Passwörter sind die Wurzel allen Übels beim Phishing

Druckfreundlich, PDF & E-Mail

Seitdem Mitarbeiter im Kampf gegen die Coronapandemie ins Homeoffice gewechselt sind, ist bekannterweise die Zahl der Phishing-Angriffe auf Unternehmen sprunghaft angestiegen. HYPR, ein von Comcast, Samsung und Mastercard gegründetes Joint Venture zur Abschaffung von Passwörtern, und Cybersecurity Insiders haben eine Umfrage unter 425 IT-Fachleuten veröffentlicht. Diese zeigt, dass im Jahr 2020 90% der Befragten Phishing-Angriffen auf ihr Unternehmen erlebt haben.

Fast ein Drittel (29%) gab an, auch einen Credential-Stuffing-Angriff erlebt zu haben, bei dem Cyberkriminelle offensichtlich versuchten, eine große Anzahl von gestohlenen Benutzernamen und Passwörtern einzusetzen, um Anwendungen und Systeme zu beschädigen.

Trotz dieser Angriffe verfügt fast die Hälfte der Umfrageteilnehmer (48%) laut Angabe über keine passwortlose Lösung. 91% derjenigen, die eine solche Lösung haben, gaben als Hauptgrund für ihre Investition in Multi-Faktor-Authentifikation die Vereitlung von Phishing-Angriffen gefolgt von einem besseren Benutzererlebnis (61%) an.

Einführung von passwortlosen Lösungen

Die Befragten wenden unterschiedliche Ansätze zur passwortlosen Multifaktor-Authentifizierung an. 36% von ihnen gaben an, dass sie Smartphones als FIDO-Token verwenden, 17% verwenden Hardware-Sicherheitsschlüssel wie Yubico Yubikey oder Google Titan und 17% nutzen integrierte Authentifizierungstools wie Windows Hello.

Leider ist die passwortlose Authentifizierung noch nicht weit verbreitet. Selbst wenn sie verwendet wird, ist nicht genau definiert, was als passwortlos gilt. Organisationen, die MFA eingeführt haben, setzen als primäre Methode zur Authentifizierung von Endbenutzern eine Nachricht ein, die an das Smartphone gesendet wird (73%). Viele Organisationen verlassen sich jedoch nach wie vor auf eine zweistufige Multi-Faktor-Authentifizierung, um Benutzer zu verifizieren. 61% berichten, dass ihr Ansatz einer „passwortlosen“ Lösung immer noch ein gemeinsames Geheimnis (ein zugrunde liegendes Passwort, ein Einmalpasswort (OTP) oder einen SMS-Code) erfordert.

Die gute Nachricht ist, dass 90% der Befragten die Eliminierung von gemeinsamen Geheimnissen zur Authentifizierung als sehr wichtig oder eher wichtig einschätzen. Über zwei Drittel (67%) meinten jedoch, dass ihre Unternehmen nicht die notwendigen Fähigkeiten und Teams haben, um passwortlose Lösungen großflächig einzuführen.

Insgesamt gaben fast drei Viertel (73%) an, dass sie passwortlose Multi-Faktor-Authentifizierung über ein Smartphone für den bequemsten Weg halten. Für fast zwei Drittel der Befragten (65%) ist außerdem die Interoperabilität zwischen mehreren Anbietern von Identitätsmanagement von Bedeutung.

Sicherheit ohne Passwörter

Angesichts der Häufigkeit von Phishing-Angriffen sollte offensichtlich sein, dass es völlig antiquiert ist, sich auf Passwörter zu verlassen. Phishing war schon immer ein Problem, aber da immer mehr Mitarbeitern im Homeoffice arbeiten, werden durch diese Angriffe Passwörter von Unternehmens-Insidern gefährdet. Daher sind Insider-Bedrohungen in Form bösartig handelnder Personen, die sich als jemand anderes ausgeben, zu einer großen Herausforderung geworden. Hinzu kommt die zunehmende Abhängigkeit von digitalen Geschäftsabläufen. So maximiert sich der potenzielle Schaden, den böswillige Personen anrichten können.

Die einzige Möglichkeit, diese Bedrohungen für immer zu beseitigen, ist die Eliminierung des Passworts. Solange es Passwörter gibt, wird es auch Phishing-Angriffe geben. Das Verhalten von Cyber-Kriminellen lässt sich nicht ändern. Organisationen haben lediglich die Kontrolle über ihre Methoden, mit denen sie Endbenutzer authentifizieren. Wenn diese Methode auf einer Art Passwort beruht, ist es nur eine Frage der Zeit, bis dieses Passwort gefährdet wird. Irgendwann werden sich Organisationen eingestehen müssen, dass sie derzeit eher Teil des Phishing-Problems als Teil der Lösung sind.

1 Kommentar

  1. Ana29. Januar, 2021

    Well, it seems like a good solution to the really dangerous phishing threat. Passwordless ways to access platforms, tools, data, and other stuff could be actuallysafer than other methods.
    But people have to learn first. Some don’t know how to do that, while others don’t have the resources to do that (for not having a smartphone, for example). But it’s better if those who can use it start using these methods.

Die Kommentare sind geschlossen.

Nach oben scrollen
Twittern
Teilen
Teilen