Laut der eingangs zitierten RSA-Studie ist die Komplexität von Enterprise-Umgebungen das potenziell gößte Hindernis für eine Passwordless-Einführung: “Weil die meisten Unternehmen in hybriden Umgebungen arbeiten und unterschiedliche Benutzer sowie Anwendungsfälle unterstützen müssen, ist eine Vielzahl von Formfaktoren nötig, um jedem User eine passwortlose Authentifizierung zu ermöglichen”, schreiben die Studienautoren. Die befragten Sicherheitsentscheider sehen drei wesentliche Herausforderungen bei der Umstellung auf passwortlose Authentifizierungslösungen:
- Sicherheitsbedenken (57 Prozent),
- Bedenken hinsichtlich der Benutzererfahrung (56 Prozent), sowie
- vollständig fehlender Plattform-Support (inklusive Legacy-Anwendungen und Drittanbietersystemen).
Wie so oft, kommt es auch bei der Einführung von Passwordless-Lösungen auf die richtige(n) Strategie(n) an. Oleg Naumenko, CEO beim Identity-Anbieter Hideez, empfiehlt CISOs, bei der Umstellung auf passwortlose Authentifizierung auf die Reihenfolge zu achten. Laut dem Experten beginnen viele Firmen damit, passwortlosen Zugang zu Cloud-Diensten zu implementieren, weil das einfacher ist. Komplexere, risikoreichere Systeme blieben hingegen weiterhin abhängig von Passwörtern. “Ich empfehle in der Regel, diese Reihenfolge umzukehren. Ein Unternehmen, das damit beginnt, privilegierte Benutzer und kritische Systeme zu sichern, kann damit das Risiko erheblich verringern.”
Privilegierte Benutzer wie Administratoren hätten den umfassendsten Zugriff, so Naumenko weiter. Wenn die passwortlose Anmeldung für sie funktioniere, ließe sie sich auch wesentlich einfacher auf den Rest des Unternehmens ausweiten.”Wenn der Rollout mit den einfachsten Integrationen beginnt, nur um mehr Benutzer zu erreichen, wird die Verbesserung nur oberflächlich ausfallen”, hält der Manager fest. Die meisten Cloud-Anwendungen ließen sich problemlos über SAML oder OIDC integrieren, während Legacy- oder benutzerdefinierte Systeme einen anderen Ansatz erforderten: “Die erste Option besteht darin, den Zugriff über eine VPN-Lösung zu beschränken, die durch passwortloses SSO geschützt ist. Die fortgeschrittenere Option wäre, einen Reverse-Proxy-Dienst zu nutzen, der direkten Passwordless-Zugriff ermöglicht”, empfiehlt Naumenko.
