überblick über unseren Artikel auf swissmadesoftware.org
Geht die Ära der Passwörter und Passwortmanager zu Ende?
Das ganze letzte Jahr hindurch hörten wir überall das neue Schlagwort "passwortlos".
Gehören Passwörter bald der Vergangenheit an und treten wir in eine neue Welt ein, in der wir uns keine Passwörter mehr ausdenken, merken oder sicher speichern müssen?
Schauen wir uns das einmal genauer an und finden wir heraus, ob das wirklich der Fall ist.
Beginnen wir mit den Grundlagen. Was steckt hinter der neuen passwortlosen Technologie?
Um ehrlich zu sein, ist die neue passwortlose Technologie auf der Grundlage von Passkeys nichts anderes als die gute alte (asymmetrische) Kryptografie mit öffentlichem Schlüssel: Der öffentliche Schlüssel wird auf der Seite des Dienstes gespeichert, und der private Schlüssel bleibt auf Ihrem Gerät. Der private Schlüssel wird nie verschickt und dient dazu, Authentifizierungsanfragen des Dienstes zu verifizieren.
Zu den Stärken von „Passkeys“ gehört, dass sie als immer stark und phishing-resistent gelten.
Führend auf dem Weg zur „passwortlosen Authentifizierung“ ist die FIDO Alliance, ein offener Industrieverband mit einer zielgerichteten Mission: „Die weltweite Abhängigkeit von Passwörtern zu verringern". Die Bemühungen der Alliance zielen darauf ab, die Benutzerauthentifizierung zu verbessern.
Derzeit ist die passwortlose Authentifizierung der FIDO über Passkeys für Windows, macOS, Android, iOS, Chrome, Edge und Safari verfügbar. Grosse Online-Dienste wie Apple, Google, Microsoft, Amazon, PayPal, Adobe, etc. bieten die Anmeldung mit Passkeys an.
Natürlich handelt es sich hierbei um Pioniere, und es ist noch ein weiter Weg bis zur breiten Akzeptanz, insbesondere angesichts der Tatsache, dass sich die Technologie derzeit noch in der Entwicklung befindet und keine plattformübergreifende Funktionalität bietet. Infolgedessen müssen die Nutzer mehrere Passkeys für verschiedene Geräte erstellen, um sich anzumelden, was den Übergang zum passwortlosen Zugang für viele mühsam und daher unausgereift macht.
Fairerweise sei angemerkt, dass Passkeys auf YubiKey und, mit einigen Einschränkungen in einigen Passwortmanagern gespeichert werden können, was die plattformübergreifende Benutzererfahrung verbessert.
Wann also wird unsere digitale Welt passwortlos?
Leider nicht so bald, wie es die Anhänger der „passwordless Technik“ hoffen. Und hier ist der Grund dafür.
Werfen wir einen Blick auf einige Authentifizierungsstatistiken.
Laut der FIDO-Umfrage ist die reine Passwortauthentifizierung immer noch vorherrschend (mehr als 30 % der Befragten melden sich auf diese Weise bei ihren Arbeitscomputern und -konten an!). Bemerkenswert ist auch, dass der durchschnittliche Benutzer etwa 4 Mal pro Tag ein Passwort manuell eingeben muss.
Bevorzugte Methoden für die Anmeldung bei Online-Konten, Apps und intelligenten Geräten sind: zu 27 % biometrische Verfahren, zu 17 % einmalig generierte komplexe Passwörter, zu 14 % Einmalpasswörter, zu 8 % Passwortmanager und zu 4 % physische Sicherheitsschlüssel.
Fast durchschnittlich viermal pro Monat bricht eine Person einen Kauf ab oder gibt den Zugriff auf einen Online-Dienst auf, weil sie sich nicht mehr an ihr Passwort erinnern kann. Diese Zahl sowie die Anzahl der manuellen Passworteingaben pro Tag lässt sich leicht durch die geringe Verbreitung von Passwortmanagern unter den Befragten erklären.
Bislang sieht die Hitliste der Authentifizierungsmethoden für Unternehmen wie folgt aus: Passwörter (76 %) und Multifaktor-Authentifizierung (MFA) (43 %), Einmal-Passcodes (33 %) und Single-Sign-On-Technologien (SSO) (27 %). Allerdings planen 92 % in Zukunft verstärkt passwortlose Technologien zu nutzen.
Den Befragten zufolge wird die passwortlose Authentifizierung die Zahl der nicht passwortlosen MFA-Angebote (50 %), den Bedarf an SSO (48 %) und den Bedarf an privilegierter Zugangsverwaltung (46 %) verringern. Allerdings ist noch nicht klar, in welchem Umfang.
89 % der befragten IT-Entscheider gehen davon aus, dass ihre Unternehmen innerhalb von fünf Jahren für weniger als 25 % der Anmeldungen Passwörter verwenden werden. Im Durchschnitt plant fast ein Drittel der Unternehmen, in den nächsten 1 bis 3 Jahren die passwortlose Authentifizierung einzuführen bzw. zu verwenden oder beizubehalten.
39 % der IT-Entscheidungsträger geben zu, dass die Benutzer vor der Umstellung zurückschrecken und 49 % sagen, dass die von ihnen verwendeten Anwendungen nicht für die passwortlose Authentifizierung ausgelegt sind.
Trotz aller Aufregung in den Medien scheint die völlig passwortlose Zukunft unrealistisch zu sein. Aber die digitale Welt bewegt sich langsam aber sicher darauf zu.
Was ist also mit Passwörtern und Passwortmanagern und ihrem Platz in der "passwortlosen" Zukunft?
Sie werden bleiben, also kündigen Sie nicht überstürzt Ihr Abonnement für einen Passwortmanager.
Der Hauptnachteil von Kennwörtern gegenüber Passwörtern besteht darin, dass sie (in der Regel nicht im Klartext, sondern verschleiert) auf Dienstservern gespeichert werden und im Falle einer Datenpanne auffliegen können (sollten sie entschlüsselt werden). In diesem Fall kann ein Abgleich der Passwörter mit der Datenbank der durchgesickerten Anmeldedaten helfen. Unser Passwortmanager PassSecurium™ verfügt über diese Funktion.
Auch Passwörter gelten als phishing-sicher, aber wenn Sie einen Passwort-Manager verwenden, können Sie das Risiko eine Phishing-Website zu besuchen auch dadurch verringern, dass Sie einen Link zur legitimen Website darin speichern und dem legitimen Link vom Passwort-Manager aus folgen.
Im Allgemeinen können Benutzer die mit Passwörtern verbundenen Cyberrisiken drastisch reduzieren, indem sie einen Passwort-Manager verwenden und 2FA/MFA dort aktivieren, wo die Verwendung von Passkeys nicht möglich ist.
Darüber hinaus können Passwort-Manager weit mehr Daten als nur Ihre Login-/Passwort-Paare speichern, z. B. Kreditkarten, Bankkonten, alle Arten von Kundenkarten und IDs, Serverzugänge, E-Mail-Einstellungen. Sie können auch Dateien an Ihre Datensätze anhängen und sichere Notizen machen.
In Bezug auf die plattformübergreifende Freigabe von Anmeldeinformationen für mehrere Benutzer, insbesondere für Unternehmen, scheint der Passwortmanager immer noch die akzeptablere und bequemere Lösung zu sein.
Und allmählich fügen die Entwickler von Passwortmanagern ihren Produkten die Funktion zum Speichern von Passkeys hinzu (auch wir haben diese Idee im Hinterkopf und in unseren Zukunftsplänen).
Was können wir abschliessend sagen?
Offensichtlich ist ein vollständiger Übergang zur passwortlosen Authentifizierung in absehbarer Zeit nicht zu erwarten.
Passkeys und ihre Verwendung sind ein heisses Thema, aber es ist zu früh, um zu sagen, wie viel Hype dahintersteckt. Die Technologie ist zwar noch neu und behauptet, die sicherste und Phishing-resistenteste Authentifizierungsmethode zu sein, aber wir sollten nicht vergessen, dass Cybersicherheit immer ein Wettrüsten mit Hackern bedeutet. Es besteht Grund zu der Annahme, dass wir in naher Zukunft die ersten Versuche sehen werden, passwortlose Technologien anzugreifen, zu umgehen oder auszunutzen.
Nach und nach werden Dienste und Anwendungen auf die passwortlose Authentifizierung umgestellt - und das ist eine gute Nachricht. Viele Dienste sind jedoch nicht so flexibel und werden wahrscheinlich noch lange Zeit die bisherigen Verfahren verwenden.
Wo es möglich ist, sollten Sie Passwörter verwenden. Wenn Sie jedoch weiterhin Passwörter verwenden, empfehlen wir Ihnen dringend, bewährte Verfahren zur Passwortverwaltung zu befolgen, einschliesslich der Verwendung eines Passwortmanagers wie PassSecurium™.
Passwort-Manager, einschliesslich unseres eigenen Produkts, werden immer vielfältiger und passen sich an, so dass sie auch in einer passwortlosen Zukunft noch einen Platz haben und gebraucht werden.
Online Authentication Barometer – Umfrage von FIDO