Okta Desktop MFA – Die Zeit ist reif

Das Prinzip „Passwort“ ist immer wieder Gegenstand heftiger Kritik – zu Recht. Selbst Fernando Corbató, Informatiker am MIT und Vater des Passworts, findet, es habe sich zu „einem echten Albtraum“ entwickelt. Wie hätte Corbató auch ahnen können, dass User einmal Hunderte von Passwörtern verwenden werden? Oder dass die Regeln für sichere Passwörter immer komplexer werden, um die Schwächen einer rein wissensbasierten Authentifizierung zu umgehen?

Heute ist starke Multi-Faktor-Authentifizierung (MFA) der State-of-the-Art: Sie ergänzt die unzulängliche Identitätsprüfung per Passwort um stärkere Faktoren – etwa einmalige Passcodes, biometrische Daten oder physische Token. Auch diese Methode ist nicht perfekt – aber viel sicherer als das Passwort allein. 

Im Zuge der Authentifizierung an einer kritischen Anwendung ist für gewöhnlich ein zusätzlicher Verifizierungsschritt erforderlich – mit dem Passwort allein ist es nicht getan. Single Sign-On (SSO) automatisiert den Prozess weitestgehend und trägt so zur Benutzerfreundlichkeit bei. Allerdings hat auch die MFA ihre Schwächen: Häufig erfolgt der Zugriff von einem Endpoint aus, der nur durch ein Kennwort geschützt ist. Lassen Sie diesen Umstand mal auf sich wirken: Es gibt eine starke Authentifizierungsmethode – doch sie erfolgt von einem Device aus, das nur einen schwachen Schutz aufweist. Das bedeutet, dass der sichere Zugriff auf Anwendungen so gut wie nie gewährleistet werden kann – denn leider ist das Kennwort beim Device-Schutz immer noch die erste Wahl.

Klassische Arbeitsplätze werden zunehmend von Hybrid- und Teleworking-Modellen verdrängt. Die Endpunkte (Desktops, Laptops oder andere Geräte), von denen aus Mitarbeitende auf firmeninterne Informationen und Ressourcen zugreifen, sind also über die ganze Welt verteilt – was eine deutlich größere Angriffsfläche nach sich zieht. Da darf erst recht nicht beim Thema Schutz gespart werden.

Sicherheit ist aber nur die eine Seite der Medaille – Benutzerfreundlichkeit ist die andere. Unternehmen stehen vor der Herausforderung, die richtige Balance zwischen diesen beiden Aspekten (einem robusten Schutz und der Flexibilität der Mitarbeitenden) zu finden. Mitarbeitende brauchen einfachen und sicheren Zugriff auf die Anwendungen, die sie im Arbeitsalltag benötigen. Warum Benutzerfreundlichkeit und Komfort nicht vernachlässigt werden dürfen? Weil schlechte User-Experiences oft dazu führen, dass Mitarbeitende nach Wegen suchen, um die Sicherheitsmaßnahmen zu umgehen – schließlich sollen sie ihre Aufgaben schnell und effizient erfüllen.

Okta Device Access wurde entwickelt, um das Problem der ausschließlich passwortbasierten Geräteauthentifizierung zu beheben: Ein Device ist schließlich auch nur ein weiterer Touchpoint, den eine durchgängige Identity-&-Access-Management-Lösung zuverlässig schützen kann. Bisher lag der Fokus von Okta primär darauf, Kunden den gesicherten Zugriff auf Anwendungen und netzwerkbasierte Ressourcen zu ermöglichen. Die Option zur MFA auf dem Endpoint gab es zwar schon immer. Allerdings war dafür bisher eine Partner-Integration erforderlich – und viele Kunden haben uns gefragt, ob man diesen Prozess vereinfachen könne.

Mit Okta Device Access gehören diese Herausforderungen der Vergangenheit an: Der User kann sich mit seinen Okta-Zugangsdaten bei allen Devices einloggen, die das Unternehmen für ihn bereitstellt. Er erhält wahrscheinlich eine Phishing-resistente Aufforderung zur Multi-Faktor-Authentifizierung. Idealerweise läuft die Authentifizierung passwortlos ab – aber dieses Gespräch vertagen wir auf einen anderen Tag. Nachdem der User sich erfolgreich auf dem Gerät authentifiziert hat, wird eine aktive Session aufgebaut. Anschließend erhält er dank Single Sign-On Zugriff auf alle Anwendungen und Services, die er im Laufe des Tages benötigt. Eine erneute Anmeldung ist nicht notwendig. Sollte sich allerdings die Risikobewertung des Anwenders oder der Sicherheitsstatus seines Geräts ändern, wird er erneut zur Anmeldung aufgefordert. Dies kann auch passieren, wenn der Zugriff auf eine bestimmte Anwendung aufgrund einer Richtlinie stärker beschränkt wird.

Der Rollout der Lösung erfolgt in mehreren Phasen. Zunächst wird die Desktop-MFA eingeführt: Dabei müssen sich User zusätzlich zum lokalen Passwort, dem AD-Passwort und/dem benutzerdefinierten Passwort mit einem weiteren Faktor verifizieren. Dabei können die User das lokale Gerätepasswort auch mit ihren Okta-Passwörtern synchronisieren. Mit jedem neuen Produkt-Update wächst die Flexibilität der Kunden: Passwortloser Zugang, Phishing-resistente Faktoren und nahtloser Zugriff auf alle benötigten Ressourcen und Services, für die der User eine Berechtigung besitzt – all das wird mit Okta Device Access möglich. Natürlich können – wie immer, wenn es um den Zugriff auf Anwendungen geht – kontext- und risikobasiert weitere Faktoren abgefragt werden.

Okta Device Access ist das Produkt, das wir Ihnen schon immer bieten wollten. Es hat ein bisschen länger gedauert, doch das Warten hat sich gelohnt. Okta hat es sich bereits vor langer Zeit auf die Fahne geschrieben, die Devices besser zu schützen und die User-Experience zu optimieren. Wir freuen uns sehr, nun ein Produkt anbieten zu können, das diesen Ansprüchen gerecht wird.

Mitteilung des Sponsors

Okta hat es sich zur Aufgabe gemacht, Ihren Mitarbeitenden jederzeit einen sicheren Zugriff auf alle benötigten Ressourcen zu ermöglichen – egal von welchem Device und Touchpoint aus. Spannende Updates zu Okta Device Access folgen in Kürze. Interessierte Leser erfahren mehr unter www.okta.com/de