Von VPN bis SSO: Passwörter sind überflüssig
7. September 2021Die Anmeldung am PC mit Benutzername und Kennwort ist gängige Praxis. Doch meist muss der Benutzer anschließend im Netzwerk weitere passwortbasierte Authentifizierungsverfahren durchlaufen. Komfortabel und sicher sind diese Prozesse nicht. Es geht aber auch anders, meint Authentifizierungsspezialist HYPR – und zwar völlig ohne Kennwörter.
Viele Unternehmen investieren hohe Beträge in Authentifizierungslösungen, vor allem in die Multifaktor-Authentifizierung (MFA). Sie bieten zwar ein höheres Schutzniveau als eine einfache Anmeldung mit Benutzername und Passwort, basieren aber immer noch auf Passwörtern, dem Lieblingsziel von Hackern. Es gibt dazu aber eine Alternative: die völlig passwortlose Anmeldung, die Kennwörter durch sichere kryptografische, asymmetrische Schlüsselpaare ersetzt.
Wird eine solche Lösung bereits bei der Anmeldung am Desktop genutzt, ist ein Schutz vor potenziellen Angriffen zum frühestmöglichen Zeitpunkt gewährleistet. Unterstützt eine solche Lösung darüber hinaus weitere Protokolle wie Radius und offene Standards wie FIDO, kann ein Anwender zusätzlich erforderliche Authentifizierungen im Netzwerk gänzlich passwortlos durchführen:
- VPN (Virtual Private Network); ein VPN schafft einen virtuellen Tunnel zwischen dem Endgerät des Benutzers und dem Unternehmen. Ein solcher Fernzugriff durch Mitarbeiter, externe Dienstleister und auch Kunden erfolgt in der Regel über das Internet. Ein Netzwerkzugangsserver terminiert typischerweise die VPN-Anfragen und authentifiziert erneute Anfragen anhand von Anmeldeinformationen und Passwörtern. Mit der passwortlosen Unterstützung dieses Prozesses werden sowohl die Sicherheit als auch der Benutzerkomfort verbessert.
- SSO (Single Sign-on); als eine Komponente einer IAM (Identity and Access Management)-Infrastruktur ermöglichen Single-Sign-on-Funktionen die einmalige Authentifizierung für den Zugriff auf mehrere Ressourcen. SSO-Implementierungen nutzen traditionell Passwörter oder MFA-Lösungen, die Passwörter hinter einer zusätzlichen, häufig biometrischen Authentifizierung verbergen. Da SSO aber nicht nur den Benutzerkomfort verbessern soll, sondern den zentralen Zugriff auch auf kritische Anwendungen regelt, ist die Einführung eines MFA-Prozesses, der gänzlich auf Shared Secrets verzichtet, ein deutlicher Zugewinn auch an Sicherheit.
- RDP (Remote Desktop Protocol); Unternehmen verwenden auch häufig das Remote Desktop Protocol, um Benutzern über eine einfache grafische Oberfläche den Systemzugang zu ermöglichen. Die Zahl der RDP-Angriffe ist in letzter Zeit deutlich gestiegen, sodass die RDP-Nutzung auf jeden Fall ein hohes Maß an Mehrfaktor-Sicherheit erfordert. Eine passwortlose MFA ist dabei eine Option, die das Komfortziel von RDP unterstützt und gleichzeitig das offensichtliche Risiko beseitigt, das von offenen RDP-Zugangsports ausgeht.
- VDI (Virtual Desktop Infrastructure); nicht zuletzt nutzen Unternehmen auch VDI-Umgebungen, in denen die Benutzer über ihren PC oder ihr Tablet auf einen virtuellen Desktop zugreifen. Die Einführung von VDI hat sich in den letzten Jahren beschleunigt, allerdings stellt gerade die passwortbasierte Authentifizierung für VDI-Umgebungen eine zeitaufwendige Hürde bei der Implementierung dar. Eine passwortlose VDI-Architektur führt zu einer erheblichen Zeit- und Kostenersparnis, sodass eine schnellere Nutzung im gesamten Unternehmen unterstützt wird.
„
Unternehmen setzen in immer stärkerem Maße auf unterschiedliche Cloud-Dienste. Sie müssen folglich verschiedene Identitätsplattformen verwalten. Endbenutzer sind dann mit zahlreichen Multi-Faktor-Anmeldemethoden konfrontiert, die immer komplexer und inkonsistenter werden und sich negativ auf ihre Produktivität auswirken“, erklärt Jochen Koehler, Leiter der Region Zentraleuropa bei HYPR. „Eine deutliche Prozessoptimierung bietet hier eine flexible passwortlose MFA-Lösung, die problemlos in vorhandene Systeme wie Identity Provider oder Cloud-Dienste integrierbar ist. Damit werden bestehende IAM-Anwendungen aufgewertet, denn sie können völlig passwortlos und damit sicher und komfortabel genutzt werden.“ (rhh)