Passwörter gehören untrennbar zum Computer-Alltag – so war es jedenfalls bislang.
Angesichts wachsender Cyberattacken und immer höheren Sicherheitsanforderungen gerade bei hochsensiblen Daten reicht das klassische Passwort als Sicherheitskonzept nicht mehr aus. Weit wirkungsvoller sind Ansätze wie Passkeys, Yubikeys und WebAuthn.
Wer sein digitales Konto schützen will, nutzt natürlich ein Passwort. Aber ist das wirklich die beste Wahl? Tatsächlich ist diese Methode längst nicht so sicher, wie viele meinen. Und: Sie überfordert inzwischen die Nutzer. Ganze 39 Prozent der Verbraucher in Europa haben mehr als 20 aktive Online-Konten – und zwei Drittel haben Mühe mit der Verwaltung der vielen Passwörter. Das kann im Endeffekt zu nachlässigem Verhalten in dieser wichtigen Frage führen, zum Beispiel in Gestalt schwacher, besonders einfacher Passwörter oder dem „Eines für alles“-Prinzip. Rund 80 Prozent aller Verstöße im Kontext von Webanwendungen werden durch kompromittierte Anmelde-Informationen verursacht.
Tatsache ist: Passwort- und Phishing-Angriffe nehmen im Zuge der Digitalisierung deutlich zu, und damit steigen auch die Kosten. Deshalb ist es höchste Zeit, dem Passwort als zentralem Sicherheitselement „Goodbye“ zu sagen und sich anderen Lösungen zuzuwenden. Unternehmen profitieren hiervon in mehrerlei Hinsicht: von einer höheren Nutzerfreundlichkeit ebenso wie von einer höheren Produktivität, einem geringeren Aufwand für den Support – und natürlich von mehr Sicherheit.
Was die Nutzer davon haben
Im Customer Identity Report 2023 von Okta gab knapp ein Viertel der Befragten an, dass allein die Aufforderung, ein neues Passwort zu erstellen, für steigenden Frust sorgt. Selbst wenn diese Nutzer bereits ein Passwort eingerichtet haben, ist das Handling nicht besonders komfortabel. Fast zwei Drittel der Befragten haben mindestens einmal im Monat Probleme bei der Anmeldung für eines ihrer Konten – entweder, weil sie ihren Nutzernamen oder aber ihr Passwort vergessen haben. Ein Viertel muss sich mindestens einmal pro Woche darüber ärgern, sechs Prozent tun es täglich. In Unternehmen führen Passwortprobleme in über acht Prozent aller Ereignisse zu konkreten Ausfällen – und damit zur Schaffung neuer Hürden, zu Zeitverschwendung und zu vermehrter Inanspruchnahme des Helpdesks.
Noch problematischer sind ungeeignete Passwörter, wenn sie zum Schutz vor komplexen Angriffen eingesetzt werden. Schwache Wörter machen es den Angreifern leicht, idealerweise gleich mehrere Konten zu knacken. Zudem haben Hacker heute Zugriff auf hochentwickelte Tools, die selbst hochkomplexen Passwörtern gefährlich werden können. Einmal kompromittiert, fungieren diese Passwörter dann als Hintertür zu mehreren Konten.
Schwachstellen in Wirtschaft und Verwaltung
Unternehmen sind aber nicht die einzigen, die mit solchen Angriffen konfrontiert sind, auch Regierungen werden weltweit von Cyberkriminellen bedroht, die es auf Passwörter abgesehen haben. Der Identity Exposure Report 2023 von SpyCloud zeigt, dass es bei “.gov”-E-Mails im Jahr 2022 fast 700 Verstöße gegeben hat. Einer der Gründe: 61 Prozent der Regierungsangestellten mit mehreren passwortgeschützten Accounts haben ein- und dasselbe Passwort genutzt. Um auf dieses Problem aufmerksam zu machen, hat der Office Inspector General des US-Innenministerium eine Cybersicherheitsübung durchgeführt – mit einem alarmierenden Ergebnis: 16 Prozent der Passwörter aller Nutzerkonten ließen sich knacken. Das wirft die Frage auf: Wie lassen sich Konten und Daten effektiver sichern?
Die Lösung: WebAuthn und Passkeys
Passkeys und WebAuthn sind Schlüsseltechnologien für eine passwortlose Zukunft, um das Leben aller Nutzer entscheidend einfacher und sicherer zu machen. WebAuthn, entwickelt von der FIDO-Allianz und dem W3C, ermöglicht sichere Authentifizierung durch kryptografische Schlüsselpaare und hardwarebasierte Methoden wie Fingerabdrücke oder Sicherheitsschlüssel. Passkeys nutzen WebAuthn-Technologie, sind jedoch noch benutzerfreundlicher und tief in Betriebssysteme integriert, was eine nahtlose und sichere Authentifizierung ermöglicht. Beide Technologien arbeiten zusammen, um Passwörter durch sicherere und bequemere Methoden zu ersetzen und die Sicherheit im digitalen Raum zu erhöhen.
Passkeys authentifizieren dabei die User mittels Public-Key-Kryptographie. Diese ist viel schwerer zu umgehen als ein einfaches Passwort. Die Nutzer können mit biometrischen Daten, einer numerischen PIN oder sogar einem bestimmten Muster auf ihren „Generalschlüssel“ zugreifen. Kein Passwort kann verloren oder versehentlich preisgegeben werden. Sobald Kunden ihren Passkey eingerichtet haben, können sie ihn auf allen ihren Geräten synchronisieren. So ist er jederzeit verfügbar – besonders einfach und komfortabel für die Nutzer.
Kein leichter Weg
Warum hat sich dieser Ansatz noch nicht breitflächig durchgesetzt? Viele potenzielle Anwender zeigen sich zögerlich, weil sie seit Jahrzehnten an Passwörter als Standardmethode gewöhnt sind. IT-Teams wissen, wie man sie implementiert und verwaltet, Nutzer wissen, wie man sie erstellt und zurücksetzt. Hier zeigt sich, dass Gewöhnung die Risiken überlagern kann.
Dabei haben sich biometrische und Passkey-Lösungen nach gründlichen Tests als hochwirksam gezeigt – und sie sind sofort einsatzbereit. Überdies sind sie in jedem Fall eine bessere Lösung als das, was viele Unternehmen als scheinbare Lösung sehen: Passwortanforderungen immer komplexer zu machen. Branchen wie das Gesundheitswesen, Finanzdienstleistungen und die öffentliche Hand, die täglich mit unzähligen Nutzerdaten arbeiten, können hier mit gutem Beispiel vorangehen. Und das umso mehr, da es nur wenige Hindernisse für den Wechsel zu passwortlosen Lösungen gibt.
Viele Anbieter von Identitätsmanagement– und Low-Code/No-Code-Plattformen geben auch kleineren Unternehmen mit weniger gut ausgestatteten IT-Teams die Möglichkeit, ihre Cybersicherheit zu optimieren und ihre Kunden besser zu schützen. Passwörter bieten definitiv keinen ausreichenden Schutz vor Cyberkriminellen. Je früher die Umstellung auf passwortlose Lösungen erfolgt, desto höher die Sicherheit.