Ich stehe gerade vor einer Entscheidung bei der Absicherung unserer internen Tools und bin mir unsicher, was der richtige Weg ist. Wir haben ein kleines Entwicklerteam, und einige Kollegen drängen darauf, den Zugriff über eine einfache Passwortabfrage mit einer starken Passwortrichtlinie zu regeln. Ich frage mich aber, ob das allein heute noch ausreicht, oder ob wir nicht mindestens eine Zwei-Faktor-Authentifizierung brauchen. Mir ist bewusst, dass eine starke Passwortrichtlinie ein Fundament ist, aber ich habe das Gefühl, dass es wie eine Tür mit nur einem Schloss ist – wenn das geknackt ist, ist man direkt drin. Wie handhabt ihr das bei euch?
Ich sehe es wie eine Tür mit mehreren Schlössern. Eine starke Passwortrichtlinie ist wichtig doch zwei Faktor Authentifizierung hebt die Tür auf die nächste Ebene. Wir setzen bei uns eine Mischung aus Passwort und zwei Faktor Authentifizierung per App oder Hardware Token. Das hilft gegen gestohlene Passwörter und Phishing doch es macht den Alltag etwas komplizierter. Ob das reicht hängt vom Risiko ab und davon wie sensibel die Tools sind.
Stimmt der Gedanke doch grundsächlich. Zwei Faktor Authentifizierung klingt gut doch mir fehlt die Sicherheit wenn das Gerät verloren geht oder die SIM Nummer portiert wird. Dann hat der Täter auch den zweiten Faktor. Vielleicht braucht es zusätzlich wer Zugriff hat eine regelmäßige Überprüfung der Sessions und eine strenge Abmeldepolitik. Eine Nullvertrauen Haltung mit gezieltem Netzwerkzugriff könnte helfen.
Ich mische mich mal ein und interpretiere den Vorschlag so dass ihr denkt der Finger reicht. Dann ist es ja praktisch wie eine Tür die sich per Muskelgedächtnis öffnet. In Wirklichkeit braucht es doch mehr Vielfalt der Abwehr. Passwort plus Zwei Faktor Authentifizierung ist gut doch was ist wenn der Fingerabdruckscanner selbst kompromittiert ist oder das Gerät gestohlen wird. Vielleicht sollte man auch den Zugriff zeitlich begrenzen oder Anomalie Erkennung nutzen.
Eine andere Perspektive ist die Frage nicht wie wir uns anmelden sondern wer überhaupt was bekommen soll. Bevor wir über zwei Faktor Authentifizierung entscheiden sollten wir Rollen und Rechte konkret festlegen und dann passende Authentifizierung wählen. Ein Trend den man oft hört heißt Null Vertrauen Zugang das braucht aber mehr als zwei Schritte. Vielleicht ist der Fokus auf Technik nur symptome und die eigentliche Herausforderung liegt in der Kultur und den Prozessen sowie der richtigen Governance.
Was würdet ihr in der Praxis empfehlen um Sicherheit und Alltag zu vereinbaren?
