Gespräch mit Jameeka Green Aaron, CISO bei Auth0
Vom Passwortschutz zum Leben ohne Login
Auth0, ein Geschäftsbereich des Authentifizierungsspezialisten Okta, hat vor Kurzem unter dem Namen Credential Guard Funktionen vorgestellt, um Unternehmen vor Passwortmissbrauch zu schützen. Die Zukunft der sicheren IT-Nutzung liege allerdings vielmehr in passwortlosen Fernzugriffen, wie Jameeka Green Aaron, CISO bei Auth0, im Gespräch mit LANline darlegte.
Die Cloud-basierte Software Credential Guard, eingeführt im Februar, agiert hinter den Kulissen, um Beschäftigte vor Passwortmissbrauch, Kontenübernahmen und damit weiteren Schäden durch Cyberangriffe zu schützen. Auth0 arbeitet dabei laut Jameeka Green Aaron mit Partnern zusammen, um entwendete Passwörter zu ermitteln.
Auf dieser Basis ermögliche Credential Guard es Unternehmen, automatisch nach gestohlenen Passwörtern zu suchen und Benutzer zu warnen, sie zu einer zusätzlichen Überprüfung aufzufordern oder den Zugang zu sperren, indem die Software ein Passwort-Reset erzwingt. Dies soll das sogenannte Credential Stuffing vereiteln, also das verbreitete Vorgehen von Angreifern, geleakte Passwörter systematisch auszuprobieren in der Hoffnung, dass Nutzer das gleiche Passwort auch andernorts wiederverwenden – eine leider nach wie vor verbreitete Unsitte der Unternehmensanwender und Konsumenten.
Credential Guard könne Passwörter letztlich auch automatisch im Hintergrund zurücksetzen, sodass die Passwortaktualisierung für Benutzer oder Kunden als nahtloser Prozess erscheint. Die Lösung unterstützt laut Hersteller 35 Sprachen und ist in über 200 Ländern und Territorien verfügbar. Laut internen Tests beschleunige sie die Erkennung von Passwortmissbrauch erheblich.
Mechanismen zum Schutz vor Passwortmissbrauch sind aber nur taktisches Mittel zum Zweck: Die Entwicklung muss laut Auth0-CISO Aaron vielmehr in Richtung einer reibungslosen kontinuierlichen Authentifizierung gehen, die ganz ohne Passwörter auskommt. „Ich habe heute nur einmal ein Passwort eingegeben, um mich bei Okta anzumelden“, berichtet sie. Für die Anmeldung bei Zoom etc. reiche dann der Fingerabdruck.
„Es wird eine Zeit kommen, in der die Eingabe von Passwörtern nicht mehr notwendig ist“, so Aaron, „aber so weit sind wir noch nicht.“ Die Basis für passwortlose Sicherheit sei zwar mit Auth0 vorhanden, aber in der Branche noch nicht flächendeckend gegeben: „Wenn man Legacy-Anwendungen einsetzt, wird das nicht passwortlos funktionieren, weil immer noch die Verwendung von Benutzername/Passwort nötig ist“, sagt Aaron. „Legacy-Anwendungen unterstützen oft keine Mehrfaktor-Authentifizierung. Wir haben noch viel Arbeit vor uns, um eine moderne Authentifizierung zu ermöglichen.“
Eine weitere Hürde auf dem Weg zur passwortlosen Zukunft sei mangeldes Fachwissen: „Es ist nicht einfach, diese Werkzeuge in die Infrastruktur einzufügen“, sagt sie. „Außerdem müssen die vorhandenen Tools mit den Tools, die man implementiert, zusammenarbeiten.“ Wichtig für eine sichere Zukunft seien damit der Ausbau des Cyber-Talentpools ebenso wie Awareness und Schulungen auf Anwenderseite.
Als weiteres wichtiges Hilfsmittel auf dieser Reise erachtet sie – wie so viele IT-Security-Fachleute – künstliche Intelligenz: „Machine Learning und Deep Learning zählen zu den besten Werkzeugen, die uns in Zukunft zur Verfügung stehen werden.“ Denn KI werde die Umstellung auf eine adaptive, kontextabhängige und vor allem kontinuierliche Authentifizierung der Belegschaft und Konsumenten erlauben.
Als Fluchtpunkt dieser Entwicklung sieht sie eine Login-freie Zukunft, bestehend aus einer initialen Authentifizierung, gefolgt von laufender Verhaltensüberwachung und bei Bedarf – also bei Auffälligkeiten – Rückgriff auf biometrische Daten: „Loginless“, so Aaron, „bedeutet, dass ich nie meinen Nutzernamen und mein Passwort sehe, ich sehe nicht einmal das Eingabefeld.“ Sie bringt dieses Ziel auf folgende Formel: „Banken machen es den Menschen nicht schwer, Geld auszugeben, und CISOs sollten es den Menschen nicht schwer machen, sicher zu sein.“
Um dieses Ziel nicht nur als einzelner Anbieter, sondern flächendeckend zu erreichen, werden Standards laut Aaron eine wichtige Rolle spielen: „Wir müssen uns auf eine Reihe von Standards wie FIDO/FIDO2, OAuth usw. einigen.“ Es gehe also um Zero-Trust-Fähigkeit durch herstellerübergreifende Zusammenarbeit – ohne Angst vor Verlust eines Wettbewerbsvorteils. „Ich denke, wir werden das Ziel erreichen“, sagt sie, „wir bekämpfen schließlich alle denselben Gegner.“
Lesen Sie mehr zum Thema
