Interview mit Craig Lurey, CTO von Keeper Security
Passwortsafe ist nicht gleich Passwortsafe
Die Kombination von Benutzername und Passwort als alleiniger Zugriffsschutz gilt in Security-Kreisen längst als Auslaufmodell. Experten raten zu MFA (Mehr-Faktor-Authentifizierung) mittels Biometrie, Tokens oder zumindest Soft-Tokens wie etwa der Google Authenticator App. Einige sehen die IT-Welt dank allgegenwärtiger Biometrie wie den Gesichts- und Fingerprint-Scannern der Smartphones von auf dem Weg zur passwortlosen Authentifizierung - obwohl bei einem Fingerabdruck ein "Passwort Reset" schwerlich umsetzbar wäre. Vor diesem Hintergrund befragte LANline Craig Lurey, Mitgründer und CTO des Passwort-Management-Spezialisten Keeper Security, zur Zukunft der Tools für die Passwortverwaltung.
LANline: Herr Lurey, Passwort-Management-Tools gibt es in großer Fülle. Wodurch unterscheidet sich hier die Spreu vom Weizen?
Craig Lurey: Es gibt einige Funktionen, auf die man achten sollte, um die Spreu vom Weizen zu trennen. Gute Passwort-Management-Tools sollten möglichste viele der folgenden Funktionen haben: eine Zero-Knowledge-Architektur, sodass nur Sie allein Ihre gespeicherten Daten entschlüsseln können; Multi-Faktor-Authentifizierung, um zu verhindern, dass nicht-autorisierte Benutzer auf Ihr Konto zugreifen; dazu die Möglichkeit, einzelne Datensätze oder Ordner sicher mit Familienmitgliedern und Mitarbeitern zu teilen; Dark-Web-Monitoring, um Sie sofort zu benachrichtigen, wenn Ihre Anmeldeinformationen bei einer Datenpanne möglicherweise gefährdet wurden; eine Cloud-Synchronisation auf allen Ihren Geräten, also für Mobilgeräte, Desktops und Web-Browser; und zudem Sicherheits- und Datenschutzzertifizierungen wie SOC-2 und ISO 27001, um sicherzustellen, dass die Tools international anerkannten Sicherheitsstandards entsprechen.
LANline: Mit welchen Maßnahmen kann sich ein Passwort-Manager in puncto Benutzerfreundlichkeit von der Konkurrenz abheben?
Craig Lurey: Passwortlose Anmeldungen durch biometrische Authentifizierung wie Windows Hello und Touch ID sorgen für eine wesentlich benutzerfreundlichere User Experience. Weitere nützliche Funktionen sind die sofortige Synchronisation zwischen Mobilgeräten und Computern, einfache Zwei-Faktor-Maßnahmen wie Biometrie und die simple Integration über Geräte, Plattformen und Anwendungen hinweg. Die sichere Kennwortfreigabe und das Importieren vorhandener Kennwörter aus Web-Browsern und anderen Quellen können ebenfalls dazu beitragen, die Bedienbarkeit eines Passwort-Managers zu verbessern.
LANline: Wie vermeidet man, dass die Passwort-Management-App zum Single Point of Failure des Applikationszugriffs wird?
Craig Lurey: Man sollte auf ein Passwort-Management-System achten, das gegen Brute-Force-Angriffe und viele andere Angriffsmethoden geschützt ist. Man kann Daten aus Redundanzgründen auch auf mehreren Geräten und Computern synchronisieren und sichern.
LANline: Wie lässt sich das Zusammenspiel zwischen Passwort-Management und MFA möglichst einfach und elegant gestalten?
Craig Lurey: Die beste Benutzererfahrung lässt sich mit verschiedenen Methoden erzielen. Die Verwendung hardwarebasierter Sicherheits-Token wie der Yubikey-Geräte ermöglicht beispielsweise einen einfachen One-Touch-Zugriff auf den Passwortsafe. In ähnlicher Weise sorgen Push-basierte Methoden wie Duo Security oder andere Push-Benachrichtigungsmethoden für nahtlose Bedienbarkeit. Die Kombination von Biometrie und Sicherheitsschlüsseln bietet die beste Erfahrung. Biometrie liefert den ersten und der Sicherheitsschlüssel den zweiten Faktor.
LANline: Werden MFA-Tokens und -Soft-Tokens eines Tages Passwort-Management-Tools ersetzen können?
Craig Lurey: MFA und Soft Token dienen einem ganz bestimmten Zweck, nämlich dem Hinzufügen einer zweiten Verifizierungsstufe. Diese Arten von Diensten ersetzen weder Kennwörter noch den ersten Authentifizierungsfaktor. Während MFA und Soft Tokens einen bequemen und sicheren Login-Prozess bieten können, fehlen ihnen viele der umfassenden Sicherheitsfunktionen, die robuste Tools zur Kennwortverwaltung bieten. Unabhängig davon, ob es sich um ein Dark-Web-Monitoring, einen sicheren Zugriff auf gemeinsam genutzte Konten über Geräte und Anwendungen hinweg oder um mehrere Verschlüsselungsebenen handelt, bietet das vollständige Angebot eines seriösen Passwort-Management-Tools im Vergleich zu Tokens ein viel höheres Maß an Zuverlässigkeit, Sicherheit und Funktionalität.
LANline: Herr Lurey, vielen Dank für das Gespräch.
Lesen Sie mehr zum Thema
