Das Thema Authentifizierung ist innerhalb der IT-Sicherheit seit Jahren ein Dauerbrenner, schließlich birgt der unzureichende Schutz von geschäftskritischen Konten und Anwendungen ein beachtliches Risiko. Durch das Aufkommen von “passwortloser Authentifizierung” hat das Thema neuen Schub bekommen. Doch was bedeutet dies konkret und wie können sich Unternehmen so aufstellen, dass die starke Authentifizierung ohne Passwort gelingt?
Ein Beitrag von Jan Quack und Rolf Steinbrück, Senior Solution Engineers bei Yubico
Grundsätzlich ist wichtig festzuhalten, dass die Authentifizierung über Passwörter die unsicherste Art ist, sich zu authentifizieren. Denn Passwörter sind einfach durch Phishing zu ergattern oder werden in gekaperten Passwortdatenbanken gestohlen, sie sind oft leicht zu erraten und werden häufig wiederverwendet. Die Folge: 81% aller Angriffe auf IT-Systeme werden mit gestohlenen oder erratenen Credentials durchgeführt. Passwörter stellen also ein Sicherheitsrisiko dar, und obendrein sind sie teuer. Der Hauptkostentreiber ist hier das Management von Passwörtern. Ein Reset eines Passworts, mit Helpdeskbeteiligung, kostet etwa 70$ pro Fall, was sich in großen Organisationen auf bis zu 1.000.000$ im Jahr aufsummieren kann.
Modern, sicher, benutzerfreundlich
Zeit also, sich mit dem Konzept der passwortlosen Authentifizierung auseinanderzusetzen. Der Ansatz basiert auf Protokollen, die starke asymmetrische (Private Public Key) Kryptographie nutzen und somit, anders als beim Passwort, ohne geteilte Geheimnisse auskommen. Wichtig ist hier, dass der private Schlüssel sicher in einem Kryptoprozessor eines Authenticators, wie dem YubiKey, abgelegt wird und dass dieser Schlüssel durch eine PIN oder ein biometrisches Merkmal geschützt ist.
Die modernste Ausprägung dieser Art der Authentifizierung ist FIDO2. Dieser offene Authentifizierungsstandard, bestehend aus den Protokollen WebAuthn und CTAP2, bietet neben dem kryptographischen Unterbau auch einen eingebauten Schutz gegen Device Cloning, Man-in-the-Middle- und Phishing-Angriffe – und das bei einfachster Bedienbarkeit für die Nutzer.
Die Stärken von FIDO2 haben Anbieter verschiedenster IT-Lösungen längst erkannt, sodass sie Support für FIDO2 in aktuelle Produkte integriert haben. Allerdings beherrschen noch nicht alle Systeme FIDO2. Dennoch kann der YubiKey hier helfen, da er als Multiprotokoll-Key alle industrierelevanten Authentifizierungsprotokolle beherrscht und so passwortlose Authentifizierung etwa als Smartcard bereitstellen kann, um die Brücke zwischen der klassischen und der modernen Art der Authentifizierung zu schlagen.
Aber welche Schritte können nun exemplarisch unternommen werden, um die eigene Organisation für “Passwortlos” fit zu machen?
BU: Die Maßnahmen zur Implementierung einer passwortlosen Authentifizierung im Unternehmen
Kann ich das stemmen?
Bevor man als Organisation beginnt ein Projekt aufzusetzen, sollte man sich die Frage stellen: „Habe ich genug interne Ressourcen, dies in die Tat umzusetzen oder brauche ich externe Unterstützung?“. Selbstverständlich hat Yubico bestens ausgebildete Partner, die solche Projekte täglich in großen wie kleinen Firmen umsetzen und managen.
Das Fundament
Man muss bei einem solchen Projekt selbstverständlich auch über die Technik sprechen. Denn ohne das technische Fundament, also die Identity Access Management Lösung, das Privileged User Management System, den Directory Service oder Managed Service Provider, wird eine starke und sichere Authentifizierungslösung nicht umzusetzen sein. Aber bevor man alles Bestehende einreißt und von Null aus aufbaut, gilt es zunächst zu analysieren, was bereits im Unternehmen vorhanden ist.
Ist man etwa bereits in Teilen oder vollständig an Azure Active Directory angebunden und somit schon PWL ready? Gibt es zurzeit “nur” ein lokales Active Directory und soll trotzdem mit einem Smartcard Deployment begonnen werden? Oder benötigt man doch eine andere Lösung wie Okta, Entrust, Ping oder OneLogin? Der YubiKey, der mit über 700 zertifizierten Lösungen zusammenarbeitet, lässt sich in die gewählte technische Plattform integrieren – flexibel und zukunftssicher.
Was wollen wir eigentlich wie, mit wem und wo machen?
Ist das Ziel “passwortlose Authentifizierung” gesetzt, gilt es einige Detailfragen zu klären:
- Welche User gibt es und wie sind ihre Risikoprofile?
- An welchen Endgeräten arbeiten die Nutzer?
- Wo sind die User und wie erhalten sie ihren YubiKey?
- Wann soll passwortlos authentifiziert werden?
- Welche Fachbereiche sind im Scope?
- Wie ist meine Kommunikationsstrategie, die den Mehrwert, aber auch die Änderungen erläutert?
- Wie integriere ich zum Beispiel einen Enrollmentprozess in die Abläufe der HR-Abteilung beim Onboarding von neuen Mitarbeitern aber auch einen Revocationprozess, wenn Angestellte das Unternehmen verlassen?
- Ist – und das ist wirklich wichtig – die Supportorganisation eingebunden und gibt es Schulungen, die den HelpDesk auf die anstehenden Veränderungen vorbereiten?
Es wird, auch wenn die Authentifizierung mit einem YubiKey wirklich sehr einfach ist, gerade am Anfang Rückfragen geben. Damit dieses “Mehr” abgefangen werden kann, muss der Support entsprechend früh eingebunden sein.
Ob Logistik, Projekt Management oder technische Expertise – Yubico und seine Partner stehen Organisationen mit Rat und Tat zur Seite.
Was ist Erfolg?
Im nächsten Schritt werden Erfolgskriterien definiert, die im Rahmen eines Proof Of Concepts geprüft werden. Der PoC dient dazu, die erdachte Gesamtstrategie zu testen und die grundsätzliche Machbarkeit zu beurteilen.
Auf geht’s!
Starten Sie einen oder mehrere Piloten und rollen Sie die Lösung nach und nach an verschiedene Nutzergruppen aus. Dabei gilt es, früh zu planen und entsprechend zu kommunizieren, welche Veränderungen anstehen und wie die neue Art der Authentifizierung genau abläuft – vom Enrollment, über den eigentlichen Authentifizierungschritt bis zur Revocation.
Jetzt genau hinschauen…
Messen und tracken – das steht jetzt an. Erfassen Sie, wie viele YubiKeys verteilt wurden und wie viele tatsächlich enrolled bzw. genutzt werden. Wie entwickelt sich die Anzahl der passwortlosen Authentifizierungen gegenüber der “alten” Authentifizierungsmethode und was passiert am Helpdesk? Diese Daten helfen Schritte zu identifizieren, die das Nutzererlebnis noch weiter verbessern können.
Fazit:
Wir bei Yubico sind der festen Überzeugung, dass die Zukunft der passwortlosen Authentifizierung gehört. Die Vorteile in Bezug auf die IT-Sicherheit sind nicht von der Hand zu weisen und die Usability gegenüber dem Passwort ist deutlich besser. Dabei können Betriebe sich mit dem YubiKey auf eine sichere und speziell für den Zweck der Authentifizierung gebaute Hardware felsenfest verlassen.
Sie haben weitere Fragen zu Yubico? Melden Sie sich gerne hier: www.yubico.com/contact
1. Verizon Data Breach Investigation Report
2. The True Costs of Password Management – Conduit Street (mdcounties.org)
3. Keeper-White-Paper-Forrester-Report.pdf (keepersecurity.com)