Passwörter sollen nicht nur möglichst komplex sein, sondern auch häufig geändert werden. Am besten, sie enthalten noch kryptische Sonderzeichen; doch die lassen sich gerade auf mobilen Geräten ohne Tastatur oft schwer eingeben. Kein Wunder, dass Passwörter bei Anwendern nicht allzu beliebt sind. Immer häufiger liest man neuerdings, dass Benutzer dasselbe Passwort für verschiedene Konten/ Anwendungen benutzen. Ein Umstand, vor dem vielfach gewarnt wird. Multi-Faktor-Authentifizierung könnte hier Abhilfe bieten. Wir schauen uns die Optionen an.
Insbesondere bei IT-Abteilungen, die für die Sicherheit der IT-Infrastruktur zuständig sind, geraten Passwörter immer mehr ins Abseits. Erfolgreiche Cyberangriffe basieren heute zu einem Großteil auf gestohlenen und schwachen Passwörtern. Aktuelle Studien sehen vor allem eine Gefahr in der weit verbreiteten Mehrfachnutzung von Passwörtern für unterschiedliche Dienste.
So können moderne Hacker heutzutage eine Vielzahl der vermeintlich sicheren Zugangsdaten innerhalb kürzester Zeit erfolgreich erraten. Hinzu kommen immer raffiniertere Phishing-Mails und Webseiten, die Nutzer zur Eingabe sensibler Daten verleiten, und somit jedes noch so starke Passwort ad absurdum führen.
Sicherheits- und IT-Lösungsanbieter wie Microsoft empfehlen schon lange, traditionelle Passwörter mittels einer zusätzlichen Authentifizierung abzusichern, Multi-Faktor-Authentifizierung (MFA) genannt. Diese erfreut sich in größeren Organisationen zunehmender Beliebtheit, weil moderne MFA-Lösungen sich immer einfacher und günstiger umsetzen lassen.
Höchste Sicherheit durch mehrstufige Authentifizierung
Für Unternehmenskunden bietet Microsoft verschiedene MFA-Angebote, die wir uns hier kurz ansehen wollen. Neben Windows Hello for Business und der Microsoft Authenticator App, soll es dabei auch um die Unterstützung des FIDO2-Sicherheitsschlüssels gehen.
Mit Windows Hello for Business vereinfachen IT-Administratoren die Anmeldung am Firmengerät sowie den Remote-Zugang für Mitarbeiter durch eine sichere zweistufige Authentifizierung, bei der ein biometrisches Merkmal verwendet wird. Dieses reduziert die Notwendigkeit von Passworteingaben deutlich – ganz gleich, ob der Windows Client on-premise, hybrid oder via Cloud betrieben wird.
Mit der Anwendung Microsoft Authenticator lassen sich Identitäten schnell und sicher online überprüfen. Durch eine zweistufige Anmeldung unterstützt die App Anwender dabei, nicht autorisierte Zugriffe auf Konten sowie betrügerische Transaktionen sicher zu unterbinden.
Kennwörter können vergessen, gestohlen oder kompromittiert werden. Mit Microsoft Authenticator erhält das mobile Device des Nutzers neben Pin oder Fingerabdruck einen weiteren Sicherheitsmechanismus. Die Identitätsüberprüfung via App bietet dabei zwei Möglichkeiten:
- Die App sendet eine Benachrichtigung an das betreffende Gerät. Zur Genehmigung müssen Anwender dann lediglich auf die Nachricht tippen – und fertig. Sie sollten vorher jedoch sicherstellen, dass die Informationen in der Benachrichtigung richtig sind und „Überprüfen“ auswählen. Wenn sie die Benachrichtigung nicht kennen, wählen sie „Ablehnen“ aus. Nachdem auf „Ablehnen“ geklickt wurde, kann die Anforderung auch als betrügerisch markiert werden.
- Integrierter Sicherheitscode-Generator. Nachdem Anwender ihren Benutzernamen sowie das Kennwort eingegeben haben, können sie die App öffnen und den angezeigten Prüfcode in den Anmeldebildschirm kopieren. Der Prüfcode fungiert als zweite Authentifizierungsmethode.
Die Authenticator-App ist kostenfrei für Android, iOS und Windows 10 erhältlich. Dieses Video zeigt anschaulich, wie die Anwendung eingerichtet wird und wie damit unterschiedlichste Konten abgesichert werden können.
Microsoft-Konten unterstützen außerdem die passwortlose Authentifizierung mittels eines FIDO2-Sicherheitsschlüssels. Hersteller wie Yubico und Feitian bieten diese kostengünstigen Sicherheitsschlüssel gemäß dem FIDO2-Standard an. Mit diesem können sichere Anmeldungen an lokalen Geräten sowie an Online-Diensten ohne Benutzername und Passwort durchgeführt werden – ganz gleich, ob es sich beim genutzten Gerät um einen Desktop-PC oder um ein mobiles Device handelt. Das folgende Video zeigt, wie einfach die Aktivierung eines solchen Sicherheitsschlüssels vollzogen werden kann.
Das Ziel: eine Welt ohne Passwörter
Die ersten Schritte zur passwortfreien IT-Welt sind gemacht, aber wir sind noch lange nicht am Ziel. Microsoft bietet und arbeitet an innovativen und anwenderfreundlichen Sicherheitslösungen, die Passwörter immer überflüssiger zu machen, damit man irgendwann vielleicht gänzlich darauf verzichten kann.
„Immer häufiger hört man neuerdings, dass Benutzer dasselbe Passwort für verschiedene Konten/ Anwendungen benutzen.“
Neuerdings erst?
Dann habe ich was für den Autor, denn es kommt noch schlimmer:
Sogar unterschiedliche Benutzer benutzen ein und dasselbe Passwort .. z.B. „12345“.
Unglaublich das!!!
Sie haben vollkommen recht, da hatten wir uns missverständlich ausgedrückt. Wir haben die Formulierung angepasst.
Waren es denn in den Szenarien der letzten Monate wirklich die Passwörter der einzlenen Konten die unsicher waren, oder waren es die gesamte Infrastrucktur?
Die Folgen bei letzterem wären erheblich. Nicht zuletzt würden sicherere Passwörter order Alternative Athentivizierungsverfahren wie sie hier beschrieben werden die Sicherheit der damit Geschützen Konten und Daten nicht erhöhen.
Ich verstehe noch nicht, warum 2FA / MFA den Weg in die passwortfreie IT-Welt ermöglichen. Das sind doch nur zusätzliche Sicherungen, ein Passwort benötige ich ja dennoch – und sogar zusätzlich das Passwort zum zweiten Faktor!
Die meisten erfolgreichen Hacker-Angriffe gehen auf Identitätsdiebstahl zurück. Zum Beispiel durch Phishing-Attacken. Darüber hinaus gibt es aber auch weitere Methoden, an Passwörter zu gelangen. Hat ein Cyberkrimineller einmal einen Usernamen und ein Passwort erlangt, kann er sich damit beispielsweise im E-Mail-Dienst eines Users einloggen oder aber in anderen Systemen, auf denen er Daten stehlen kann. Diese Angriffe haben dann also nichts mit unsicheren Infrastrukturen, sondern mit unsicheren Identitäten zu tun. Selbst wenn Passwörter die Kriterien eines sog. „sicheren Passworts“ erfüllen, können diese durch Phishing-Attacken ebenso leicht gestohlen werden. Bei solchen Attacken gibt der User ja schlussendlich seinen Usernamen und sein Passwort bei einem vermeintlich vertrauenswürdig aussehenden Dienst ein. Zum Beispiel auf einer Website, die sich als ein bekannter Online-Shop oder als sein E-Mail-Dienst ausgibt, aber von Hackern betrieben wird. Mit zusätzlichen Authentifizierungsmethoden könnte man sich hier also schützen. Multifaktorauthentifizierung über einen Token, eine App, wie z.B. den Windows Authenticator, oder aber über ein biometrisches Merkmal sind nur einige Beispiele. Letzten Endes kann mal also durchaus sagen, dass die Konten und Daten besser geschützt werden können, wenn man sie stärker als nur durch einen Usernamen und ein Passwort schützt. Mehr Informationen finden Sie auf: https://www.microsoft.com/de-de/security