Sind Passwörter überholt? Eine Lösung für das Passwortproblem

Das Problem mit Passwörtern 

Die meisten von uns verwenden täglich Passwörter zur Anmeldung bei einer Vielzahl verschiedener Konten, vom Online-Banking bis zu sozialen Medien. Es wird jedoch immer deutlicher, dass Passwörter ein erhebliches Risiko für die Cybersicherheit darstellen – nicht nur für Privatpersonen, sondern auch für Unternehmen, Behörden und andere Organisationen. Schon ein einziges kompromittiertes Passwort kann ein ganzes Unternehmen gefährden und Cyberangreifern Zugang zu sensiblen Daten, Systemen und Anwendungen verschaffen. Laut einer von LastPass durchgeführten Studie über bestätigte Datenschutzverletzungen sind über 80 % aller Vorfälle auf schwache, wiederverwendete oder gestohlene Passwörter zurückzuführen.  

Passwörter können auf verschiedene Weise kompromittiert werden.  

• Erraten: Komplexe Passwörter sind schwer zu merken und einzugeben, daher verwenden viele Menschen immer noch zu kurze, zu häufig verwendete und zu einfache Passwörter. Die weltweit am häufigsten verwendeten Passwörter sind 12345, 123456, 123456789, qwerty und password. Weitere gängige Passwörter bestehen aus Geburtsdaten, Haustiernamen, Namen von Kindern und Straßennamen – also Informationen, die leicht zu recherchieren oder zu erraten sind.  

• Brute-Force-Angriffe: Auch kurze Passwörter als Variationen häufig genutzter Wörter und Phrasen sind sehr anfällig für Hacking und Brute-Force-Angriffe. Angriffe dieser Art nutzen Software (im Darkweb ganz einfach erhältlich) zum Durchprobieren möglicher Kombinationen von Benutzernamen und Kennwörtern. Mithilfe von Brute-Force-Methoden lassen sich die meisten von Menschen erstellten Passwörter innerhalb von Sekunden oder Minuten knacken. 

• Malware: Schadsoftware wie Keylogger, Spyware und Credential Harvester kann Passwörter bei der Eingabe erfassen oder gespeicherte und zwischengespeicherte Passwörter auf dem Gerät ausfindig machen. Malware nutzt üblicherweise Sicherheitslücken aus oder verleitet Benutzer zur Installation. Nach ihrer Aktivierung kann sie völlig unbemerkt im Hintergrund arbeiten, Passwortdaten erfassen und diese dann an Cyberkriminelle weiterleiten. 

• Kauf von Passwörtern: Immer häufiger bedienen sich Cyberkriminelle zur Beschaffung von Passwörtern einer ganz einfachen Methode: Sie kaufen Zugangsdaten online. Im Jahr 2022 fanden Forscher von Spycloud mehr als 721,5 Millionen online einsehbare Zugangsdaten, die großteils durch Malware oder weitreichende Datenschutzverletzungen erbeutet wurden.  

• Credential Stuffing: Viele Menschen verwenden dieselben Passwörter unverändert in mehreren Anwendungen. Deshalb sind Einzelpersonen wie auch Unternehmen zusätzlich gefährdet durch Credential Stuffing-Angriffe, bei denen Kriminelle gestohlene Zugangsdaten auch auf anderen Websites und Anwendungen testen.  

• Phishing: Phishing-Angriffe werden immer raffinierter und zielen häufig auf bestimmte Organisationen oder sogar Einzelpersonen innerhalb einer Organisation ab – eine Technik, die als „Spear Phishing“ bekannt ist. Phishing zählt nach wie vor zu den häufigsten Formen von Cyberangriffen. Es verleitet Menschen dazu, ihre Anmeldedaten auf gefälschten Anmeldeseiten zu hinterlassen oder auf andere Weise an Hacker weiterzugeben. Mittels Social-Engineering-Taktiken geben sich Angreifer häufig als vertrauenswürdige Person aus und überzeugen so andere Personen, ihre Passwörter preiszugeben. 

Abgesehen von diesen Sicherheitsbedenken ist auch die Verwaltung von Passwörtern sowohl für Benutzer als auch IT-Abteilungen schwierig und zeitaufwändig. Benutzer mit effektiven Sicherheitspraktiken müssen sich im Laufe des Tages mehrere komplexe Passwörter merken und verwalten, was zu einer Art „Passwortmüdigkeit“ und einem Vergessen von Passwörtern führt. Zudem ist es für Mitarbeiter zeitaufwändig, Passwörter auf verschiedenen Geräten einzugeben. Passwortspeicher können entlasten, aber nicht alle oben genannten Sicherheitsprobleme lösen. Systeme zurücksetzen, Benutzer bei verlorenen Passwörtern unterstützen sowie Reaktionen auf potenzielle oder tatsächliche Passwortverletzungen bedeuten auch für IT-Abteilungen einen erheblichen Zeitaufwand.  

Verbesserte Authentifizierungssicherheit durch RFID und mobile Credentials  

Um das Passwortproblem endgültig zu lösen, müssen Passwörter vielleicht einfach ganz verschwinden. Mit Single Sign-on (SSO) für Geschäftssysteme einschließlich RFID-Karten und Smartphone-Anmeldesystemen mit BLE oder NFC verfügen Unternehmen inzwischen über weit bessere Alternativen zur Benutzerauthentifizierung.  

Mit RFID oder mobilen Credentials müssen sich Benutzer nicht mehr an ein Passwort erinnern oder ein solches eingeben, um sich an einem System, einem Gerät oder einer Anwendung anzumelden. Stattdessen halten sie einfach ihre Karte, ihren Token oder ihr Smartphone in die Nähe eines angeschlossenen oder integrierten RFID-Lesegeräts, um sich schnell, berührungslos und ohne Passwort zu authentifizieren. Diese Methoden der Benutzerauthentifizierung bedeuten sowohl für Benutzer als auch IT-Abteilungen eine Vereinfachung: Es entfällt die Notwendigkeit, sich Passwörter zu merken oder diese zurücksetzen zu lassen, und die Zugangsberechtigung kann bei Verlust von Karte oder Telefon sowie bei Änderungsbedarf der Zugangsstufen über ein zentrales System verwaltet werden. Üblicherweise können sich Anwender mit derselben Karte oder denselben mobilen Credentials an digitalen Geräten und Anwendungen anmelden, die für den Zugang zur Einrichtung erforderlich sind.  

Die Benutzerauthentifizierung über mobile Credentials oder RFID-Karten ist äußerst sicher und zuverlässig und löst die häufigsten Sicherheitsprobleme mit Passwörtern. Die Benutzer verwenden und speichern kein Passwort für das System, wodurch Phishing- und Malware-Angriffe unwirksam werden. Verschlüsselte RFID-Daten oder mobile Credentials sind zudem äußerst schwer zu hacken oder zu klonen. Für ein noch höheres Maß an Sicherheit lassen sich RFID-Karten oder mobile Credentials mit einem Passwort oder einem biometrischen System zu einer Multifaktor-Authentifizierung kombinieren.  

Systeme zur passwortlosen Authentifizierung können Unternehmen dabei helfen, neue Cybersicherheitsstandards und -richtlinien wie beispielsweise die N1S2-Richtlinie in Europa und das NIST Cybersecurity Framework 2.0 in den USA zu erfüllen. Unternehmen stehen unter zunehmendem Druck der Regulierungsbehörden, ihre Cybersicherheit zu verbessern, sensible Daten zu schützen und Systemverletzungen zu verhindern, die den Betrieb unterbrechen könnten. Das steht besonders im Fokus bei Regierungsbehörden und anderen Organisationen, die in Bereichen wie Verteidigung und öffentliche Sicherheit sowie in kritischen Branchen wie Energie und Versorgung, Transport, Finanzdienstleistungen, Landwirtschaft und Lebensmittelvertrieb, Gesundheitswesen, Telekommunikation, Fertigung und anderen tätig sind. Standards für die Benutzerauthentifizierung sind ein wesentlicher Bestandteil aller Regelwerke zur Cybersicherheit.  

Durch Verbesserung der Benutzerauthentifizierung erhöhen Organisationen das Sicherheitsniveau für das gesamte Unternehmen und schützen damit Menschen, Werte und Daten. Ein sicheres, zuverlässiges Authentifizierungssystem auf Grundlage von RFID oder mobilen Credentials unterstützt Unternehmen und Behörden dabei, neue gesetzliche Anforderungen zu erfüllen und sich auf die Zukunft der Cybersicherheit vorzubereiten.