Das Passwort war gestern
Bildquelle: Banner Adobe Express
Gestern konnte man digitale Systeme und Identitäten absichern wie eine Burg. Der Zugriff auf Firmendaten war lediglich im geschützten Raum (Perimeter) möglich. So etwas wie der Zugriff von zu Hause oder aus dem Café am Bahnhof war noch gar nicht vorgesehen. Für diese Konstellation reichte tatsächlich ein Benutzername und Kennwort zur Absicherung der digitalen Identitäten aus. Die Sicherheit lieferte der Burggraben um die digitale Festung herum. Der Deckname für den Verantwortlichen bei den digitalen Kriminellen, soll wie im vorherigen Artikel, wieder Mr. Spider sein.
Zugriff von überall
Spätestens COVID-19 veränderte diese Konstellationen. Ein Zugriff von zu Hause oder von einem anderen Ort mit Internetzugriff ist der neue Standard. Der Burggraben um die digitale Festung wird dadurch wirkungslos. Das spielt Mr. Spider voll in die Karten. Kann Mr. Spider eine Kombination aus Kennwort und Benutzername erbeuten hat er auch Zugriff auf die digitalen Systeme des Opfers. Das dies mit 100 bis 1.000 Dollar nicht unbedingt ein teures Unterfangen ist, haben wir im vorhergehenden Artikel »Welche digitalen Kriminellen wollen dein kleines oder mittelständisches Unternehmen angreifen?« bereits beleuchtet.
Was ist MFA? Was ist Passwordless?
Um die Kombination aus Kennwort und Passwort weiter abzusichern gibt es die Multi-Faktor-Authentifizierung (MFA) oder eine komplett passwortlose Authentifizierung. Mit MFA oder Passwordless kann ein digitaler Verteidiger Mr. Spider ziemlich schnell dazu bewegen, sich Opfern zuzuwenden die diese Technologien nicht einsetzen.
Multi-Faktor beschreibt bereits, dass der bereits vorhandene Faktor des Kennworts (etwas das man weiß) um einen oder weitere Faktoren erweitert wird. Wie zum Beispiel ein Authenticator auf dem Smartphone (etwas das man hat) oder durch Biometrie (etwas das man ist). Banken setzen seit jeher auf einen solchen Mechanismus. Die PIN ist ewas das man weiß und die Bankkarte ist etwas das man hat.
Passwordless ist die Evolution des Ganzen. Die digitale Identität Authentifiziert sich mit einem Benutzernamen und nur mit etwas das sie hat oder ist. Das Kennwort wird dadurch überflüssig und die Benutzerfreundlichkeit erhöht sich.
Wirkungsweise und Effektivität
Hat Mr. Spider von seinem Opfer die Kombination aus Kennwort und Benutzername in der Hand kommt er nicht weiter, wenn MFA eingesetzt wird. Denn er müsste nun, um sich erfolgreich zu authentifizieren, den Authenticator auf dem Smartphone oder die Biometrie zur erfolgreichen Authentifizierung vorlegen. Dazu ist er schlichtweg gar nicht in der Lage. Die amerikanische Cybersecurity & Infrastructure Security Agency sagt zum Beispiel:
»Whether you call it multi-factor or two-factor authentication, this simple step can make you 99% less likely to get hacked.«
Passwordless stellt Mr. Spider noch vor ein weiteres Problem. Es gibt gar kein Passwort mehr das er klauen könnte.
Einführung von MFA oder Passwordless
MFA schränkt den Komfort der Benutzer zunächst ein. Hierfür ist es notwendig vor der technischen Umsetzung zuerst den Mensch abzuholen. Mit einer geschickten Informationskampagne sollen zuerst die Menschen abgeholt werden und Akzeptanz geschaffen werden. Anschließend kann man sich um die technische Umsetzung von MFA oder Passwordless kümmern.