Passwortlose Authentifizierungsmöglichkeiten prüfen

Am 06. Mai steht der neunte Welt-Passwort-Tag im Kalender. Aber anstatt sich auf Passwörter zu verlassen, sollte der Fokus auf der Implementierung zusätzlicher Authentifizierungsmethoden (Multi-Faktor-Authentifizierung, MFA) liegen, wie zum Beispiel die Verwendung von Biometrie oder Einmal-Passcodes (OTPs).

Als Experte für IT-Sicherheitsschwachstellen und Hygiene im Zusammenhang mit Cybersecurity kommentiert David Cummins, VP of EMEA bei Tenable den Stand der Dinge rund um Passwörter und alternative Sicherheitsmaßnahmen: „Am jährlichen Welt-Passwort-Tag kommen mir zwei Gedanken: Warum sind wir immer noch auf Passwörter angewiesen, um unsere Online-Identitäten zu bestätigen? Und warum fallen Menschen auf Betrüger herein, die sie auffordern, ihre Passwörter zu verraten?

Als der Welt-Passwort-Tag 2013 ins Leben gerufen wurde, lag der Schwerpunkt darauf, Benutzer zu ermutigen, starke und einzigartige Passwörter zu erstellen und zu verwenden. Die Anzahl der gemeldeten Datenschutzverletzungen, bei denen Betrüger eine Datenbank mit Benutzernamen und Passwörtern erlangt haben, ist seitdem weiter gestiegen. Somit hilft es nicht, das stärkste Passwort der Welt zu erstellen, wenn Betrüger es bereits kennen.

Anstatt sich auf Passwörter zu verlassen, sollte der Fokus auf der Implementierung zusätzlicher Authentifizierungsmethoden (Multi-Faktor-Authentifizierung, MFA) liegen, wie etwa die Verwendung von Biometrie oder Einmal-Passcodes (OTPs). Darüber hinaus sollte MFA standardmäßig implementiert werden, anstatt dem Benutzer die Wahl des Sicherheitsniveaus zu überlassen. Sie ist einfach zu verwenden und bietet eine zusätzliche Sicherheitsebene. Die Mehrheit der Erwachsenen auf der Welt verfügt heute über ein persönliches Gerät (Smartphone, Tablet etc.), das einen Authentifizierungsmechanismus, seien es biometrische Daten, OTPs oder dergleichen ermöglicht. Daher wäre dies wirklich eine einfache, aber leistungsstarke Lösung.

Da die Verwendung von Passwörtern immer noch der Hauptweg ist, um Identitäten für zahlreiche Online-Dienste und -Portale zu bestätigen, müssen Verbraucher diese Codes schützen. Wir werden alle von unseren Banken aufgefordert, unsere PIN niemandem preiszugeben. Viel zu viele Betrügereien konzentrieren sich aber genau darauf, Personen zur Preisgabe von Passwörtern zu verleiten, weil diese Maschen funktionieren. Denken Sie nach, bevor Sie persönliche Informationen preisgeben, denn Sie könnten damit den Schlüssel zu Ihrer Online-Identität verschenken.“

Dazu ergänzt Derek Melber, Technical Director bei Tenable: „Anstatt sich darauf zu konzentrieren, was ein sicheres Passwort ausmacht oder nicht, sollten wir einen anderen Weg einschlagen. An diesem Welt-Passwort-Tag fordere ich alle Active Directory (AD)-Administratoren auf, zu überprüfen, ob AD-Benutzer ein Passwort benötigen. Die Realität ist, dass es AD schon eine Weile gibt und das, was bereits vorhanden ist, als sicher erachtet wird. Die Realität ist jedoch, dass AD-Benutzer ungeschützt sind. Jeder AD-Benutzer könnte durch eine einfache Fehlkonfiguration seine Passwortanforderungen komplett außer Kraft setzen lassen. Diese Einstellung ist nicht offensichtlich und kann bei einer Sicherheitsüberprüfung oder einem Audit leicht übersehen werden. Nehmen Sie sich ein paar Minuten Zeit, um mit dem PowerShell-Befehl Get-ADUser -Filter {PasswordNotRequired -eq $true} zu überprüfen, welche Benutzer kein Kennwort benötigen. Lassen Sie uns an diesem Welt-Passwort-Zag mehr als nur das Offensichtliche betrachten.“

Foto: David Cummins, VP of EMEA bei Tenable

Teaserfoto: © Adobe Stock/Joko