Bei RSA war es schon immer unser Ziel, die Schwachstellen in der digitalen Sicherheit zu beseitigen. Heute freuen wir uns, einen wichtigen Meilenstein auf diesem Weg ankündigen zu können: die Vorschau auf unsere mobile FIDO-Lösung, verfügbar in RSA Authenticator Anwendung V4.4 für iOS und Android. RSA ID Plus ist ein FIDO2-zertifizierter Server, und mit diesem Meilenstein ist unsere Authentifikator-App für iOS und Android nun ein FIDO2-zertifizierter Authentifikator.
Dies unterstreicht unser Engagement für sichere, intuitive und nahtlose Benutzererfahrungen - und unser Bestreben, Passwörter ein für alle Mal abzuschaffen.
Passwörter sind seit langem eine kritische Schwachstelle in der Cybersicherheit, da sie vom menschlichen Gedächtnis und Ermessen abhängen, was oft zu schwachen, wiederverwendeten Passwörtern führt. Seit langem unterstützen wir passwortlose Lösungen wie QR-Code, Biometrie, One-Time-Passcode oder FIDO2-zertifizierte Hardware-Authentifikatoren wie die RSA DS100 um diese Schwachstellen zu beseitigen.
Dieser jüngste Meilenstein bringt sichere passwortlose Lösungen für Unternehmen, indem er unsere RSA Authenticator-App um die Unterstützung von gerätegebundenen Passkeys (mobile FIDO) erweitert und damit eine sichere, benutzerfreundliche Alternative bietet, die die beliebteste Schwachstelle von Cyberkriminellen beseitigt, die Sicherheit von Unternehmen erhöht und dafür sorgt, dass Benutzer verbunden und produktiv bleiben.
Passwörter haben viel Aufmerksamkeit erhalten, sowohl wegen der Zusagen von Facebook, Apple und Amazon für eine verbrauchernahe Lösung als auch weil die FIDO-Allianz den Begriff "Passkey" für alle Arten von FIDO-Berechtigungsnachweisen eingeführt. Das hat zu einer gewissen Verwirrung darüber geführt, was genau eine Organisation meint, wenn sie das Wort "Passkey" verwendet, was wir versucht haben klären..
Die wichtigste Unterscheidung, die wir gefunden haben, ist der Unterschied zwischen gerätegebundenen und synchronisierten Passkeys:
- Gerätegebundene Passkeys: Diese Art von Passkeys wird sicher erstellt und auf einem einzigen Gerät gespeichert. Der private Schlüssel verlässt nie das Gerät, wodurch ein hohes Maß an Sicherheit gewährleistet wird. Gerätegebundene Passkeys minimieren das Risiko der Offenlegung von Schlüsseln und bieten zuverlässigen Schutz gegen Phishing und andere Cyber-Bedrohungen. Das bedeutet, dass der Hauptschlüssel nicht auf einem anderen Gerät verwendet werden kann, ohne ihn erneut manuell zu registrieren. Diese Lösungen sind phishing-resistent und bieten ein höheres Maß an Sicherheit.
- Synchronisierte Passkeys: Synchronisierte Passkeys werden über Cloud-Dienste auf mehreren Geräten gespeichert und synchronisiert, so dass der Zugriff auf Dienste über verschiedene Geräte hinweg bequem möglich ist, ohne dass jedes Gerät einzeln registriert werden muss. Sie ermöglichen auch die Wiederherstellung von Passkeys, wenn das Host-Gerät verloren geht, gestohlen oder ausgetauscht wird, was besonders nützlich ist, da Nutzer ihre Mobiltelefone oft alle paar Jahre aktualisieren. Dies verbessert zwar den Benutzerkomfort, erfordert aber robuste Sicherheitsmaßnahmen zum Schutz der synchronisierten Schlüssel in der Cloud. Synchronisierte Passkeys eignen sich zwar für den Privatgebrauch, bieten aber möglicherweise nicht das gleiche Maß an Sicherheit, das für staatliche und Unternehmensumgebungen erforderlich ist.
Durch die Implementierung einer gerätegebundenen Passkey-Lösung innerhalb der RSA Authenticator-App für iOS und Android helfen wir unseren Kunden, die Null Vertrauen Framework, das einen tief integrierten und unkomplizierten Weg zur passwortlosen Authentifizierung ohne Phishing ermöglicht. Diese Technologie beseitigt die Schwachstellen herkömmlicher Passwörter und bietet eine nahtlose und intuitive Benutzererfahrung.
Philip Corriveau, unser Head of UX, betont, warum diese Entwicklung wichtig ist: "Wir bei RSA glauben, dass Sicherheit keine Barriere sein sollte, sondern ein nahtloser Teil der Benutzererfahrung. Mit der Unterstützung von gerätegebundenen Passkeys in der RSA Authenticator-App für iOS und Android verbessern wir nicht nur die Sicherheit, sondern wir verändern auch die Art und Weise, wie Nutzer mit ihren digitalen Identitäten interagieren."
Gerätegebundene Passkeys bieten mehrere Sicherheitsebenen, die gängige Angriffe neutralisieren:
- Phishing: Da der private Schlüssel das Gerät nie verlässt, können Angreifer ihn nicht durch Phishing-Versuche abfangen oder stehlen. Es ist technisch unmöglich, den Hauptschlüssel direkt vom Gerät eines Benutzers zu fälschen. Böswillige können zwar versuchen, den Zugriff auf die Cloud zu ergaunern, um eine Kopie des Schlüssels herunterzuladen, aber der private Schlüssel selbst bleibt auf dem Gerät sicher, sodass die meisten Angriffe nicht erfolgreich sind.
- Social Engineering: Bei gerätegebundenen Passkeys kann der private Schlüssel nicht weitergegeben oder extrahiert werden. Die Benutzer müssen nicht auf den privaten Schlüssel zugreifen, ihn sich merken oder ihn handhaben, was das Risiko von Social-Engineering-Angriffen erheblich verringert. Angreifer können Benutzer nicht dazu verleiten, etwas preiszugeben, auf das sie keinen Zugriff haben.
- Widersacher in der Mitte: Selbst wenn ein Angreifer die Kommunikation zwischen einem Dienst und dem Authentifikator abfängt, kann er nicht allein den öffentlichen Schlüssel verwenden, um Zugang zu erhalten.
Während nahezu jede Organisation in jedem Sektor von Mobile FIDO profitieren kann, ist die Lösung besonders wertvoll für Regierungsbehörden, die sich bemühen, das präsidiale Mandat für Cybersicherheit zu erfüllen und die folgenden Anforderungen zu erfüllen Durchführungsverordnung 14028 bis zum Ende des Haushaltsjahres.
EO14028 verlangt von Regierungsbehörden die Verwendung passwortloser, phishing-sicherer Lösungen zur Authentifizierung ihrer Benutzer. Dies ist ein entscheidender Bestandteil der Modernisierung und des Schutzes kritischer Infrastrukturen - allerdings müssen die Behörden schnell handeln und eine bewährte Lösung implementieren.
"Der FIDO2-zertifizierte, gerätegebundene Passkey von RSA ist ein bedeutender Vorteil für Bundesbehörden, die sich bemühen, das Mandat des Präsidenten und die Frist für das Jahr 2024 zu erfüllen", sagte Kevin Orr, President von RSA Federal. "RSA kann mehr als nur ein Kästchen ankreuzen, sondern bietet jahrzehntelange Erfahrung im Bereich Sicherheit und eine einheitliche, skalierbare und benutzerfreundliche Lösung, die die Zusammenarbeit im öffentlichen Sektor verbessern kann."
Unsere mobile FIDO-Lösung ist ein entscheidender Schritt zur Bereitstellung einer konsistenten und nahtlosen passwortlosen Erfahrung von Anfang bis Ende. Die RSA Authenticator-App V4.4 für iOS und Android unterstützt mobile FIDO als technische Vorschau. Die mobile FIDO-Funktionalität wird mit der RSA Authenticator-App V4.5 für iOS und Android allgemein verfügbar sein. Diese Version wird zusätzliche Verbesserungen und eine optimierte Benutzererfahrung enthalten.
Die mobile FIDO-Lösung von RSA ist eine leistungsstarke Lösung für Zero-Trust-Umgebungen, in denen ein sicherer, passwortloser Zugang entscheidend ist. Gerätegebundene Passkeys entsprechen den Zero-Trust-Prinzipien, indem sie jeden Zugriffsversuch verifizieren, ohne sich auf Passwörter zu verlassen, die anfällig für Phishing und Diebstahl von Zugangsdaten sind. Bei gerätegebundenen Passkeys verbleibt der private Schlüssel sicher auf dem Originalgerät, wodurch sichergestellt wird, dass der Zugriff nur auf verifizierte Geräte beschränkt ist - ideal für den Schutz von Remote- und Hybrid-Arbeitskräften.
Die mobile FIDO-Lösung von RSA sorgt nicht nur für mehr Sicherheit, sondern auch für mehr Flexibilität, da sie einen einfachen Zugriff in verschiedenen Arbeitsumgebungen ermöglicht und so Unterbrechungen reduziert, während sensible Daten geschützt bleiben. Die RSA mobile FIDO-Lösung hilft Organisationen, nicht nur die heutigen Anforderungen zu erfüllen, sondern sich auch auf die Standards von morgen vorzubereiten, da staatliche Vorgaben eine phishing-resistente Authentifizierung fordern.
Wir bei RSA sind führend in der passwortlosen Technologie. Unser unermüdliches Engagement für Innovation treibt uns an, Lösungen zu entwickeln, die die digitale Sicherheit neu definieren. Wir ebnen den Weg für eine sicherere und benutzerfreundlichere Welt, indem wir den Übergang zu einer passwortlosen Umgebung vollziehen.
Wir freuen uns darauf, diese Reise mit Ihnen fortzusetzen und unsere mobile FIDO-Lösung als Teil von V4.5 allgemein verfügbar zu machen. Gemeinsam können wir neue Standards für die Branche setzen und den Weg in eine Zukunft ebnen, in der Sicherheit sowohl sicher als auch intuitiv ist.
Bleiben Sie dran für weitere Updates und Einblicke, denn wir sind weiterhin führend auf dem Weg in eine passwortlose Zukunft.
###
RSA hat die 4.5 Authenticator App im Dezember 2024 eingeführt. Erfahren Sie mehr über die Innovation, die Phishing-resistente, passwortlose, FIDO2-zertifizierte Authentifizierung direkt auf die mobilen Geräte der Nutzer. Oder, wenn Sie ein Administrator sind, erfahren Sie, wie Sie die Funktion in RSA ID Plus aktivieren.
