Multi Factor Authentication

Authentifizierung als Mix aus starken und flexiblen Techniken

07.07.2010 | Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Wie stark die Authentifizierung sein sollte, hängt vom zu schützenden Bereich oder IT-System ab.
Wie stark die Authentifizierung sein sollte, hängt vom zu schützenden Bereich oder IT-System ab.

Die starke Authentifizierung wird angesichts wachsender Bedrohungen und schärferer Vorschriften für Informationssicherheit unabdingbar. Dennoch sind die meisten Organisationen weit von flächendeckenden Lösungen entfernt. Dabei gibt es ausreichend Möglichkeiten, den klassischen Problemen der starken Authentifizierung zu begegnen.

Die Probleme der starken Authentifizierung lassen sich mit vier Schlagworten beschreiben: Initiale Kosten, laufen Logistik-Kosten, Akzeptanz und mangelnde Flexibilität. Die Probleme basieren zum großen Teil darauf, dass man von starker Authentifizierung in der Regel erst dann spricht, wenn mindestens zwei Faktoren für die Authentifizierung verwendet werden.

Die Faktoren können dabei „Wissen“, „Haben“ und „Sein“ sein. Daneben gibt es noch den Begriff der „Means“, also der eingesetzten Mittel. Die typische Authentifizierung mit Benutzernamen und Kennwort verwendet zwei Means, aber nur einen Faktor, nämlich das Wissen über eben diesen Benutzernamen und das zugehörige Kennwort. Die Authentifizierung mit einem zusätzlichen Einmalkennwort (One Time Password, OTP), das über ein Hardware-Gerät erzeugt wird, nutzt drei Means und zwei Faktoren.

Man kann sich nun durchaus darüber streiten, wo die schwache Authentifizierung endet und die starke Authentifizierung beginnt. Viel sinnvoller ist es aber, sich über die sinnvolle Authentifizierungsstärke Gedanken zu machen.

Nicht überall braucht es eine Zwei-Faktor-Authentifizierung auf hohem technischem Niveau. Und nicht immer reicht diese aus. Auch der dritte Faktor – also beispielsweise biometrische Verfahren in Ergänzung zu einer Smartcard und einer PIN oder einem Kennwort – kann bei besonders sensitiven Transaktionen oder Interaktionen sinnvoll sein.

Bei der Einführung starker Authentifizierungstechniken sollte folgende Frage immer am Anfang stehen: Wie sicher muss die Authentifizierung in welchen Anwendungsfällen sein, also für welche Interaktionen und Transaktionen ist welche Stärke angemessen?

Hier spielt natürlich auch der Kontext der Authentifizierung eine wichtige Rolle: Erfolgt der Zugriff aus dem internen Netzwerk aus zugangsgesicherten Räumen? Oder greift jemand über ein vergleichsweise unsicheres Smartphone oder das nicht ins IT-Sicherheitsmanagement eingebundene iPad von außen auf sensitive Informationen zu?

Kontext-bezogene und versatile Authentifizierung

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2045936 / Authentifizierung)