Phishing-resistente passwortlose Best Practices: Lesen Sie den Gartner®-Bericht

Wir hören viel über die dringende Notwendigkeit, sich gegen Phishing zu schützen, und Phishing stellt tatsächlich eine erhebliche Bedrohung dar - wie die jüngsten Angriffe auf Gesundheitswesen ändern und Fidelity-Anlagen demonstrieren.

Phishing ist eine Art von Cyberangriff, bei dem Angreifer Benutzer zur Preisgabe von Anmeldedaten oder sensiblen Informationen verleiten, häufig durch betrügerische E-Mails, Websites oder Nachrichten. Phishing-resistente Authentifizierungsmethoden, einschließlich passwortloser Ansätze, sollen den Diebstahl von Anmeldeinformationen verhindern, indem sie die Authentifizierung an ein Gerät oder einen Ursprung binden und gemeinsame Geheimnisse eliminieren.

Passwortlose Authentifizierung: Worauf warten Sie noch?

Wir hören auch viel über die Bedeutung der passwortlosen Authentifizierung, um Organisationen vor Phishing zu schützen, wobei Richtlinien wie M-22-09, Executive Order 14028 und M24-14 mehr als nur eine Multi-Faktor-Authentifizierung (MFA) fordern. OMB - M-22-09 besagt: "Die Agenturen werden ermutigt, bei der Modernisierung ihrer Authentifizierungssysteme verstärkt auf passwortlose Multi-Faktor-Authentifizierung zu setzen."

Der Bedarf an passwortlosen Lösungen geht jedoch über die Bekämpfung von Phishing hinaus und umfasst auch die Schaffung von Authentifizierungsumgebungen, die einen echten Schutz zur Abwehr von Cyberangriffen aller Art bieten. Wie der Gartner®-Bericht Migrieren Sie zu passwortloser Authentifizierung, um die Sicherheit zu erhöhen und die Benutzeroberfläche zu optimieren weist darauf hin:

"Organisationen, die sich weiterhin auf Passwörter verlassen - selbst als Teil einer Multifaktor-Authentifizierung (MFA) - sind weniger sicher als solche, die auf passwortlose Methoden umgestiegen sind.

Wir bei RSA fragen uns oft, warum nicht mehr Unternehmen die passwortlose Authentifizierung eingeführt haben. Der Gartner-Bericht befasst sich eingehend mit den Faktoren, die Unternehmen zurückhalten, gibt praktische Empfehlungen für den weiteren Fortschritt und stellt einen stufenweisen Ansatz vor, um jede Gelegenheit für den Übergang zur kennwortlosen Authentifizierung zu nutzen.

In Anbetracht der Anpassungen an die Kultur und die Systeme, die bei der Umstellung auf passwortlose Systeme zu berücksichtigen sind, mag es verständlich sein, dass Unternehmen zögern. Doch angesichts des nachgewiesenen Risikos des Diebstahls von Anmeldeinformationen ist es sinnvoll, eher früher als später zu handeln. Je mehr Passwörter Ihre Benutzer in Ihrer Umgebung haben, desto größer ist das Risiko.

Wenn CISOs oder Verantwortliche für das Identitäts- und Zugriffsmanagement (IAM) Bedenken haben, zu früh in eine neue passwortlose Technologie zu investieren, dann sind sie in der Zwischenzeit mit dem sehr realen Risiko konfrontiert, Opfer eines auf Anmeldeinformationen basierenden Angriffs zu werden. Diese Cybersicherheitsrisiken scheinen das Zögern der meisten Unternehmen zu überwiegen.

Die FIDO Alliance berichtet, dass 87% der Unternehmen Passkeys entweder einsetzen oder planen, diese einzusetzen, um die Sicherheit und Benutzerfreundlichkeit zu verbessern. Und das gilt nicht nur für Unternehmen: Verbraucher gehen zunehmend zur passwortlosen Authentifizierung über. Mehr als 175 Millionen Amazon-Kunden verwenden inzwischen Passkeys zum Einloggen.

Häufige Phishing-Taktiken, die eine schwache MFA umgehen

Selbst Unternehmen, die herkömmliche MFA verwenden, können anfällig sein, wenn die Authentifizierungsmethoden nicht phishing-resistent sind:

• Abfangen von Anmeldeinformationen: Per SMS, E-Mail oder Authentifizierungs-Apps gesendete OTPs können abgefangen werden.
• Man-in-the-middle-Angriffe: Angreifer verleiten Benutzer dazu, ihre Anmeldedaten über gefälschte Anmeldeportale einzugeben.
• Malware-Keylogger: Die Software zeichnet Tastatureingaben auf, einschließlich Passwörter und OTPs.
• Phishing-Kits: Automatisierte Angriffsframeworks zielen auf MFA-Methoden ab, die nicht kryptografisch an das Gerät oder den Ursprung gebunden sind.

Der Gartner-Bericht stellt fest, dass Unternehmen passwortlose Lösungen in überschaubaren Schritten erfolgreich einführen können: "IAM-Verantwortliche sollten einen schrittweisen Ansatz verfolgen."

Der Bericht schlägt vier konkrete Schritte vor, die Organisationen unternehmen müssen:

1. Identifizierung von Anwendungsfällen, beginnend mit einer Bestandsaufnahme, wo Passwörter verwendet werden.
2. Einigen Sie sich auf Zielzustände, die auf Sicherheits- und UX-Zielen basieren.
3. Ermittlung der Präferenzen zwischen verschiedenen Methoden und Abläufen.
4. Erstellen Sie eine Roadmap für Anwendungsfälle für Mitarbeiter und Kunden.

Unter RSAC-Konferenz 2025, habe ich erklärt, dass die passwortlose Authentifizierung eine Reise ist, die sowohl eine Überprüfung der aktuellen Authentifizierungsmethoden und der MFA-Einführung als auch eine Planung für die Zukunft erfordert. Unternehmen, die bereits über eine starke Authentifizierung verfügen, sind vielleicht schon auf halbem Weg zum passwortlosen Betrieb.

Phishing-resistente MFA funktioniert, indem die Authentifizierung an das Gerät und die Herkunft eines Benutzers gebunden wird und die gemeinsame Nutzung von Geheimnissen über das Netzwerk verhindert wird. Zu den Methoden gehören:

• Passkeys und App-basierte Push-Benachrichtigungen: Benutzer können Authentifizierungsanfragen von einem mobilen Gerät aus genehmigen oder ablehnen, ohne Passwörter über das Netzwerk zu senden.
• Gerätebasierte Faktoren: Die Identitätsüberprüfung ist an ein bestimmtes Gerät gebunden, nicht an gemeinsame Anmeldedaten.
• Hardware-basierte Authentifizierung: RSA iShield Key 2 Series und RSA DS100 Authentifikatoren unterstützen die passwortlose FIDO2-Authentifizierung.
• Biometrische Daten: Fingerabdruck- und Gesichtserkennung auf Android-, iOS- und Windows-Geräten.
• Chipkarten / PKI-Zertifikate: Üblich in Behörden und stark regulierten Branchen.

Warum Unternehmen phishing-resistente MFA benötigen

• Immer raffiniertere Phishing-Angriffe, die auf OTPs und herkömmliche MFA abzielen
• Gesetzliche Vorgaben (NIST 800-63B, Executive Orders 14028, CISA Zero Trust-Anleitung)
• Risiko des Diebstahls von Anmeldedaten in der realen Welt
• Verbesserte Sicherheit und Benutzerfreundlichkeit gegenüber herkömmlicher MFA

Im Gartner-Bericht heißt es: “IAM-Verantwortliche sollten passwortlose Methoden dort implementieren, wo sie problemlos unterstützt werden, und weitere Maßnahmen ergreifen, um die passwortlose Authentifizierung auf andere Anwendungsfälle auszuweiten.”

Für Unternehmen, die passwortlose Lösungen implementieren möchten, bietet RSA eine Vielzahl spezifischer passwortloser Funktionen und Ressourcen, die alle innerhalb der KI-gestützten RSA Unified Identity Platform verfügbar sind.

• Passkeys: RSA unterstützt Passkeys durch das RSA-Authenticator-Anwendung, die es Benutzern ermöglicht, ein Gerät als Hauptschlüssel zu registrieren und es für die passwortlose Authentifizierung zu verwenden.
• App-basierte Push-Benachrichtigungen: RSA bietet App-basierte Push-Benachrichtigungen, mit denen Benutzer Authentifizierungsanfragen von ihren mobilen Geräten aus genehmigen oder ablehnen können.
• Gerätebasierte Faktoren: RSA Identitätsüberprüfung Dazu gehört die Verknüpfung der Identität mit einem bestimmten Gerät und nicht mit einer Reihe von Anmeldedaten, die für Phishing- und andere Angriffe missbraucht werden können.
• Hardware-basierte Authentifizierung: Die RSA iShield Key 2 Reihe von Authentifikatoren und der RSA DS100 authenticator bieten beide eine FIDO2-basierte passwortlose Authentifizierung für Anwendungsfälle, in denen Biometrie oder Mobiltelefone nicht geeignet sind, z. B. wenn medizinisches Personal Plastikhandschuhe und -masken tragen muss oder in Reinräumen, in denen keine internetfähigen Geräte erlaubt sind.
• Biometrische Daten: RSA unterstützt Fingerabdruck- und Gesichtserkennung auf Android- und iOS-Geräten. Wir unterstützen auch Windows Hello als biometrische Authentifizierungsmethode für Windows-Benutzer.

Neben den passwortlosen und gerätebasierten Lösungen von RSA können Unternehmen zusätzliche phishing-resistente MFA-Technologien einsetzen, um die Sicherheit zu erhöhen:

• Chipkarten / PKI-Zertifikate: Auf sicheren Geräten gespeicherte Zertifikate, die häufig in Behörden und stark regulierten Branchen zur starken Authentifizierung verwendet werden.
• Passkeys für Handy und Desktop: Gerätegebundene Anmeldedaten, die eine nahtlose, passwortlose Anmeldung über verschiedene Plattformen hinweg ermöglichen.
• Adaptive MFA: Kontextabhängige Authentifizierung, die Gerätesignale, Geolokalisierung und Benutzerverhalten kombiniert, um eine stärkere Überprüfung zu erzwingen, wenn ein Risiko erkannt wird.
• Software-Sicherheitstoken: Kryptografisch generierte Schlüssel, die in sicheren Apps gespeichert sind, die Phishing-resistente Standards erfüllen (z. B. FIDO2-konforme Apps).

In Kombination mit einer schrittweisen Implementierungsstrategie helfen diese Technologien Unternehmen, ein mehrschichtiges, Phishing-resistentes Authentifizierungssystem aufzubauen, das sowohl die Identitäten der Mitarbeiter als auch die der Kunden schützt.

Vorteile einer phishing-resistenten MFA

• Stoppt Phishing- und Replay-Angriffe auf Anmeldeinformationen
• Erfüllt Compliance-Mandate und regulatorische Standards
• Verbessert die Benutzererfahrung im Vergleich zu OTP-basierter MFA
• Verringert das Risiko einer Kontokompromittierung über Unternehmens- und Kundensysteme hinweg

Für Organisationen, die eine Hardware-Authentifizierung auf Unternehmensebene wünschen, ist die RSA iShield Key 2 Reihe bietet eine sichere, konforme und benutzerfreundliche Lösung. In Kombination mit der kompletten RSA-Suite an passwortlosen und phishing-resistenten MFA-Optionen schützt sie Ihr Unternehmen vor modernen Angriffen auf Anmeldeinformationen und vereinfacht gleichzeitig den Benutzerzugang.

Erfahren Sie mehr über die passwortlose Fähigkeiten verfügbar als Teil von RSA ID Plus, und sich für eine kostenlose Testversion anmelden und sehen Sie selbst, wie RSA Sie auf dem Weg zur passwortlosen Authentifizierung unterstützen kann.

Gartner, Inc. Migrieren Sie zu passwortloser Authentifizierung, um die Sicherheit zu erhöhen und die Benutzerfreundlichkeit zu optimieren. Ant Allan, James Hoover. Ursprünglich veröffentlicht am 30. August 2024

GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten.