Event Recording

Gerald Beuchelt, Daniel Holzinger: Passwörter: gehasst und doch unverzichtbar. Ist passwortlose Authentifizierung die Lösung?


Log in and watch the full video!

95% der IT-Führungskräfte sehen die Nutzung von Passwörtern als Risiko. Dank Enterprise Identity- und Access Management können Unternehmen die Sicherheit erhöhen und Mitarbeitern gleichzeitig einfacheren Zugriff ermöglichen. Gerald Beuchelt, CISO bei LogMeIn, geht in diesem Vortrag auf die aktuelle Situation der Absicherung von Remote-Arbeitsplätzen ein und die Zukunftsvision des passwortfreien Arbeitens.

Log in and watch the full video!

Upgrade to the Professional or Specialist Subscription Packages to access the entire KuppingerCole video library.

I have an account
Log in  
Register your account to start 30 days of free trial access
Register  
Subscribe to become a client
Choose a package  
mit der Einleitung Frage Ich hatte, dabei zu sein, bevor ich mich aber ganz kurz vorstelle ich meine Aufgabe ist es heute war, Fragen, die wir vorbereitet haben, entsprechend zu stellen, so werden es keine klassische Produktpräsentation vorbereitet. Und ich freue mich sehr gerne, dich auf der Bühne zu haben, Du bist sie so von dort Minen, aber ich würde dich einladen, dich selber ganz kurz vorzustellen
in deinen herzlichen Dank, wie gesagt, mein Name ist gerade bei euch, ich bin der Schiiten von Menschen, sieht Julian, Landminen und dieser Position verantwortlich für die Sicherheit. Und auch die technischen Aspekte von Datenschutz Ballon gehen für unsere gesamte Produktpalette, aber auch für den internen Betrieb der Rollen natürlich auch sehr aktiven Lars Bars Bereichen Bereich der SPD im Atelier die Management, weil das das eine unserer Kern Geschäftsbereiche und ja, wir haben da eine ganze Reihe interessante Ideen, die wir im Laufe der Jahre zusammengetragen haben. Passwörter sind natürlich in Spielen zentrales Thema dabei, aber wir verstehen, glaube ich auch sehr gut, die Passwörter halt eben nicht unbedingt das Gelbe vom Eisen in der Rolle halte, freue ich mich jetzt hier mit der Wissen zu planen
wir super, ja, mein Name dann in Reutlinger. Ich bin Geschäftsführer, Unternehmensberatern geleitet und langjähriger Kooperationspartner vom DOC Minen und wir machen das ein oder andere Projekt gemeinsam, aber gereizt vielleicht wird titel ist ja auch schon ein mittel provokativ, warum sind dann jetzt pass wird denke ich, gehasst und doch unverzichtbar.
Ich glaube, wir wissen alle die wir in irgendeiner Form mit irgendwelche formen von aller IT oder Internet oder sonst etwas zu tun gehabt haben, wie wunderbar Passwörter sein können wer fängt an einfach damit, dass man sich die Passworte zunächst mal merken muss, dass ständig Webseiten andere Anforderungen haben in Bezug, auf die diese Passwörter aufgebaut sind, dass wir die richtige kriegen von verschiedenen stellen, dass die Passwort bitte möglichst lang sein sollen und für jede, für jede Webseite, für jeden Dienst komplett unterschiedlich sind und es ist wirklich so komplex wie möglich sein sollen in einer Form, was der Sache mal heißen mag Alle diese Dinge sind jetzt nicht unbedingt dazu geeignet, um den Umgang oder den Interaktionen mit Computern oder mit System ein Paar zu machen. Menschen sind ein schlicht und ergreifend nicht dazu geeignet, sich super lange Passwörter die erste, zufällig zusammengewürfelten Zeichen bestehen zu merken und das am besten noch im Bereich von hunderten.
Jeder von uns hat letztendlich hunderte von Passwörtern. Was war auf der anderen seite? Auch sehen ist, dass Passwörter selber sehr gut verstanden sind. Wir passwörter gehen buchstäblich tausende von jahren zurück, das sind die die frühesten armeen bei den römern. Was was sich nicht als die wirklich schon passwörter oder passe phrasen gehabt haben und wenn man sich ein report von 20 12 ein kompass aus cambridge, sieht man das auch wenn passwörter viele viele nachteile haben, sicherlich in mancher Hinsicht sie sind trotz alledem sehr schnell verstanden. Ich kann jeden oder fast jeden innerhalb von zwei minuten erklären, wie ein Passwort funktioniert als als Anwender Anwendungs Entwickler kann ich Passwörter wirklich rasend schnell in meiner neue, man tollen neuen Dienst neue Applikation hat oder sonst was einpflegen, nämlich endlich einfach nur ein einzige Datenbank Tabelle hinzufüge wo Benutzername und Passwort stellt, ist das über die richtige Ansatz bestimmt nicht, aber es ist sehr einfach und es geht sehr schnell von einer Zeit die Anwender kann ich dann letztendlich hat auch Pass neue Passwörter oder Passwort Verwaltung schnell machen das heißt, das, was wir sehen, ist das ist Es ist leicht für Anwender, zu benutzen.
Es ist leicht für den Entwickler zu implementieren. Und für Administratoren ist Es sind die Dinge einzureichen, das heißt, letztendlich funktioniert alles ganz gut. Wir mögen es nicht, aber es funktioniert ganz guten. Das Gefühl zu einer gewissen Trägheit, Das hat dementsprechend sein
jetzt wieder das Risiko nicht unerheblich, weil eben, wie du sagst, der viele Applikationen Passwörter verwenden. Auf der einen Seite weiß man das jetzt sehr viele Sicherheits Vorfälle im Zusammenhang mit Passwörtern stehen, auf der anderen Seite weiß man auch, dass viele Führungskräfte überhaupt keine Kontrolle über das Passwort Verhalten ihrer Mitarbeitenden haben. In der Organisation Wie geht man damit um? Wird das Risiko unterschätzt?
Das Risiko ist sagen wir mal so das Risiko sollte eigentlich nicht mehr unterstützt werden, weil ich denke über die letzten zehn Jahre mindestens, wenn nicht sogar schon länger. Es ist eigentlich fast einmal pro Woche, wenn ich wenn ich sogar teilweise öfter in der Presse das hat eigentlich Passwörter wieder verwendet worden sind Passworts, kleine Tags dementsprechend geführt worden sind, die dazu geführt haben, dass ist zu größeren Sicherheits Verletzungen gekommen ist. Es ist Er gibt immer wieder Fälle, wo super einfach ist aus existierenden Passwort. Britisches dementsprechende passierte wieder zurück zu leiten und dann dementsprechend weiter zu gehen. Das heißt also, ich denke, allgemein ist schon grundsätzlich bekannt, dass Passwörter Problem darstellen, aber die Frage ist halt immer was kann man, was kann man dagegen tun? Was kann man dagegen tun, wenn man letztendlich ein Entwickler ein Anwender hatten benutzer hat, der schlicht und ergreifend nur seine acht zeichen eingeben möchte und am besten dazu auch noch Passwörter wie winter 2020, dann benutzt oder sonst etwas ganz bald wieder ein sehr aktuelles Passwort und letztendlich keine Kontrolle darüber hat?
Und ich denke der der entscheidende Punkt bei der ganzen Geschichte ist wirklich hinzugehen und sich überlegen, wie kann man dieses Problem hat zumindest etwas einen, denn zum einen ist es gibt es ganze hin weniger Passwörter sind weniger probleme, das heißt wenn ich wenn ich gehalten nur ein Passwort haben oder nur ganz wenige Passworte habe, die ich tatsächlich dann als Benutzer verwalten muss, dann ist die Gefahr, dass ich das gleiche Passwort war, über wiederverwenden halt nicht so groß. Das heißt, dass Lösungen, die dazu führen, dass die Anzahl der tatsächlich genutzten Passwörter untergehen helfen, in jedem Fall, dass die Taxis auf ist, also hier die Oberfläche leben, mit der uns da umgeben zu reduzieren. Zum anderen sieht es halt auch so aus, dass man halt durch alternative oder zusätzliche Lösung nachdenken kann und muss, die möglichst schnell dann hat eingeführt werden und hatten schon von Multi Faktor Authentifizierung gesprochen.
Das ist sicherlich ein Thema, was was man auch das in dem Zusammenhang ansprechen sollten um klar zu machen, in welcher Form die Gesamt Sicherheits Position der Firma oder der Einsetzung vergessen
also vieles im im Bereich Passwörter und Authentifizierung würdig ist Konsens aber nicht kommen Projekt ist bezeichnen und Log Min. Hat er da sozusagen noch einen schönen Vergleich eine Gegenüberstellung gemacht? Und das ist ein kleiner, ganz kompakte Ausschnitt. Was die Nutzer sozusagen sagen und was sie tun. Und das sind eigentlich zwei Paar Schuhe.
Er ist Reporter. Haben wir früher im Sommer diesen Jahres veröffentlichte kommentiert. Wobei reingegangen sind und wirklich tausende von Benutzern Tausende von Anwendern, Administratoren und so weiter. Befragt haben, was sie wie das Passwort verhalten tatsächlich denn dann aussieht. Das ist wirklich eine Umfrage, die ist einigermaßen repräsentativ, ganz repräsentativ kann man nie sein, aber ich denke, das geht schon relativ klar rein und wir haben halt immer wieder gesehen, dass auf der einen Seite, wie schon gesagt habe, dass das das, das grundsätzliche Verständnis in Bezug auf Passwort, Sicherheit und was was richtig ist und was nicht so gut ist, dass das grundsätzlich mal da ist. Die Leute es ist inzwischen scheinbar schon beim Läuten angekommen. Das ist keine gute Idee ist immer wieder das gleiche Passwort zu benutzen. Oder Sommer 2020, Herbst 2020 aus Hochzeit. Das Ausrufezeichen habe ich natürlich vergessen, das sind dessen Sachen, die eigentlich den Leuten klar sind, aber letztendlich sieht das dann so aus, dass zwei drittel der ihnen, die wir, die wir befragt haben, das dann trotz alledem in irgendeiner Weise immer noch tun oder oder wie oder oder sehen, dass es das ist getan.
Es geht, es geht auch weiter, das ist wirklich wahr. Alle möglichen anderen Dinge geht im allgemeinen Datenschutz, aber trotz alledem werden, wenn Passwörter mit anderen Leuten geht, 11 zurückgelegt, was eine relativ leicht einsichtig sind in Excel Tabelle Etwas, was ich nicht alles und all diese Dinge sind letztendlich sehr gefährlich in Bezug auf wie man das Passwort verortet,
das hast du auch schon angeschnitten. Multi Faktor an der ändert dann haben es auch ganz kurz gehört, also mit mutti faktor das ist ja etwas was ja auch ganz stark im vormarsch ist dass immer mehr unternehmen auf motiv faktor authentifizierung setzen. Ist es schon ein ausreichendes schutzniveau das ich erreichen kann? Mit mutti faktor
das ist es was ist ausreichend geld kommen muss ich wieder mal mein sicherheits und ein bisschen aufziehen und sagen tut fans, das hängt davon ab. Grundsätzlich kann man also sagen, dass das wirklich super wichtig ist, zunächst mal für jede fünf jeder organisation aber auch für jeden einzelnen hin zu gehen und sich zu überlegen. Was habe ich tatsächlich für systeme? Was habe ich für daten die schützen möchte? Wie sieht die Gefährdungslage dafür aus? Und was muss ich tun um um den Schutz so also so hoch zu machen, dass die das ist halt unattraktiv ist für jemanden, der der hinter der der mich angreifen will sei es gezielt oder auch nur durch durch Zufall dadurch dass in die Masse geht warum an meine Sachen ranzukommen, das machen wir letztendlich im normalen Leben jederzeit in dem uns überlegen Schließen wir die Tür ab oder lassen wir so offen oder installieren angeht dafür unser Fenster und ähnlich ist es halt auch im digitalen Bereich und das war ein stich zu ergreifen.
Nicht unbedingt die gleiche erfahrung haben, zumindest in der allgemeinen Bevölkerung, in der über die gesamte wirtschaft hinweg was gefährlich ist und was nicht. Was tatsächlich interessante daten sind oder auch nicht es kann ihnen je nachdem was es ist kann es durchaus ausreichend sein ein halbwegs kompliziertes passwort zu haben und zu sagen ok, das bindet sich jetzt, das lasse ich automatisch irgendwo generieren. Ich leg das mein passwort manager ab und bin fertig damit ich brauch das nicht unbedingt eine multi effekte authentifizierung oder sonst irgendwas um um sicher zu sein das kann in manchen situation durchaus adäquat sein, in anderen fällen ist es halt nicht etwa weil ich jetzt darum geht zugriff zu meinen bankdaten oder zu meinen gesundheitsdaten oder hat auch zu meinem passwort manager dann möchte ich halt schon wirklich irgendwo hingehen und er sicherstellen, dass der dass diese zugriff halt optimal ab abgesichert ist und da muss ich mir dann überlegen was ist möglich?
Was sind uns, was sind faktoren, was sind authentifizierung mechanismen die ich nutzen kann, also die mir zur verfügung stehen, aber was dann auch solche die, die ich dann letztendlich effektiv einsetzen kann. Was hilft mir nichts, wenn ich in so ein super tolles Atlantic Erziehungssystem habe, das Ende unglaublich kompliziert ist und extrem sicher ist, aber letztlich vollkommen unbenutzbar ist für, für, für, für den durchschnittlichen Benutzer. Dann gibt es entweder entweder findet dann die Ratifizierung so gar nicht statt oder die benutzen hat ein Schelm wer hat hier eigentlich im Dienste, die zur abliefern und Stelle die den sie diese nutzen sollen, das heißt muss immer abwägen, was was geht und was nicht, nur die Fakten Ratifizierung in dem zusammen ist sicherlich eine super super Schritt in die richtige Richtung. Das führt dazu, dass man halt nicht nur ein Passwort nimmt, was man in den Raum weiß, sondern hätte nicht auf der anderen Seite hat, dann auch einen entweder ein zahlen Generator hat primitivsten Fall, der auf Theo Tipi oder echte Tipi oder sonst irgendwas basiert, sondern dann dementsprechend auch jetzt moderneren Fällen hatten, eine Applikation hat, die auch in der Telefon ist oder eine Smart tat oder sonst irgendwas und diese dann hat dementsprechend als als, als zweiter Faktor dann hat wirken kann das führt dann letztendlich dazu, dass, gerade wenn es Systeme sind, die darauf basieren, dass push zur Authentifizierung offen auf ein mobiles Telefon oder so kommt nicht nur der zweite Faktor der Nasen, auch den Benutzer, der klar wird, wenn auch einmal 20 Authentifizierung sich mit Faktor begrüßt.
Gerecht, dass er sich dazu irgendwas stimmt da nicht ergeben hat dann mein Passwort und versuchte sich das ständig einzuloggen. Das heißt es auch da, in dem Hinsicht kann, kann abhängig von welchen Multi Faktor oder welchen zweiten Faktor Mandant hat benutzt durchaus noch das Sicherheitsniveau gesteigert werden,
also gesteigert wird. Ganz klar aber wer jetzt sozusagen jetzt die kennen wortlose Authentifizierung nicht überhaupt das non plus ultra und es gibt hier da haben auch eine Folie mitgebracht, eine ganze Reihe von Vorteilen wie erhöhte Sicherheit, Risiko, Reduktion, Zeitersparnis auf der anderen Seite ich muss mal weniger Pass wert oder gar keine Passwörter merken und ich kamen und sich sehr schnell Authentifizierung wären 20 ständiges Passwort mit Sonderzeichen ist nicht leicht oder schnell eingetippt.
Vollkommen richtig, das ist letztendlich das, was das war vom Anfang schon versucht hinzuweisen. Der Trend geht ganz klar dahin. Seit Jahren Jahrzehnten möchte ich sagen, dass wir wegkommen von passt das in Ursprüngen die Karte die als Marktplatz und hinterlegt worden sind. Wir haben Dinge gehabt, wie zum Beispiel externe Authentifizierung für sie nichts als sicher sein und die letztendliche eine Art von kein Passwort loser erkennbar loser Authentifizierung darstellen. Wir haben modernere Systeme, die ein bisschen besser geeignet sind für die Webseite, das ist, die wir heutzutage benutzt oder übers Jahr ist, die wir heute benutzen, jetzt noch moderner Dinge wie Natur und Orten und was was ich nicht alles all diese Dinge sind super sind vor all diese Dinge sind zusätzliche Möglichkeiten, die wir jetzt in unserer Werkzeugkiste letztendlich haben, um eine Authentifizierung so einfach wie möglich zu machen. Andere Firmen sind anderen, sind die gegangen, haben letztendlich gesagt Du weißt das ich benutze ist grundsätzlich immer nur an einen Benutzer, der weiß, wenn ich mir zum Beispiel auf meine Telefone gucke, sei es Eiweiß oder Rheingold, da ist es findet im Prinzip überhaupt kein klassisches Passwort mehr statt klarer muss danke anklicken und das eintippen um das zu anlocken, aber letztendlich gibt es da kein klassisches Passwort mehr, das errichtet man einmal ein und ist die Sache fertig in Bezug auf E Mail, in Bezug auf Messenger oder sonst sonst welche Dinge deshalb also hier der Trend geht immer weiter dahin, Passwörter zu eliminieren oder zumindest unsichtbar zu machen für für den end user und das ist etwas was was denke ich super wichtig ist das eigentlich organisation darüber nachdenken wie kann man das erreichen?
Wie kann man die passwörter entweder verstecken vor den benutzern so dass sie sich nicht damit ab abgeben müssen oder komplett eliminieren? Wie ich? Aber auch am anfang gesagt es ist super einfachen, wenn ich eine neue applikation nach oder 90 deshalb oder sonst irgendwas eben schnell man benutzername und passwort habe da drauf zu klatschen und dann zu sagen okay, das thema Authentifizierung habe ich gemacht, jetzt kann ich mich wirklich auf die falsches konzept konzentrieren, mit der ich den markt auf freunde das heißt also da ist immer diese diese diskrepanz zwischen dem was halt einfach und schnell schnell gemacht zusammengestückelt werden kann, was teilweise auch wirtschaftlich sinnvoller ist, als wenn man jetzt komplette kommt in komplexer art reduzierung mechanismus sein baut. Diese diskrepanz wird es immer geben und deswegen denke ich, werden passwörter letztendlich niemals ganz verschwinden, aber die was was das ziel sein sollte. Grundsätzlich ist, dass die Anzahl der Passworte die Benutzer tatsächlich dann aktiv verwalten müssen, sich merken müssen, auf ein absolutes Minimum reduziert wird oder idealerweise gar nichts mehr ist und die Passwörter wirklich nur noch unter um unter unter der erobert.
Sicher hat sich dann hin und her bewegen, ohne dass man sie sehen muss.
Es eine Passwort, freie sozusagen. Zukunft ist noch nicht absehbar. Dass nämlich jetzt auch mit Die Frage ist Wie gehen, wenn der Zwischenzeit mit dem Pass wird, dann um? Und es gibt den schönen Spruch Was ich nicht messen kann, kann er nicht managen. Wie geht jetzt Las Palmas ganz konkret damit um, die Passwort Sicherheit in der Organisation zu messen?
Wir haben eine ganze Reihe interessante Statistiken und Möglichkeiten zu zu beobachten, was tatsächlich innerhalb des Unternehmens innerhalb der Lasters Organisation hat abgeht, das haben wir eingebaut in unserem atmen können. Das heißt es ist durchaus möglich für einen Administrator, nicht zu sehen, was die Passwörter sind. Das wäre komplett widersprüchlich. Zu unserem journalistische Ansatz, den wir hat normalerweise Farrell über immer fahren, nicht normalerweise immer fahren, aber wir können halt aufgrund der Instrumentierung die Wahrheit in den Kleines haben. Sehen, ob die Benutzer Passwörter mehrfach benutzen, ab Benutzer Passwörter benutzen. Von dem wir wissen, dass sie schon irgendwo einen Bridge verwendet, weil oder an verfügbar sind, wir können sehen alle Passwörter erlangen, komplex sind oder zufällig generiert sind und dementsprechend einfach nur von Manager verwaltet werden oder auch das nach wie vor Herbst 2020 Ausrufezeichen ist und anhand dieser dieser Daten, die wir letztendlich darüber einsamen können, dann anonymisiert an die Zentrale an das zentrale Atmen Kanal weiter begleiten können, kann ein Administrator sehen, ob die, die Seine seine Benutzer tatsächlich Passwörter vernünftig benutzen oder ob da noch bisschen Hilfestellungen brauchen, um das Papier, um den Passwort Manager besser zu nutzen, um die vielleicht etwas bessere Security Wellness Training oder sonst etwas in der Richtung zu machen, um und und dementsprechend an die ins gesamte Passwort Hygiene zu verbessern.
Das denke ich, dass es wichtig für jeden der noch größeren Organisationen verantwortlich ist, schlicht und ergreifend, um unter dem entsprechende Gegenmaßnahmen zu ergreifen zu können, falls es nicht so gut läuft
also man sieht das auch sehr schön, dass wenn Unternehmen mit Lars Paris beginnen, dass das Korn noch relativ niedrig ist in der Regel und dann über die nächsten Monate und Jahre natürlich stark ansteigt. Also ich glaub wir Charakter könnten noch wahrscheinlicher Stunde weiterreden. Ich möchte aber welchem Wetter noch loswerden auf der Innenseite Mit dem Thomas Braun ist ein weiterer Experte heute live in diese Veranstaltung eingebunden haben Wir teilen am Messestand Besuchen Sie den Herrn Braun, stellen Sie darin Fragen. Ich bin mir sicher, dass hier auch die richtige Lösung für sie gefunden wird. Auf der anderen Seite noch ein Hinweis An ersten Dezember gibt es ein Seminar zu Lars Paars Wenn sie das weiter interessiert, schauen Sie sich das an und weiß wir Wir haben doch, glaube ich, 12 Minuten. Falls noch eine Frage da ist und den Herrn berechnet, dann können wir die Kerne noch stellen.
Jetzt sozusagen dieser Hinweis an die Regie.

Stay Connected

KuppingerCole on social media

How can we help you

Send an inquiry

Call Us +49 211 2370770

Mo – Fr 8:00 – 17:00