Suchen

Multi Factor Authentication Authentifizierung als Mix aus starken und flexiblen Techniken

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Die starke Authentifizierung wird angesichts wachsender Bedrohungen und schärferer Vorschriften für Informationssicherheit unabdingbar. Dennoch sind die meisten Organisationen weit von flächendeckenden Lösungen entfernt. Dabei gibt es ausreichend Möglichkeiten, den klassischen Problemen der starken Authentifizierung zu begegnen.

Firma zum Thema

Wie stark die Authentifizierung sein sollte, hängt vom zu schützenden Bereich oder IT-System ab.
Wie stark die Authentifizierung sein sollte, hängt vom zu schützenden Bereich oder IT-System ab.
( Archiv: Vogel Business Media )

Die Probleme der starken Authentifizierung lassen sich mit vier Schlagworten beschreiben: Initiale Kosten, laufen Logistik-Kosten, Akzeptanz und mangelnde Flexibilität. Die Probleme basieren zum großen Teil darauf, dass man von starker Authentifizierung in der Regel erst dann spricht, wenn mindestens zwei Faktoren für die Authentifizierung verwendet werden.

Die Faktoren können dabei „Wissen“, „Haben“ und „Sein“ sein. Daneben gibt es noch den Begriff der „Means“, also der eingesetzten Mittel. Die typische Authentifizierung mit Benutzernamen und Kennwort verwendet zwei Means, aber nur einen Faktor, nämlich das Wissen über eben diesen Benutzernamen und das zugehörige Kennwort. Die Authentifizierung mit einem zusätzlichen Einmalkennwort (One Time Password, OTP), das über ein Hardware-Gerät erzeugt wird, nutzt drei Means und zwei Faktoren.

Man kann sich nun durchaus darüber streiten, wo die schwache Authentifizierung endet und die starke Authentifizierung beginnt. Viel sinnvoller ist es aber, sich über die sinnvolle Authentifizierungsstärke Gedanken zu machen.

Nicht überall braucht es eine Zwei-Faktor-Authentifizierung auf hohem technischem Niveau. Und nicht immer reicht diese aus. Auch der dritte Faktor – also beispielsweise biometrische Verfahren in Ergänzung zu einer Smartcard und einer PIN oder einem Kennwort – kann bei besonders sensitiven Transaktionen oder Interaktionen sinnvoll sein.

Bei der Einführung starker Authentifizierungstechniken sollte folgende Frage immer am Anfang stehen: Wie sicher muss die Authentifizierung in welchen Anwendungsfällen sein, also für welche Interaktionen und Transaktionen ist welche Stärke angemessen?

Hier spielt natürlich auch der Kontext der Authentifizierung eine wichtige Rolle: Erfolgt der Zugriff aus dem internen Netzwerk aus zugangsgesicherten Räumen? Oder greift jemand über ein vergleichsweise unsicheres Smartphone oder das nicht ins IT-Sicherheitsmanagement eingebundene iPad von außen auf sensitive Informationen zu?

Kontext-bezogene und versatile Authentifizierung

(ID:2045936)