Authentifizierung

Der Ausweg aus dem Passwort-Dilemma

| Autor / Redakteur: Christoph Stoica* / Stephan Augsten

Einmal-Passwörter und andere Techniken bieten mehr Schutz, als es eine einfache Passwort-Authentifizierung könnte.
Einmal-Passwörter und andere Techniken bieten mehr Schutz, als es eine einfache Passwort-Authentifizierung könnte. (Bild: momius - Fotolia.com)

Kennwörter bereiten nichts als Probleme. Die Anforderungen an eine größtmögliche Sicherheit und ständige Änderungsvorgaben sind eine wahre Pein im IT-Alltag jedes Anwenders. Vergessene Zugangsdaten bedeuten aber auch für den Administrator oder den Helpdesk nur Scherereien.

Die Suche nach dem richtigen Passwort ist ein Dilemma – sowohl für den Anwender als auch für die IT-Abteilung. Wenn es um Hacks und Sicherheitsverletzungen geht, gilt der Anwender als Sicherheitsrisiko Nummer Eins: Er verwendet zu einfache Passwörter, er nutzt ein und denselben Code für mehrere Accounts, wechselt sein Passwort nicht pünktlich alle zwei Wochen und notiert seine Account-Daten.

Aus Anwendersicht ist dieses Verhalten verständlich, schließlich müssen Benutzer sich im Durchschnitt 13 verschiedene Passwörter merken – viel zu viele. Aus der Sicht der IT-Sicherheitsabteilungen ist der vermeintliche lasche Umgang mit Passwörtern mit unternehmenseigenen Compliance-Richtlinien oftmals nicht vereinbar.

Folglich werden dann restriktive Maßnahmen eingeführt, die dem Nutzer ein beispielsweise 20 Zeichen langes Digitalgeschwurbel als Passwort aufzwingen. Zu allem Überfluss muss er es sich auch noch jeden oder jeden zweiten Monate neu ausdenken und im Kopf behalten.

Auf das Passwort alleine ist kein Verlass

Lange stellten Passwörter den besten Kompromiss aus Sicherheit und Nutzbarkeit dar. Doch mit dem Wachstum der mobilen Belegschaft, der zunehmenden Akzeptanz von Cloud-Diensten und durch neue Workflows, die sensible Unternehmensdaten zwischen Mitarbeitern und Geschäftspartnern bewegen, sind Geschäftsdaten heute insgesamt einer höheren Gefahr durch Hacker, Betrüger und Cyberdiebstählen ausgesetzt.

Starke Authentifizierungsverfahren wie Multi-Faktor-Authentifizierung sind in der Lage, Identitätsdiebstähle zu begrenzen und somit die Sicherheit zu steigern. Dahinter steckt die Idee, Authentifizierungsverfahren aus den folgenden drei Bereichen miteinander zu verknüpfen:

  • etwas, das der Nutzer weiß, zum Beispiel ein Passwort;
  • etwas, das der Nutzer besitzt, zum Beispiel eine Smart Card oder ein Smartphone;
  • etwas, das den Nutzer als Mensch auszeichnet, zum Beispiel ein Fingerabdruck oder andere biometrische Merkmale.

Die Bandbreite an MFA-Verfahren wächst stetig

Das Payment Card Industry Security Standards Council (PCI SSC) empfiehlt schon länger, auf Multi-Faktor-Authentifizierung (MFA) zu setzen. Mehrere bekannte Webseiten setzen derartige Verfahren ebenfalls bereits heute ein.

So senden Google oder Facebook in kritischen Fällen eine SMS mit einer PIN zur Authentifizierung des Nutzers. Erst nach Eingabe dieses Einmalpassworts kann der Nutzer das Angebot weiterverwenden. Will ein Angreifer Zugriff auf den Webdienst erlangen, so muss er nicht nur an das Nutzerpasswort, sondern auch an das Smartphone des Nutzers gelangen. Mit dem Authenticator bietet Google außerdem einen Token-Generator an.

Die Anzahl der Authentifizierungsmethoden wächst rasant. Die Auswahl geht von Fingerabdrücken über Einmalpasswörter und Smart Cards bis hin zur Mustererkennung durch die Kamera. Insbesondere eine Authentifizierung anhand biometrischer Informationen ist eine vielversprechende Lösung, aber auch sie weist Schwächen auf.

Selbst Daten, die über Fingerabdrücke gesichert waren, wurden bereits von Hackern gestohlen. Ein interessantes Verfahren, an dem Micro Focus und Nymi derzeit arbeiten, ist die Authentifizierung über den eigenen Herzschlag. Hierfür legt sich der Nutzer ein Armband an, welches den Herzschlag per EKG auswerten und individuelle Muster erkennen und prüfen kann.

MFA stellt neue Anforderungen an Entwickler

Eine Welt ohne Passwörter hat große Auswirkungen auf verschiedene Sicherheitsbereiche, insbesondere auf die Anwendungssicherheit. Hier erfordert sie ein Umdenken bei Entwicklern. Die meisten älteren Anwendungen nutzen ihr eigenes Login-Dialogfeld.

Die Entwicklung ist verhältnismäßig einfach. Es muss ausschließlich ein Dialogfeld für Benutzername und Passwort programmiert und der eingegebene Benutzername mithilfe des Lightweight Directory Access Protocol (LDAP) nachgeschlagen werden.

MFA hingegen ist komplexer umzusetzen. So muss jede Anwendung mit einer Vielzahl an verschiedenen Eingabeverfahren umgehen können. Der Programmieraufwand für jede Anwendung ist beträchtlich. Im Gegensatz zum Passwort hängt die Erkennungsrate zudem vom implementierten Algorithmus ab.

Single-Single-On-Mechanismen (SSO) können den Vorgang auf eine einzige Anmeldung beschränken. Nach der Authentifizierung bleibt der Nutzer für die Dauer einer Session eingeloggt. Die Dauer der Session muss dabei lange genug sein, um alle Aufgaben erfüllen zu können.

Der SSO-Mechanismus ermöglicht jedoch mehr als eine ausschließliche Synchronisierung der Anmeldedaten einer Anwendung mit ihrem LDAP-Server. Er bestätigt anderen Anwendungen zugleich die physische Identität des Nutzers, sodass diese den Nutzer nicht wiederholt zur Anmeldung auffordern.

Risikoeinschätzung über Metadaten

Häufig wird vergessen, dass jeder Authentifizierungsvorgang ein individuelles Risiko birgt, das anhand der Metadaten der Anmeldung eingeschätzt werden kann. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen. Die verwendete Methode muss sowohl zur Rolle als auch zum Kontext der Situation des Benutzers passen und natürlich der Risikoeinstufung der angeforderten Informationen gerecht werden.

Nicht jede sichere Interaktion birgt dasselbe Risiko für alle Benutzer im Unternehmen. Einige Interaktionen stellen eine größere Gefahr für ein Unternehmen dar. So sollte eine Anwendung reagieren, wenn das Login außerhalb der typischen Uhrzeit, von einem ungewöhnlichen Land oder von einem neuen Gerät aus erfolgt.

Bei einer risikobehafteten Interaktion wird eine strengere Authentifizierung benötigt, die beispielsweise durch eine zusätzliche Information (die nur dem Benutzer bekannt ist), die zusätzliche Verifizierung der Identität über getrennte Kanäle – man spricht von Out-of-Band-Transaktionen – oder andere Elemente gewährleistet wird.

Dies funktioniert nur, wenn eine Abstraktion der Authentifizierung von der Anwendungsebene weg stattfindet. Bei der Entwicklung des Login-Verfahrens taucht dieser Vorsatz zwar häufig auf, in der Praxis wird er jedoch nicht immer umgesetzt.

MFA integriert die Risikokalkulation als festen Bestandteil. Davon profitieren sowohl der Nutzer als auch der Entwickler. Für den Nutzer werden Anwendungen sicherer und der Entwickler muss sich nicht länger mit Login-Dialogen auseinandersetzen.

Sicherheit muss auch praktikabel sein

Während die Erhöhung der Sicherheit das primäre Ziel jeder Authentifizierungslösung sein sollte, ist Benutzerfreundlichkeit nicht minder wichtig für den Erfolg bei der Durchsetzung im Unternehmen. Sind die Prozesse für Benutzer zu kompliziert und unbequem, führt dies dazu, dass Anwender Mittel und Wege finden, diese zu umgehen. Das wiederum wirkt sich negativ sowohl auf die Produktivität als auch auf die Sicherheit aus.

Wichtig ist es, ein angemessenes Gleichgewicht zwischen den Anforderungen an die betriebliche Handlungsfähigkeit und Sicherheit zu finden. Die Planung eines für sie passendenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur an den aktuellen status quo ihrer Anforderungen ausrichten. Auch künftige Bedürfnisse sollten eine Rolle spielen.

Aspekte, ob neue Anforderungen wie Cloud Services oder Mobile Devices über das gleiche MFA-Produkt ohne weitere Add-on Module abgesichert werden können, sowie die zentrale Verwaltung und Steuerung von Benutzern und Endpunkten sowie die TCO sind besonders zu berücksichtigen.

Fazit

Zukünftige Authentifizierungsverfahren werden viele Nutzer begeistern, die Passwörter bisher verfluchen. Alle anderen Nutzer werden sichere Multi-Faktor-Authentifizierungsverfahren jedoch erst dann fordern, wenn ihnen bewusst wird, dass ihr normales Passwort keinen ausreichenden Schutz mehr bietet.

Für die Hersteller gilt es, die Hürden neuer Verfahren, auch für den Durchschnittsnutzer so gering wie möglich zu gestalten. Nur dann werden sich Multi-Faktor-Authentifizierungsverfahren gegenüber einfachen Passwörtern durchsetzen.

* Christoph Stoica ist Regional General Manager DACH bei Micro Focus.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44009953 / Authentifizierung)