Als kürzlich eine Nachricht die Runde machte, dass Milliarden von Passwörtern ins Internet gelangt waren, stöhnten IT-Administratoren weltweit wahrscheinlich auf.
Der Diebstahl von Anmeldedaten bleibt eine wesentliche Herausforderung für Unternehmen. In diesem Fall haben mehrere Berichte festgestellt, dass diese gemeldete Gefährdung wahrscheinlich nur eine Sammlung bereits kompromittierter Anmeldedaten ist. Doch ob die Anmeldedaten neu waren oder nicht, der Vorfall ist eine deutliche Erinnerung daran, wie weit verbreitet der Diebstahl von Anmeldedaten ist und wie wichtig es ist, andere Formen der Authentifizierung bereitzustellen.
Identity ist der Eckpfeiler der Sicherheit im Zeitalter von KI, Cloud-Services, verteilten Architekturen und Remote-Arbeitskräften. Es sollte die meisten nicht überraschen, dass Benutzer-Identity ein primäres Ziel von Angreifern ist. Im aktuellen Customer Identity Trends Report von Okta ergab die Untersuchung, dass 32 % der Befragten „sehr besorgt“ über Identitätsbetrug waren. Zusätzlich erfüllten im Jahr 2024 durchschnittlich 46 % aller Registrierungsversuche auf der Auth0 platform die Kriterien eines Anmeldeangriffs. Der Mediananteil der täglichen Anmeldeversuche, die ein klares bösartiges Verhalten zeigten, betrug 16,9 %.
Während Angreifer umherwirbeln, machen viele Benutzer ihr Leben nicht einfacher. Fast 7 von 10 Verbrauchern (68 %) gaben zu, dass sie dasselbe Passwort für mehrere Accounts wiederverwenden, wobei 53 % erklärten, dass einzigartige Passwörter zu schwer zu merken seien. Diese Realität bringt Enterprise in eine Zwickmühle. Aus Sicherheitssicht werden Passwörter – selbst eindeutige, starke – als schwer zu merken angesehen und bleiben das Ziel von Phishern und Informationsdieben. Sie bleiben jedoch allgegenwärtig und bei den Verbrauchern beliebt.
"Alte Gewohnheiten sterben schwer," sagt Chitra Dharmarajan, Vice President of Security and Privacy Engineering bei Okta. "Benutzer haben jahrzehntelange Erfahrung mit Passwörtern." Die Eingabe eines Passworts fühlt sich einfach und vertraut an.
Sie fügte hinzu, dass diese Vertrautheit mit einem potenziellen Nachteil verbunden ist. Passwörter sind weniger sicher und leichter zu knacken als andere Authentifizierungsmethoden. Schwache Passwörter können durch Brute-Force-Angriffe geknackt werden, und Phishing ist sowohl weit verbreitet als auch zunehmend ausgeklügelt. Selbst mit Multi-Faktor-Authentifizierung, die zusätzlichen Schutz bietet, können Techniken wie MFA-Fatigue-Angriffe und Adversary-in-the-Middle (AiTM)-Angriffe es Angreifern ermöglichen, sie zu umgehen. Brute-Force-Anmeldeangriffe bleiben eine Bedrohung. Laut Daten aus dem neuesten Customer Identity Trends Report ist der tägliche Mediananteil bösartiger MFA-Events auf der Auth0 platform mit 7,3 % zwar rückläufig, aber immer noch beträchtlich.
"MFA reduziert das Risiko gehackter Accounts und kann als ein Frühwarnsystem dienen", sagt Dharmarajan. „Unaufgeforderte MFA-Aufforderungen können darauf hindeuten, dass ein Angriff im Gange ist.“
Das mag für jeden, dem sein Passwort gestohlen wurde, ein schwacher Trost sein.
"Solange Passwörter weit verbreitet sind, müssen Benutzer und Unternehmen bestimmte Schritte unternehmen, um das Risiko, dass Accounts kompromittiert werden, zu verringern", sagt sie. "Passwörter nicht wiederzuverwenden ist eine Maßnahme, und starke Passwörter mit 12 oder mehr Zeichen zu wählen ist eine andere Maßnahme. Vermeiden Sie die Verwendung von Wörterbuchwörtern und fortlaufenden Zahlen wie 1234, und mischen Sie die Zeichentypen – einige Groß- und Kleinbuchstaben, einige Symbole und so weiter.
Die Durchsetzung dieser Regeln obliegt Passwortverwaltungssystemen und Helpdesk-Mitarbeitern.
"Denken Sie nur an die Zeit, die Helpdesks allein mit dem Zurücksetzen von Passwörtern verbringen," fügt sie hinzu.
Eine passwortlose Welt
Um Benutzer dazu zu bringen, etwas anderes auszuprobieren, muss man sich auf Anwenderschulungen und User Experience konzentrieren, sagt Dharmarajan. Benutzer müssen wissen, dass ein passwortloser Ansatz nahtlos und sicher sein wird und sie möglicherweise vor den Data Breaches bewahren kann, über die sie oft lesen.
Es gibt jedoch noch einiges zu tun, um die Verbraucher auf ihrer Journey zu einem passwortlosen Ansatz zu überzeugen. Der Customer Identity Trends Report ergab, dass 73 % der Befragten Passwörter als „praktisch“ (33 %) oder „sehr praktisch“ (40 %) bewerteten. Inzwischen war die Zahl derjenigen, die dieselbe Meinung über die Fingerabdruck-Biometrie-Technologie und FaceID hatten, geringer, wobei die Befragten der Babyboomer- und Gen X-Generation sie niedriger bewerteten als die der Generation Z und Millennials. Allerdings waren 71 % der Befragten insgesamt der Meinung, dass Fingerabdrücke eine "sehr sichere" oder "sichere" Anmeldung sind, und 62 % sagten dasselbe über FaceID.
Die Zahlen zeigen, dass viele Verbraucher offen für passwortlose Authentifizierung sind. Innerhalb von Enterprise sollten Führungskräfte einen schrittweisen Ansatz für die interne Einführung wählen und sich auf einzelne Anwendungen konzentrieren. Bevor sie passwortlose Technologien einführen, sollten sie zunächst einige Schlüsselfragen stellen, sagt Dharmarajan.
"Gibt es einen zentralen Identity-Anbieter, der SSO für jede Anwendung im Enterprise verwalten kann? Kann die Provisionierung und De-Provisionierung von Benutzern automatisiert werden? Werden dieselben Identitäten und Berechtigungen beibehalten, wenn eine neue Authentifizierungsmethode eingeführt wird? Diese Fragen müssen beantwortet werden, bevor Sie fortfahren können," sagt sie.
Passwortlose Lösungen müssen auch in Legacy-Systeme integriert werden.
„Enterprise-Führungskräfte sollten eine breitere Einführung passwortloser Technologien im gesamten Unternehmen anstreben“, fügt sie hinzu
Egal, ob es sich um Verbraucher oder Firmenmitarbeiter handelt, um Support für passwortlose Methoden zu gewinnen, ist ein Fokus auf Aufklärung und User Experience erforderlich. Alles, was die Benutzerhürden zu stark erhöht, wird abgelehnt. Laut dem Customer Identity Trends Report gaben fast ein Viertel der Befragten an, dass sie Online-Käufe „immer“ oder „oft“ abbrechen, wenn sie auf Anmelde- oder Anmeldeprobleme stoßen, und 40 % gaben an, dass sie dies „manchmal“ tun.
„Als Sicherheitsverantwortliche sehen wir oft eine Spannung zwischen robuster Sicherheit und nahtloser Benutzererfahrung“, sagt Dharmarajan „Die breite Akzeptanz sichererer Praktiken hängt jedoch davon ab, die Reibung zu minimieren.“ Unser Ziel muss es sein, Sicherheitslösungen zu entwickeln, die von Natur aus einfach zu bedienen sind, sodass die sicherere Wahl für unsere Kunden zum Weg des geringsten Widerstands wird.
Lesen Sie den vollständigen Customer Identity Trends Report 2025, um mehr über Passworthygiene, Anmelde- und Anmelde-Erfahrungen sowie die Bedrohungen zu erfahren, denen die Customer Identity heute ausgesetzt ist.
