Hier sind zwei Zahlen, die jeden beunruhigen sollten: 92% der Unternehmen führen passwortlose Systeme ein. Nur 7% vollständig passwortlos geworden sind.
Diese Lücke ist kein technologisches Problem. Die Werkzeuge sind vorhanden. Die Standards sind ausgereift. Die Absicht ist vorhanden. Der Geschäftsnutzen ist klar: weniger Schwachstellen, geringere Kosten, bessere Benutzerfreundlichkeit. Und doch tippen die meisten Unternehmen immer noch jeden Tag Passwörter ein.
Warum also die Lücke?
Vielleicht besteht das Annahmeparadoxon, weil die Unternehmen denken, dass sie nicht genug Daten haben, um unsere komplexen Umgebungen zu verstehen: Altsysteme, verschiedene Benutzer und uneinheitliche reale Bedingungen.
Identitätsplattformen generieren bereits täglich riesige Mengen an Telemetriedaten - Authentifizierungsereignisse, Zugriffsmuster, Ausfallraten, Verhaltenssignale. Die meisten Sicherheitsteams konsumieren diese Daten. Nur sehr wenige fragen sie ab.
In der Praxis wird die Identitätstelemetrie häufig für Audits und Compliance-Berichte verwendet, und dabei bleibt es. Dadurch bleiben einige der wichtigsten Fragen unbeantwortet, z. B. warum ein Unternehmen Schwierigkeiten hat, ohne Passwort zu arbeiten:
- Wo haben die Nutzer tatsächlich Probleme und warum?
- Wo bricht das Vertrauen in der Praxis zusammen?
- Welche Kontrollen verbessern die Ergebnisse wirklich?
Im Laufe des letzten Jahres habe ich erkannt, dass Identitätsdaten für sich genommen nicht wertvoll sind. Sie sind nur von Bedeutung, wenn sie zum Handeln führen. Und es sind die richtigen Fragen, die die richtigen Signale liefern, die Unternehmen brauchen, um diese Maßnahmen zu ergreifen.
Nehmen wir als Beispiel die passwortlose Annahme. Hier geht es um drei Fragen:
Erstens: Ist passwortloses Arbeiten für alle verfügbar?
Nicht in der Theorie, sondern in der Praxis. Die Lücke zwischen dem, was bereitgestellt wird, und dem, was die Benutzer tatsächlich nutzen können, ist oft viel größer, als die Dashboards vermuten lassen. Die Signale für diese Lücke erscheinen in der Regel dort, wo die Teams nicht aktiv danach suchen.
Die zweite Frage: Können Benutzer überall ohne Passwort zugreifen?
Können die Benutzer auf den sicheren Pfad zugreifen, wo immer sie ihn benötigen? Ein einziger Arbeitsablauf, ein einziges System oder eine einzige Ausnahme, die eine Umgehung erzwingt, kann die Einführung des passwortlosen Zugangs verzögern. Benutzer denken nicht in Systemen, sondern in Erfahrungen.
Drittens: Funktioniert die passwortlose Anmeldung jedes Mal?
Nicht im Büro, nicht an einem guten Tag, sondern jedes Mal, in jeder Umgebung, in der Ihre Benutzer tatsächlich arbeiten. Die Benutzer ziehen sich nicht auf Passwörter zurück, weil sie diese bevorzugen. Sie ziehen sich zurück, weil der sichere Weg sie im Stich gelassen hat, als es am wichtigsten war.
Bei Identiverse werde ich erläutern, wie Fragen wie diese das, was Sie messen, verändern können, wo Signale Teams in die Irre führen und wie sie das, was gebaut wird, neu gestalten.
Bei RSA haben wir diese Hypothese an uns selbst getestet. Wir haben passwortlose Lösungen für jeden Mitarbeiter, jede Anmeldung und jeden Anwendungsfall eingeführt. Das Unternehmen wurde zum Prüfstand.
Das Ziel war einfach: 100% ohne Passwort. Und wir waren überzeugt, dass wir es richtig gemacht hatten.
Dann haben wir uns die Telemetrie angesehen.
Die Benutzer tippten immer noch Passwörter ein. Jeden Tag. Trotz Bereitstellung, Schulung und Richtlinien.
Das führte zu einer schwierigen Frage: Warum?
Die einzige ehrliche Antwort war, nicht mehr zu raten, sondern den Daten zu folgen.
Was dann folgte, veränderte unsere Entscheidungen, Richtlinien und das Produktdesign und brachte uns schließlich dorthin, wo wir hinwollten: passwortlos für unsere globale Belegschaft in unterschiedlichen Umgebungen. Die FIDO Alliance dokumentierte die Reise in einem Fallstudie, und erläutert die Technologien, Herausforderungen und Lektionen auf dem Weg dorthin.
An dieser Stelle ändert sich die Geschichte. Wir haben innerhalb von 12 Monaten 94% passwortlose Verbindungen in unserer weltweiten Belegschaft eingeführt.
Zunächst hatte ich das Gefühl, dass der schwierige Teil geschafft war.
Bei den meisten modernen Verstößen geht es jedoch nicht darum, die Authentifizierung zu knacken. Es geht um die Umgehung der Authentifizierung. MFA-Müdigkeitsangriffe, Social Engineering am Helpdesk und KI-gestütztes Spear-Phishing, das auf menschliche Prozesse statt auf Systeme abzielt. Bei vielen der jüngsten Vorfälle haben die Angreifer die Authentifizierung nicht angefasst. Sie haben sie umgangen.
Datenschutzverletzungen bei der Caesars Entertainment Gruppe, MGM Resorts, Marks & Spencer, und andere Organisationen haben uns gezwungen, zu überdenken, wo das Vertrauen auf dem Weg zur Identität tatsächlich bricht.
Gute Referenzen sind notwendig, aber nicht ausreichend.
Daher haben wir unsere Telemetrie über die Authentifizierung hinaus auf den gesamten Lebenszyklus von Anmeldedaten ausgedehnt, insbesondere auf die Wiederherstellung und die Arbeitsabläufe beim Zugriff auf Konten.
Und eine Frage wurde kritisch:
Ist die Wiederherstellung einfacher als die Anmeldung?
Ich werde über die Signale berichten, die wir bei der Wiederherstellung zu verfolgen begannen, was sie enthüllten und wie das Schließen dieser Lücke unsere Sichtweise von kontinuierlichem Vertrauen veränderte.
Bei Identiverse werde ich diese Ideen weiter vertiefen. Das passwortlose Verfahren war unser Versuchsfeld, aber die richtigen Fragen an Ihre Identitätstelemetrie zu stellen, hat nicht wirklich etwas mit Passwortlosigkeit zu tun - oder es geht nicht um nur passwortlos. Das gilt auch für MFA-Müdigkeit, Zero-Trust-Lücken oder jede andere Sicherheitsinitiative, die Sie vorantreiben wollen.
Verbinden Sie mein Sitzung am Donnerstag, den 18. Juni um 10:15 Uhr.
Und besuchen Sie RSA unter Identiverse Stand #451 um zu sehen, wie RSA passwortlose Lösungen für jeden Benutzer, in jeder Umgebung und für jeden Anwendungsfall anbietet und um zu demonstrieren, wie RSA Live Verify trägt dazu bei, die besprochene Lücke im Aufschwung zu schließen.
