Zum Inhalt springen

Diese Fallstudie, die in Zusammenarbeit mit der FIDO Alliance entwickelt wurde, dokumentiert den Weg von RSA zur Bereitstellung passwortloser Authentifizierung in großem Maßstab und fasst die Erfahrungen aus dem Einsatz der eigenen Plattform in der Produktion zusammen.

Laden Sie jetzt die kostenlose Fallstudie herunter, um mehr zu erfahren:

  • Wie RSA seine eigenen Lösungen einsetzte, um passwortlose Lösungen für seine weltweiten Mitarbeiter zu implementieren
  • Lehren aus der internen Entwicklung
  • Wie die Unterstützung der RSA-Authentifikator-App für gerätegebundene Handy-Schlüssel beschleunigter Fortschritt
  • Bewährte Praktiken zur Ansprache von Verhaltensweisen und zur Motivation für eine passwortlose Nutzung
Was funktioniert hat: RSAs Empfehlungen für passwortlose Unternehmen

Der folgende Auszug beschreibt die Best Practices von RSA in den Bereichen Technologie, Bereitstellung und Redundanz, die bei der Verwendung der RSA-Lösungen für die Implementierung globaler passwortloser Lösungen gewonnen wurden. Laden Sie den vollständigen Bericht herunter, um mehr zu erfahren.

Bewährte Technologie-Praktiken für den Einsatz von Passwörtern

Plattformarchitektur steht an erster Stelle.

Entfernen Sie Kennwortabhängigkeiten aus der Registrierung, Wiederherstellung und den Richtlinien, bevor Sie Authentifikatoren einsetzen. Andernfalls wird FIDO zu einem Zusatz, nicht zu einem Ersatz, und hinterlässt schwache Glieder in der Identitätskette eines Unternehmens.

Passwortlos ermöglicht angrenzende Sicherheitsverbesserungen.

Die Helpdesk-Verifizierung war lange Zeit eine Schwachstelle. Die passwortlose Infrastruktur machte eine bidirektionale Live-Verifizierung möglich und beseitigte die gemeinsame Nutzung von Geheimnissen an einem kritischen Kontaktpunkt.

Gerätegebundene Passkeys in mobilen Anwendungen bieten eine dritte Option.

Abgesehen von “synchronisierten Passkeys vs. Sicherheitsschlüsseln” verbessert dieser Ansatz die Unternehmenskontrolle, verbessert die Benutzerfreundlichkeit und eliminiert den Overhead bei der Hardwareverteilung.

Best Practices für den Einsatz ohne Passwort

Bestehendes Nutzerverhalten ausnutzen.

RSA kam schneller voran, weil die Mitarbeiter bereits über die mobile App verfügten. Unternehmen sollten ihre bestehende Authentifizierungsbasis finden und priorisieren.

Bewusste Abfolge: Alternativen → niedrigere Anforderungen → hohe Anforderungen.

Beginnen Sie nicht mit dem am besten sichtbaren System. Schaffen Sie zuerst Komfort.

Umfassend einsetzen, später beauftragen.

Geben Sie den Mitarbeitern Zeit, sich auf ihren Zeitplan einzustellen. Erfahren Sie, was die Leute verwirrt. Bauen Sie ein Netzwerk von interessierten Testern im gesamten Unternehmen und von Champions auf.

Kampagnen und Fristen sind besser als beides allein.

Die freiwillige Akzeptanz wird unabhängig davon, wie gut die UX ist, nachlassen - planen Sie das ein. Social Proof ist wichtig, aber auch die Dringlichkeit. Bei RSA stieg die Nutzung um das Dreifache, als man sie mit einer klaren Frist kombinierte.

Redundante Best Practices für passwortloses Arbeiten

Planen Sie für den Fall, dass eine Methode versagt oder ein Gerät verloren geht - denn das wird passieren.

Die passwortlose Authentifizierung erfordert eine bewusste Redundanz, sowohl bei den Methoden als auch bei den Geräten. Aus diesem Grund empfiehlt die FIDO Alliance, dass jeder Benutzer nach Möglichkeit mindestens zwei Passkeys registriert. Bei der RSA-Bereitstellung erhielten bestimmte Benutzergruppen sowohl einen softwarebasierten, gerätegebundenen Passkey über die RSA Mobile App als auch einen hardwarebasierten, gerätegebundenen Passkey, so dass der Verlust des Zugriffs auf eines der beiden Geräte nie den vollständigen Verlust des Zugriffs bedeutete.

Bewährte Praktiken bei organisatorischen Änderungen für die Umstellung auf passwortlose Systeme

Genügend Zeit einplanen, um Verhaltensänderungen zu bewirken. Die Einführung von Technologie dauert Wochen. Die Änderung organisatorischer Gewohnheiten dauert Monate.

Setzen Sie sich ehrgeizige Ziele, und machen Sie den Umfang transparent.

Das RSA-Führungsteam gab 100% Passwörter vor - und dieses kühne Ziel brachte das Unternehmen viel weiter, als es ein weicheres Ziel wie “Verbesserung der Authentifizierung” getan hätte. RSA eliminierte Passwörter von allen verwalteten Endpunkten und primären Authentifizierungsströmen. RSA dokumentiert sie und entwickelt Pläne, um sie zu beheben, anstatt den Anspruch auf Perfektion zu erheben. Jedes Unternehmen wird mit dieser Realität konfrontiert.

“Was ist ein Hauptschlüssel?” ist eine echte Frage.

Außerhalb der Technik mussten die Mitarbeiter geschult werden. RSA entwickelte klare Analogien und aktualisierte die Dokumentation, um die Technologie mit vertrauten mentalen Modellen zu verbinden.

Konsolidierung der Authentifizierungsmethoden in einer einzigen Anwendung.

Wenn sich die Mitarbeiter per Passkey, QR-Code oder biometrisch über dieselbe App authentifizieren können, die sie bereits verwenden, erfordert die Einhaltung der Vorschriften keine Verhaltensänderung, sondern nur einen anderen Fingertipp. Die Fähigkeit von RSA, die richtige Methode zum richtigen Zeitpunkt anzubieten, ohne die App zu wechseln oder Reibungsverluste zu verursachen, hat den Widerstand bei der Einführung des Mandats erheblich reduziert.

Sie könnten auch interessiert sein an...

Demo anfordern

Vielen Dank für Ihr Interesse an RSA.
Demo anfordern