Aktuelles - geschrieben von cp am Donnerstag, Mai 2, 2019 10:50 - noch keine Kommentare
Moderne Authentifizierung: Vom Password zu Zero Trust
Statement zum Global Password Day von Rainer Rehm, Zscaler
[datensicherheit.de, 02.05.2019] Noch immer ist es Standard, dass sich Anwender mittels User-ID und Password auf verschiedensten Systemen authentifizieren. Das klassische Passwort hat gerade beim Endanwender noch lange nicht ausgedient trotz der allgegenwärtigen Gefahr des Password-Stuffings durch Hacker.
Bequemlichkeit ist ein Sicherheitsrisiko
Die Verwendung des gleichen Passwords als Zugriffsgrundlage für unterschiedlichste Services müsste in Zeiten von im Internet kursierenden Listen von Leakages längst der Vergangenheit angehören – zu groß ist die Gefahr, Angreifern dadurch den Zugang zu vertraulichen Daten auch im Unternehmensnetz zu gewähren. Leider agieren User trotz Password-Manager nach wie vor auf Basis der Bequemlichkeit und wollen sich lediglich ein einziges Passwort merken. Wider besseres Wissen leisten sie damit Password-Stuffing Vorschub und ermöglichen Angreifern ein lukratives Auskommen. Denn wenn diese einmal die entscheiden Daten erbeutet haben, haben sie leichtes Spiel, mit Hilfe eines einzigen Passwords Zugang zu verschiedensten Diensten auszutesten.
Rainer Rehm, Data Privacy Officer EMEA, Zscaler
Federated-IdP als Authentifizierungsmethode
Dass Bequemlichkeit großgeschrieben wird, zeigt auch die Bedeutung, die mittlerweile Federated-IdP als Authentifizierungsmethode erfährt. Damit lässt sich mittels APIs beispielsweise über einen separaten Identitätsanbieter (z.B. anhand der Facebook-Identität des Anwenders) der Zugriff auf weitere Systeme ermöglichen. Ohne großen Aufwand für den Anwender, allerdings im Falle der Erbeutung der digitalen Identität mit den gleichen fatalen Folgen für die Sicherheit.
Dem Verlangen nach Bequemlichkeit versuchen neuartige Lösungsansätze zu entsprechen, die auf Basis von Sensoren authentifizieren, wie Fingerabdruck, Gesichts- oder Stimmerkennung. Allerdings ist manches biometrisches Verfahren noch nicht ganz ausgereift, so dass beispielsweise der Fingerscan mehrfach wiederholt werden muss oder schlimmstenfalls die biometrische Erkennung ausgetrickst werden kann. Auf dem Handy funktioniert der Gesichtsscan auf Basis von 3D-Funktionalität mittlerweile sehr gut. Biometrie ist definitiv bequem, darf aber nur in Kombination mit einem weiteren Authentisierungsfaktor (aka. 2FA/MFA) eingesetzt werden.
Anwenderfreundlichkeit im Fokus
Einen Schritt weiter in der Authentifizierung gehen Verfahren, die ganz ohne Passwörter auskommen. PKI-basierte Verfahren überprüfen anhand eines einmaligen Zertifikats die Identität des Users und damit kann auf klassische Passwörter verzichtet werden, so dass der Anwendererfahrung Rechnung getragen wird. Die Infrastruktur, die sich hinter diesem Authentifizierungskonzept verbirgt, ist allerdings komplex und kostspielig im Betrieb. Andere passwortfreie Ansätze, wie SQRL, haben es schwer sich im Unternehmensumfeld durchzusetzen, da diese Public-Domain Methode nicht die geforderte Support-Struktur bieten kann.
Die Adoptionsrate eines solchen Ansatzes lässt derzeit also zu wünschen übrig. Denn alle Anwendungen müssten dieses passwortlose Modell unterstützen, was gerade im Bereich langlebiger Anwendungen eine Herausforderung darstellt. Moderne, Cloud-basierte Lösungen setzen deshalb auf SAML oder andere Token-basierte Authentifizierungsmethoden, wie Kerberos oder Open ID Connect.
Mehrfachauthentifizierung für mehr Sicherheit
Letztlich bietet das Zusammenspiel der klassischen drei Faktoren der Authentifizierung derzeit State-of-the-Art Sicherheit. Die Kombination von etwas, das der Anwender weiß (das Password), etwas, dass er hat (ein Token, Google Authenticator, SMS, yubikey) und einem persönlichen Kriterium, wie Fingerabdruck, Stimme oder Gesicht bildet die Grundlage für eine Mehrfaktorauthentifizierung, um die Unternehmen heute nicht mehr herumkommen. Auf dieses Prinzip setzen Identity Provider, die damit Bequemlichkeit und Sicherheit beim Zugriff auf Anwendungen miteinander vereinen. Nach der Multifaktor-Authentifizierung erhält der User automatisch Zugriff auf seine nachgelagerten Anwendungen.
Nach der Ablösung des klassischen Passworts für vielfältige Services und der Mehrfaktorauthentifizierung sollten sich Unternehmen zunehmend Gedanken darüber machen, wie sie den sicheren Zugriff auf Anwendungen gewährleisten, die in die Cloud verlagert werden. Je mehr Applikationen in moderne Cloud-Umgebungen wandern, desto mehr wird das Thema Cloud-basierter Zugriffskontrollmechanismen aktuell. Ein zukunftsträchtiger Weg ist also die Kombination passwortloser Authentifizierung mit herkömmlichen Methoden.
Zero Trust im der Diskussion
Im Zusammenhang mit der Cloud und dem sicheren Remote-Zugriff auf Daten und Anwendungen, die nicht mehr im Unternehmensnetz vorgehalten werden, kommt derzeit unter dem Stichwort Zero Trust eine weitere Komponente der User-Authentifizierung in die Diskussion, die weit über ein einfaches Passwort hinausgeht. Wie kann auch nach der einmaligen Authentifizierung sichergestellt werden, dass nur ein berechtigter User auf einen zugelassenen Service zugreift? Wie kann dabei im Zuge des Gartner CARTA-Modells kontinuierlich überwacht werden, dass der Anwender das Vertrauen auf den Zugriff verdient? Das Passwort war gestern. Das Zeitalter der Cloud macht ganz neue Überlegungen für den sicheren Zugriff erforderlich. Ein Software-definierter Perimeter ist eine Lösung.
Weitere Informationen zum Thema:
datensicherheit.de, 29.04.2019
Zum Welt-Passwort-Tag: In drei Schritten zu sicheren Zugangsdaten
datensicherheit.de, 07.04.2019
Phishing-Gefahr: Kompromittierte WordPress-Webseiten entdeckt
datensicherheit.de, 16.03.2019
Zscaler meldet Aufdeckung aktueller Scamming-Kampagnen
datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird
datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent
datensicherheit.de, 12.021.2019
Valentinstag am 14. Februar: Wieder droht Love Scam
datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 22, 2024 18:42 - noch keine Kommentare
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
weitere Beiträge in Branche
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren