Foto: Lightfield Studios - shutterstock.com
Einerseits sicher, andererseits komfortabel - warum das in Sachen Identitäts- und Zugangsmanagement jetzt kein Widerspruch mehr ist, zeigt ein Webcast der Computerwoche. Vom Online-Banking bis zur Urlaubsbuchung verlagern Verbraucher ihren Konsum ins Digitale. Das ruft Cyberkriminelle auf den Plan - weswegen Sicherheit oft zu Lasten der Bedienfreundlichkeit ging. Mathias Conradt, Sr. Solutions Engineer bei Auth0, zeigt, wie Unternehmen beide Faktoren in Einklang bringen. Der Einsatz von Security By Design erschwert es Cyberkriminellen, auf Kundendaten zuzugreifen.
Fachjournalist Sven Hansel von der Computerwoche moderiert den Webcast und gibt zum Einstieg den Zuschauern das Wort. Wo sehen sie die Prioritäten beim Access- und Identity-Management? Eine Umfrage zeigt: eine deutliche Mehrheit von 62 Prozent setzt das Schaffen von mehr Sicherheit im Anmeldeprozess auf Rang Eins. Conradt bestätigt: "Wir sehen das ja anhand der Anfragen unserer Kunden, dass da Nachholbedarf besteht."
Der Auth0-Manager schreibt der Corona-Pandemie Auswirkungen zu. "Die Konsumenten haben sich an das Digitale gewöhnt, sie bestellen zum Beispiel Essen online statt rauszugehen", sagt er. Das heißt: Unternehmen müssen die Balance finden zwischen Security und Service. Sie müssen die Fähigkeit verbessern, Kunden online zu erreichen. Und: diese Kunden nutzen mehrere Geräte und Zugangswege. "Selbst Amazon musste sich anpassen", so Conradt, "online ist zur neuen Normalität geworden."
Awareness nach dem Modell "von DevOps zu DevSecOps" ausweiten
Er will weg von der Sicht, UX (User Experience) und Security als Widerspruch wahrzunehmen. Grundsätzlich sollte das Balancing der beiden Faktoren eine strategische Bedeutung haben. Hier fragt der Moderator nach: "Wer soll dafür verantwortlich sein?" Laut Conradt braucht es nicht unbedingt neue Abteilungen. Er plädiert aber für eine neue Security Awareness, ganz ähnlich der Entwicklung von DevOps zu DevSecOps. "Nach diesem Modell kann man das Ganze ausweiten", sagt er.
Den Kommunikationsprozess des Kunden unterteilt Auth0 in vier Phasen: Registrieren, Login, MFA (Multifaktor Authentifizierung) und Continous Auth0. Im Einzelnen:
Phase 1: Bei einer Benutzer-Registrierung, die über ein Passwort inklusive Bestätigung läuft, sollte die Validierung in Echtzeit vorgenommen werden. Dem Anwender wird also unterhalb des Eingabefeldes angezeigt, ob das Passwort geeignet ist. "Sind Zahlen und Sonderzeichen notwendig?", will Moderator Hansel wissen. Dazu Conradt: "Viele Benutzer ersetzen das große S durch Dollarzeichen - das weiß jeder Hacker!" Besser sind Zufallskombinationen und die Verwendung eines Passwort-Managers. Auch die Länge auch wichtig. "Dem Kunden sollten mindestens 64 Zeichen erlaubt sein", sagt Conradt. Hier eignet sich zum Beispiel eine Zeile aus einem Lied.
"Konsumenten haben oft viele Accounts, und wenn sie kein Single-Sign-on verwenden, nehmen sie gerne dasselbe Passwort", führt Conradt aus. Es gibt also ein Missverhältnis von Accounts und Passwörtern, das macht es Hackern leicht. Außerdem gilt: Ein Registrierungsformular sollte nicht zu lang sein. Und: Captchas können die Conversionrate laut einer Studie um bis zu 33 Prozent senken!
Wann temporäre Passwörter ausreichen
Phase 2: Auf welchem Weg kann man sich einloggen? Hier muss der User wissen, was der Unterschied ist zwischen User-ID und beispielsweise seiner Loyalty-Programm-Teilnehmer ID. "Der Nutzer sollte auch hier so selten wie möglich klicken müssen", rät Conradt, "unnötige Auswahlen sind zu vermeiden!" Account-Linking erlaubt es, Konten zu verbinden. Dabei wird der Nutzer gefragt, ob er Konten verknüpfen möchte, wenn ein anderes Konto gefunden wurde.
Hier ist auch zu Bedenken, dass etwa bei Diensten wie der jährlichen Steuererklärung temporäre Passwörter (Einmal-Codes mit begrenzter Dauer) Sinn machen. Diese sollten aus Sicherheitsgründen besser per Email versendet werden statt per SMS.
Phase 3: Multifaktor-Authentifizierung führt eine weitere Sicherheitsstufe ein. Conradt zitiert eine Faustregel: "Etwas, das ich weiß (ein Passwort), etwas, das ich habe (eine Karte) und etwas, das ich bin (der Fingerabdruck)!" Wie aber kann man Konsumenten dazu motivieren? Zum Beispiel, indem man sie incentiviert, etwa mit einem kleinen Gutschein für den Online-Shop, so der Experte.
Phase 4: Bei Continous Authentication geht es darum, ständig Risiken und Anomalien zu prüfen. Der Benutzer wird mit Confidence-Score kalkuliert, erklärt Conradt. Sein Fazit: Security und UX - das muss eben kein Widerspruch sein.
Zum Schluss der Sendung erkundigt sich ein Zuschauer nach der Nutzung von Passwort-Managern. "Dabei sollten die Nutzer den Datenspeicher selbst aussuchen können", empfiehlt Conradt, "und der Anbieter sollte mit Verschlüsselung arbeiten!"