Aktuelles - geschrieben von am Donnerstag, Mai 2, 2019 10:50 - noch keine Kommentare

Moderne Authentifizierung: Vom Password zu Zero Trust

Statement zum Global Password Day von  Rainer Rehm, Zscaler

[datensicherheit.de, 02.05.2019] Noch immer ist es Standard, dass sich Anwender mittels User-ID und Password auf verschiedensten Systemen authentifizieren. Das klassische Passwort hat gerade beim Endanwender noch lange nicht ausgedient trotz der allgegenwärtigen Gefahr des Password-Stuffings durch Hacker.

Bequemlichkeit ist ein Sicherheitsrisiko

Die Verwendung des gleichen Passwords als Zugriffsgrundlage für unterschiedlichste Services müsste in Zeiten von im Internet kursierenden Listen von Leakages längst der Vergangenheit angehören – zu groß ist die Gefahr, Angreifern dadurch den Zugang zu vertraulichen Daten auch im Unternehmensnetz zu gewähren. Leider agieren User trotz Password-Manager nach wie vor auf Basis der Bequemlichkeit und wollen sich lediglich ein einziges Passwort merken. Wider besseres Wissen leisten sie damit Password-Stuffing Vorschub und ermöglichen Angreifern ein lukratives Auskommen. Denn wenn diese einmal die entscheiden Daten erbeutet haben, haben sie leichtes Spiel, mit Hilfe eines einzigen Passwords Zugang zu verschiedensten Diensten auszutesten.

Rainer Rehm, Data Privacy Officer EMEA, Zscaler

Foto: Zscaler

Rainer Rehm, Data Privacy Officer EMEA, Zscaler

Federated-IdP als Authentifizierungsmethode

Dass Bequemlichkeit großgeschrieben wird, zeigt auch die Bedeutung, die mittlerweile Federated-IdP als Authentifizierungsmethode erfährt. Damit lässt sich mittels APIs beispielsweise über einen separaten Identitätsanbieter (z.B. anhand der Facebook-Identität des Anwenders) der Zugriff auf weitere Systeme ermöglichen. Ohne großen Aufwand für den Anwender, allerdings im Falle der Erbeutung der digitalen Identität mit den gleichen fatalen Folgen für die Sicherheit.

Dem Verlangen nach Bequemlichkeit versuchen neuartige Lösungsansätze zu entsprechen, die auf Basis von Sensoren authentifizieren, wie Fingerabdruck, Gesichts- oder Stimmerkennung. Allerdings ist manches biometrisches Verfahren noch nicht ganz ausgereift, so dass beispielsweise der Fingerscan mehrfach wiederholt werden muss oder schlimmstenfalls die biometrische Erkennung ausgetrickst werden kann. Auf dem Handy funktioniert der Gesichtsscan auf Basis von 3D-Funktionalität mittlerweile sehr gut. Biometrie ist definitiv bequem, darf aber nur in Kombination mit einem weiteren Authentisierungsfaktor (aka. 2FA/MFA) eingesetzt werden.

Anwenderfreundlichkeit im Fokus

Einen Schritt weiter in der Authentifizierung gehen Verfahren, die ganz ohne Passwörter auskommen. PKI-basierte Verfahren überprüfen anhand eines einmaligen Zertifikats die Identität des Users und damit kann auf klassische Passwörter verzichtet werden, so dass der Anwendererfahrung Rechnung getragen wird. Die Infrastruktur, die sich hinter diesem Authentifizierungskonzept verbirgt, ist allerdings komplex und kostspielig im Betrieb. Andere passwortfreie Ansätze, wie SQRL, haben es schwer sich im Unternehmensumfeld durchzusetzen, da diese Public-Domain Methode nicht die geforderte Support-Struktur bieten kann.

Die Adoptionsrate eines solchen Ansatzes lässt derzeit also zu wünschen übrig. Denn alle Anwendungen müssten dieses passwortlose Modell unterstützen, was gerade im Bereich langlebiger Anwendungen eine Herausforderung darstellt. Moderne, Cloud-basierte Lösungen setzen deshalb auf SAML oder andere Token-basierte Authentifizierungsmethoden, wie Kerberos oder Open ID Connect.

Mehrfachauthentifizierung für mehr Sicherheit

Letztlich bietet das Zusammenspiel der klassischen drei Faktoren der Authentifizierung derzeit State-of-the-Art Sicherheit. Die Kombination von etwas, das der Anwender weiß (das Password), etwas, dass er hat (ein Token, Google Authenticator, SMS, yubikey) und einem persönlichen Kriterium, wie Fingerabdruck, Stimme oder Gesicht bildet die Grundlage für eine Mehrfaktorauthentifizierung, um die Unternehmen heute nicht mehr herumkommen. Auf dieses Prinzip setzen Identity Provider, die damit Bequemlichkeit und Sicherheit beim Zugriff auf Anwendungen miteinander vereinen. Nach der Multifaktor-Authentifizierung erhält der User automatisch Zugriff auf seine nachgelagerten Anwendungen.

Nach der Ablösung des klassischen Passworts für vielfältige Services und der Mehrfaktorauthentifizierung sollten sich Unternehmen zunehmend Gedanken darüber machen, wie sie den sicheren Zugriff auf Anwendungen gewährleisten, die in die Cloud verlagert werden. Je mehr Applikationen in moderne Cloud-Umgebungen wandern, desto mehr wird das Thema Cloud-basierter Zugriffskontrollmechanismen aktuell. Ein zukunftsträchtiger Weg ist also die Kombination passwortloser Authentifizierung mit herkömmlichen Methoden.

Zero Trust im der Diskussion

Im Zusammenhang mit der Cloud und dem sicheren Remote-Zugriff auf Daten und Anwendungen, die nicht mehr im Unternehmensnetz vorgehalten werden, kommt derzeit unter dem Stichwort Zero Trust eine weitere Komponente der User-Authentifizierung in die Diskussion, die weit über ein einfaches Passwort hinausgeht. Wie kann auch nach der einmaligen Authentifizierung sichergestellt werden, dass nur ein berechtigter User auf einen zugelassenen Service zugreift? Wie kann dabei im Zuge des Gartner CARTA-Modells kontinuierlich überwacht werden, dass der Anwender das Vertrauen auf den Zugriff verdient? Das Passwort war gestern. Das Zeitalter der Cloud macht ganz neue Überlegungen für den sicheren Zugriff erforderlich. Ein Software-definierter Perimeter ist eine Lösung.

 Weitere Informationen zum Thema:

datensicherheit.de, 29.04.2019
Zum Welt-Passwort-Tag: In drei Schritten zu sicheren Zugangsdaten

datensicherheit.de, 07.04.2019
Phishing-Gefahr: Kompromittierte WordPress-Webseiten entdeckt

datensicherheit.de, 16.03.2019
Zscaler meldet Aufdeckung aktueller Scamming-Kampagnen

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 12.021.2019
Valentinstag am 14. Februar: Wieder droht Love Scam

datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019



Kommentieren

Kommentar

Current ye@r *

Kooperation

TeleTrusT – Bundesverband IT-Sicherheit e.V.

Kooperation

Initiative Digital

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Partner

ZIM-BB

Gefragte Themen


Datenschutzerklärung