Starke Authentifizierung

Am Zugangsschutz darf kein Weg vorbeiführen

| Autor / Redakteur: Dirk Losse* / Stephan Augsten

Physischer und logischer Zugang zum Unternehmen lassen sich am flexibelsten mit einer Multi-Faktor-Authentifizierung schützen.
Physischer und logischer Zugang zum Unternehmen lassen sich am flexibelsten mit einer Multi-Faktor-Authentifizierung schützen. (Bild: Archiv)

Beim Zugriff auf das Netzwerk vertrauen Unternehmen meist auf die strikte Umsetzung einer Passwort-Authentifizierung am Perimeter. Will man einen sicheren Zugang bereitstellen, sollte man aber lieber eine starke Zwei- oder Multi-Faktor-Authentifizierung umsetzen.

Perimeter- und Passwortsicherheit als effektiver Schutz vor externen Angriffen: das funktionierte vielleicht die Vergangenheit. Die Situation hat sich gravierend verändert, denn Cyber-Angriffe über passwortgeschützte privilegierte Benutzerkonten von Administratoren sind heute keine Ausnahme mehr, sondern eher die Regel.

Selbst wenn ein Unternehmen eine strikte Passwort-Policy verfolgt – eventuell sogar mit einer automatischen, regelmäßigen Änderung aller Passwörter – ist kein ausreichender Schutz gegeben. Außerdem sind für viele Datenverluste auch die eigenen Mitarbeiter verantwortlich. Diese Herausforderungen kann man mit einer starken Authentifizierung bewältigen.

Die starke Multi-Faktor-Authentifizierung geht deutlich über die Sicherheit eines einzelnen Passworts hinaus. Sie erfordert weitere Komponenten (Faktoren), um die Identität des Benutzers zweifelsfrei zu bestimmen. Beispiele für zusätzliche Faktoren sind persönliche Geheimzahlen (PIN), Smartcards, Token oder Smartphones.

Die Umsetzung eines Konzeptes für die starke Authentifizierung ist zunächst einmal keine einfache Aufgabe für die IT. Der Grund liegt auf der Hand, da die Ausgabe und kontinuierliche Verwaltung von digitalen Identitäten auf diversen Medien wie Smartcards oder Smartphones für alle erforderlichen Nutzeranwendungen und unterschiedlichen Unternehmensressourcen per se einen erheblichen Administrationsaufwand nach sich zieht.

Komplexität der Credential-Verwaltung reduzieren

Abhilfe kann hier nur eine integrierte Gesamtlösung für die starke Authentifizierung schaffen, mit der Credentials in mehreren Sicherheitsstufen für unterschiedliche Zugangsebenen ausgegeben und verwaltet werden können. Das System muss nicht nur eine umfassende Sicherheit gewährleisten, sondern auch einfach einzurichten und für die Anwender komfortabel sein, um den Verwaltungsaufwand zu minimieren und eine hohe Benutzerakzeptanz sicherzustellen.

Im Einzelnen muss eine zukunftsweisende Authentifizierungslösung vor allem unterschiedliche Authentifizierungsmethoden wie Statische Passwörter, Sicherheitsfragen, Einmal-Passwörter und Digitale Zertifikate unterstützen. Zudem sollte die Möglichkeit bestehen, verschiedene Authentifizierungsgeräte zu nutzen, beispielsweise Hardware-Einmal-Passwort-Generatoren, Smartcards oder USB-Token. Auch Soft-Token zur Einmal-Passwort-Erzeugung auf mobilen Geräten, die auf iOS, Android, Windows Phone oder Java basieren, empfehlen sich zur Authentifizierung. Darüber hinaus sollte eine Nutzung des Verfahrens Einmal-Passwort-Versand per SMS oder E-Mail möglich sein.

Zum Aufbau einer adäquaten Authentifizierungsinfrastruktur müssen nicht zuletzt unterschiedliche Zugangskanäle unterstützt werden. RADIUS ermöglicht klassische Remote- und VPN-Zugänge, während SAML (Security Assertion Markup Language) sich für Web-SSO (Web-Single-Sign-On) und Cloud-Dienste eignet. Das ist vor allem deshalb von Bedeutung, da sich im Hinblick auf die zunehmende Verbreitung von Cloud-basierten Anwendungen beim Anmeldeverfahren gerade die Verwendung von Federation-Services (zum Beispiel Microsoft ADFS) mit Web-SSO empfiehlt.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43461287 / Authentifizierung)