Das Thema Authentifizierung ist innerhalb der IT-Sicherheit seit Jahren ein Dauerbrenner,schließlich birgt der unzureichende Schutz von geschäftskritischen Konten und Anwendungen ein beachtliches Risiko. Durch das Aufkommen von “passwortloser Authentifizierung” hat das Thema neuen Schub bekommen. Doch was bedeutet dies konkret und wie können sich Unternehmen so aufstellen, dass die starke Authentifizierung ohne Passwort gelingt?
Grundsätzlich ist wichtig festzuhalten, dass die Authentifizierung über Passwörter die unsicherste Art ist, sich zu authentifizieren. Denn Passwörter sind einfach durch Phishing zu ergattern oder werden in gekaperten Passwortdatenbanken gestohlen, sie sind oft leicht zu erraten und werden häufig wiederverwendet. Die Folge: 81% aller Angriffe auf IT-Systeme werden mit gestohlenen oder erratenen Credentials durchgeführt. Passwörter stellen also ein Sicherheitsrisiko dar, und obendrein sind sie teuer. Der Hauptkostentreiber ist hier das Management von Passwörtern. Ein Reset eines Passworts, mit Helpdeskbeteiligung, kostet etwa 70$ pro Fall, was sich in großen Organisationen auf bis zu 1.000.000$ im Jahr aufsummieren kann.
Zeit also, sich mit dem Konzept der passwortlosen Authentifizierung auseinander zu setzen. Der Ansatz basiert auf Protokollen, die starke asymmetrische (Private Public Key) Kryptographie nutzen und somit, anders als beim Passwort, ohne geteilte Geheimnisse auskommen. Wichtig ist hier, dass der private Schlüssel sicher in einem Kryptoprozessor eines Authenticators, wie dem YubiKey, abgelegt wird und dass dieser Schlüssel durch eine PIN oder ein biometrisches Merkmal geschützt ist.
Die modernste Ausprägung dieser Art der Authentifizierung ist FIDO2. Dieser offene Authentifizierungsstandard, bestehend aus den Protokollen WebAuthn und CTAP2, bietet neben dem kryptographischen Unterbau
auch einen eingebauten Schutz gegen Device Cloning, Man-in-the-Middle- und Phishing-Angriffe – und das bei einfachster Bedienbarkeit für die Nutzer.Die Stärken von FIDO2 haben Anbieter verschiedenster IT-Lösungen längst erkannt, sodass sie Support für FIDO2 in aktuelle Produkte integriert haben. Allerdings beherrschen noch nicht alle Systeme FIDO2. Dennoch kann der YubiKey hier helfen, da er als Multiprotokoll-Key alle industrierelevanten Authentifizierungsprotokolle beherrscht und so passwortlose Authentifizierung etwa als Smartcard bereitstellen kann, um die Brücke zwischen der klassischen und der modernen Art der Authentifizierung zu schlagen.
Aber welche Schritte können nun exemplarisch unternommen werden, um die eigene Organisation für “Passwortlos” fit zu machen?
Bevor man als Organisation beginnt ein Projekt aufzusetzen, sollte man sich die Frage stellen: „Habe ich genug interne Ressourcen, dies in die Tat umzusetzen oder brauche ich externe Unterstützung?“. Selbstverständlich hat Yubico bestens ausgebildete Partner, die solche Projekte täglich in großen wie kleinen Firmen umsetzen und managen.
Man muss bei einem solchen Projekt selbstverständlich auch über die Technik sprechen. Denn ohne das technische Fundament, also die Identity Access Management Lösung, das Privileged User Management System, den Directory Service oder Managed Service Provider, wird eine starke und sichere Authentifizierungslösung nicht umzusetzen sein. Aber bevor man alles Bestehende einreißt und von Null aus aufbaut, gilt es zunächst zu analysieren, was bereits im Unternehmen vorhanden ist.
Ist man etwa bereits in Teilen oder vollständig an Azure Active Directory angebunden und somit schon PWL ready? Gibt es zurzeit “nur” ein lokales Active Directory und soll trotzdem mit einem Smartcard Deployment begonnen werden? Oder benötigt man doch eine andere Lösung wie Okta, Entrust, Ping oder OneLogin? Der YubiKey, der mit über 700 zertifizierten Lösungen zusammenarbeitet, lässt sich in die gewählte technische Plattform integrieren – flexibel und zukunftssicher.
Ist das Ziel “passwortlose Authentifizierung” gesetzt, gilt es einige Detailfragen zu klären:
1. Welche User gibt es und wie sind ihre Risikoprofile?
2. An welchen Endgeräten arbeiten die Nutzer?
3. Wo sind die User und wie erhalten sie ihren YubiKey?
4. Wann soll passwortlos authentifiziert werden?
5. Welche Fachbereiche sind im Scope?
6. Wie ist meine Kommunikationsstrategie, die den Mehrwert, aber auch die Änderungen
erläutert?
7. Wie integriere ich zum Beispiel einen Enrollmentprozess in die Abläufe der HR-Abteilung beim
Onboarding von neuen Mitarbeitern aber auch einen Revocationprozess, wenn Angestellte das
Unternehmen verlassen?
8. Ist – und das ist wirklich wichtig – die Supportorganisation eingebunden und gibt es Schulungen,
die den HelpDesk auf die anstehenden Veränderungen vorbereiten? Es wird, auch wenn die
Authentifizierung mit einem YubiKey wirklich sehr einfach ist, gerade am Anfang Rückfragen
geben. Damit dieses “Mehr” abgefangen werden kann, muss der Support entsprechend früh
eingebunden sein.
Ob Logistik, Projekt Management oder technische Expertise – Yubico und seine Partner stehen
Organisationen mit Rat und Tat zur Seite.
Im nächsten Schritt werden Erfolgskriterien definiert, die im Rahmen eines Proof Of Conceptsgeprüft werden. Der PoC dient dazu, die erdachte Gesamtstrategie zu testen und die grundsätzliche Machbarkeit zu beurteilen.
Starten Sie einen oder mehrere Piloten und rollen Sie die Lösung nach und nach an verschiedene Nutzergruppen aus. Dabei gilt es, früh zu planen und entsprechend zu kommunizieren, welche Veränderungen anstehen und wie die neue Art der Authentifizierung genau abläuft – vom Enrollment, über den eigentlichen Authentifizierungschritt bis zur Revocation.
Messen und tracken – das steht jetzt an. Erfassen Sie, wie viele YubiKeys verteilt wurden und wie viele tatsächlich enrolled bzw. genutzt werden. Wie entwickelt sich die Anzahl der passwortlosen Authentifizierungen gegenüber der “alten” Authentifizierungsmethode und was passiert am Helpdesk? Diese Daten helfen Schritte zu identifizieren, die das Nutzererlebnis noch weiter verbessern können.
Yubico ist der Hauptentwickler der Authentifizierungsstandards WebAuthn/FIDO2 und U2F, die von der FIDO Alliance übernommen wurden, und das erste Unternehmen, das den U2F-Sicherheitsschlüssel und einen FIDO2/ WebAuthnAuthentifikator mit Unterstützung mehrerer Protokolle hergestellt hat. Die Technologie von Yubico wird von 9 der 10 führenden Internetmarken eingesetzt und hat Millionen begeisterte Benutzer in 160 Ländern.
Yubico setzt neue weltweite Maßstäbe für den einfachen und sicheren Zugriff auf Computer, Server und Onlinekonten. Yubico ist ein 2007 gegründetes Privatunternehmen und unterhält Geschäftsstellen in Australien, Deutschland, Singapur, Schweden, dem Vereinigten Königreich und in den USA. Neun der Top-10-Internetmarken und Millionen Benutzer in über 160 Ländern nutzen die Yubico-Technologie.