Bye bye Passwort-Authentifizierung und -Authentisierung Biometrie, Token, Smartcards und digitale Zertifikate im Überblick

Autor / Redakteur: Franz Grieser / Stephan Augsten

Kennwörter sind unhandlich und unsicher. Als Alternative zum guten alten Passwort stehen verschiedene Authentisierungsverfahren zur Auswahl. Welches das jeweils passende ist, hängt von einer Reihe von Faktoren und Anforderungen ab. Dieser Beitrag erläutert die wichtigsten Entwicklungen und beleuchtet ihre jeweiligen Vorzüge, Mankos sowie passende Einsatzgebiete.

Anbieter zum Thema

Glaubt man Bill Gates, so ist für Unternehmen langsam der Zeitpunkt gekommen, zur Benutzerauthentisierung auf Smartcards oder digitale Zertifikate anstelle von Kennwörtern umzusteigen. Passwörter seien auf Dauer keine gute Lösung – so Gates während seiner Eröffnungsrede zur RSA Conference 2007 Ende Januar.

Je mehr Kennwörter eine Person besitze, desto schwieriger werde deren sichere Verwahrung. Die Zukunft gehöre Lösungen, bei denen sich Anwender über Smartcards und Zertifikate ausweisen können. Dazu werde jedoch eine Infrastruktur für das Identitätsmanagement benötigt.

Ganz uneigennützig war Bill Gates Statement wohl nicht: Schließlich nutzte er seine Rede unter anderem dazu, auf die in Windows Vista integrierte Identitätsmanagement-Lösung Cardspace zu verweisen und darauf, dass Cardspace in Zukunft auch den unabhängigen Standard OpenID unterstützen wird. Cardspace, das vor zwei Jahren unter der Bezeichnung „Infocard“ erstmals vorgestellt wurde, verwaltet Identitäten in Form digitaler Visitenkarten.

Auch wenn Gates mit seiner Aussage bestimmte Absichten verfolgt: Unrecht hat er nicht. So ganz neu ist die Erkenntnis allerdings auch wieder nicht. Schließlich setzen gerade Unternehmen vor allem in kritischen Bereichen schon länger nicht mehr einzig und allein auf Kennwörter als Schutzmaßnahme.

Sprachwirrwarr

Während es sich die englische Sprache mit dem Begriff Authentication leicht macht, indem ein Begriff alle Aspekte der Benutzeridentifikation beschreibt, gibt es im Deutschen mit Authentifizierung und Authentisierung gleich zwei Begriffe zum Thema, die auch gerne verwechselt werden.

  • Authentisierung: Unter Authentisierung versteht man den Vorgang des Nachweises der eigenen Identität gegenüber einer anderen Person oder einem Computersystem. Das heißt, mit der Eingabe des Benutzernamens und Passworts am Computer authentisiert man sich gegenüber dem System.
  • Authentifizierung: Die Authentifizierung stellt die Überprüfung und Bestätigung der behaupteten Identität eines Gegenübers dar. Ein Programm identifiziert beispielsweise einen Anwender über die korrekte Eingabe von Benutzername und Passwort und authentifiziert (bestätigt) daraufhin dessen Identität gegenüber dem System.

Zur Authentisierung lassen sich grundsätzlich drei Methoden oder Faktoren nutzen:

  • etwas, das man weiß: ein Kennwort, eine PIN oder die Antwort auf eine Frage
  • etwas, das man besitzt: ein Schlüssel, eine Smartcard oder ein Token
  • etwas, das man ist: der Fingerabdruck, die Retina oder ein anderes eindeutiges und fälschungssicheres biometrisches Merkmal

Insbesondere die ersten beiden Methoden für sich genommen sind nicht hundertprozentig zuverlässig ein Identitätsbeweis: Ein Kennwort oder eine PIN lässt sich auch erraten oder anderweitig herausfinden, ein Schlüssel oder ein Gerät wie eine Smartcard lassen sich auch entwenden. Deshalb gilt nur die Kombination aus beiden Methoden als sicher: Zum Beispiel eine Smartcard plus Kennwort oder ein Token und eine PIN. Solche Kombinationen bezeichnet man auch als Zwei-Faktor-Authentifizierung.

Authentisierungsverfahren im Vergleich

Als Ersatz bzw. Ergänzung zum Kennwort stehen verschiedene Geräte und Methoden zur Verfügung: Token, Smartcards, digitale Zertifikate und biometrische Verfahren bieten sehr sichere, allerdings auch zum Teile teure Wege an, Mitarbeiter, Kunden und Partner zu identifizieren.

Jedes dieser Verfahren hat seine Stärken und Schwächen sowie Anwendungsgebiete, für die es sich besonders gut eignet. Die Kosten liegen zwischen einem und 30 Euro pro Nutzer und Jahr. Die folgende Übersicht soll eine Entscheidungshilfe bei der Wahl des passenden Verfahrens geben.

Seite 2: Token und Smartcards

Seite 2: Token und Smartcards

(ID:2004681)