Beyond Identity, Anbieter von passwortloser, Phishing-resistenter MFA, hat die Ergebnisse einer neuen Branchenstudie veröffentlicht, aus der hervorgeht, dass selbst die meisten Cloud-Fachleute nach wie vor an der Verwendung von Passwörtern festhalten – trotz deren allseits bekannten Sicherheitsschwachstellen, ihres Wertes als Ziel für Cyberkriminelle und der weit verbreiteten Nutzer-Frustration über die einhergehende Komplexität des sauberen Passwort-Managements.
Die Umfrage unter mehr als 150 Fachleuten aus der Cloud-Branche wurde auf der jüngsten Cloud Expo Europe durchgeführt und ergab, dass mehr als vier Fünftel (83 Prozent) der Cloud-Fachleute von der Sicherheitseffektivität von Passwörtern überzeugt sind, wobei mehr als ein Drittel (34 Prozent) angibt, dass sie von Passwörtern sehr überzeugt sind. Und das, obwohl unsichere Passwortpraktiken weltweit regelmäßig zu Cyberangriffen führen – 80 Prozent aller Breaches gehen auf kompromittierte Identitäten zurück.
Weit verbreitete Nutzer-Frustration über Passworthygiene
Die Studie zeigte jedoch auch eine Reihe von Frustrationen über die Hygieneanforderungen für passwortbasierte Systeme. Mehr als die Hälfte der Befragten (60 Prozent) findet es frustrierend, sich mehrere Passwörter merken zu müssen, 52 Prozent stört es, dass sie ihre Passwörter regelmäßig ändern müssen, weitere 52 Prozent sind frustriert darüber, dass sie lange Passwörter mit Zahlen und Symbolen wählen müssen.
Die Anzahl der Passwörter, die täglich von Cloud-Spezialisten verwendet werden, unterstreicht diese Herausforderungen noch weiter: Ein Viertel der Befragten (26 Prozent) verwendet vier bis fünf Passwörter. 10 Prozent verwenden täglich sogar zehn oder mehr Passwörter. Hinzu kommt, dass viele Unternehmen häufige Änderungen der Passwörter verlangen: 38 Prozent empfehlen vierteljährliche Aktualisierungen, 27 Prozent monatliche Änderungen und sechs Prozent sogar tägliche oder wöchentliche Änderungen. Dabei bringt diese mühsame Aufgabe nur minimale Sicherheitsvorteile.
Phishing: Cyberkriminelle auf Jagd nach Passwörtern
Die Umfrage zeigt auch den Wert von Passwörtern als Ziel für Cyberkriminelle durch die weite Verbreitung von Phishing-Angriffen. Auf die Frage, ob sie jemals eine Phishing-E-Mail erhalten haben, die sie ihrem Sicherheitsteam gemeldet haben, gab mehr als ein Drittel der Cloud-Profis an, dass sie ein bis drei, 18 Prozent vier bis sechs und fast ein Viertel (23 Prozent) sieben oder mehr gekennzeichnet haben. Noch bedenklicher ist, dass 11 Prozent eine Phishing-E-Mail erhalten, aber nicht gekennzeichnet haben, und ein Fünftel (20 Prozent) der Befragten sich einfach nicht sicher ist, ob sie schon einmal versehentlich auf einen Phishing-Link geklickt haben. Zudem gab fast ein Fünftel (19 Prozent) an, dass Kollegen schon einmal auf eine Phishing-E-Mail geklickt haben, und mehr als ein Viertel gab zu, dies selbst getan zu haben. Elf Prozent sei es mehr als einmal passiert und fünf Prozent sogar regelmäßig.
Vertrauen in Passwörter trotz Sicherheitsrisiken
Trotz der anhaltenden Angriffe auf Zugangsdaten und der Frustration über die Anforderungen an die Passworthygiene ist die Mehrheit der Cloud-Experten (74 Prozent) nach wie vor der Meinung, dass das regelmäßige Ändern von Passwörtern eine gute Praxis für die Cybersicherheit ist. Die meisten Cloud-Organisationen (82 Prozent) verwenden Multi-Faktor-Authentisierung (MFA) als zusätzliche Authentisierungsstufe, wobei die beliebteste MFA eine Mobile Authenticator App ist. Auf die Frage nach ihrer Meinung zu MFA war die allgemeine Meinung positiv, wobei mehr als die Hälfte (55 Prozent) angab, dass sie „sehr überzeugt“ von dieser Sicherheitsmaßnahme seien. Trotz einer alarmierenden Anzahl erfolgreicher MFA-Bypass-Angriffen im letzten Jahr, vor allem in den öffentlichkeitswirksamen Fällen von Coinbase, Twilio, Reddit, Uber und Okta.
„Die weit verbreitete Frustration der Nutzer stellt eine gefährliche Situation für Unternehmen dar, die trotz der Faktenlage weiterhin auf Passwörter beharren. Mit Passwörtern lässt sich nicht mal Sicherheit umsetzen, geschweige denn Zero-Trust”, sagt Chris Meidinger, Technical Director, EMEA, Beyond Identity. „Jetzt, wo Angreifer alle in der Lage sind, klassische MFA zu umgehen, ist es unerlässlich, über diese erste Generation der Multi-Faktor-Authentisierung, die SMS, Einmal-Passwort, Codes, oder Push verwendet, hinauszugehen und eine ‚Phishing-resistente’ MFA der aktuellen Generation einzuführen. Diese kombiniert Biometrie und Passkeys auf der Grundlage der Fast Identity Online (FIDO)-Standards, um sich gegen ebendiese Angreifer effektiv zu wehren.”
www.beyondidentity.com