Suchen

Tahers Thesen zur IT-Sicherheit – Authentifizierung Identity Federation funktioniert nur unter bestimmten Bedingungen

| Autor / Redakteur: Taher Elgamal, CSO bei Axway / Stephan Augsten

Benutzerauthentifizierung stellt einen der wichtigen Knackpunkte in Sachen Sicherheit dar. In der Branche diskutiert man derzeit über Identity Federation. Trotzdem glaubt Taher Elgamal, dass die Authentifizierung je Website so lange Realität bleiben wird, bis man dazu übergeht, Zugriffskontrollen mithilfe von Web Apps sinnvoll zu lösen.

Taher Elgamal: „Identity Federation erfordert, dass die Zugriffskontrolle in Webapplikationen abgewickelt werden kann.“
Taher Elgamal: „Identity Federation erfordert, dass die Zugriffskontrolle in Webapplikationen abgewickelt werden kann.“
( Archiv: Vogel Business Media )

Identity-Federation wird gegenwärtig als die ultimative Lösung zur Benutzerauthentifizierung im Web hochgehandelt. Die grundsätzliche Idee, eine Site dafür zu rüsten, eine Bestätigung der Authentifizierung bereitzustellen, ist sicherlich gut.

Aller Voraussicht nach könnte sie auch unter bestimmten Umständen funktionieren. Die eigentliche Problematik, der man sich hier noch stärker zuwenden muss, liegt jedoch in der Frage: Was ermöglicht die Authentifizierung einem Benutzer?

Im Raum der Webapplikationen ist die Zugriffskontrolle normalerweise das sofortige Ergebnis eines erfolgreichen Anmeldevorgangs. Die Frage ist jedoch, ob die Kenntnis einer bestimmten Website einem Benutzer die Möglichkeit geben sollte, auf Finanz-, Gesundheits- oder sonstige sensible Informationen zuzugreifen.

Ob ein Online-Banking-Portal sich wohl damit begnügen würde, dass irgendeine andere Seite schon die Kundenidentität geprüft hat, und dann den Zugang freigeben würde? Und falls das nicht zutrifft, wie viele Kennwörter müssten wir uns wohl merken?

Erst Webapplikationen können das Dilemma lösen

Es ist angebracht, immer daran zu denken, dass alles, was wir auf eine Benutzeridentität projizieren, ein Punkt in einem Kontinuum darstellt: Es gibt dabei kein Schwarz und Weiß. Deswegen bin ich der Meinung, dass die meisten Websites so lange unterschiedliche Authentifizierungskriterien zur Verfügung stellen müssen, bis die Zugriffskontrolle sinnvoll in Webapplikationen abgewickelt werden kann.

Über Taher Elgamal

Dr. Taher Elgamal gilt in der IT-Welt als der „Erfinder“ von SSL und kümmerte sich zum Beispiel um die SSL-Bestrebungen bei Netscape. Zudem schrieb er das SSL-Patent und setzte sich in verschiedenen Gremien der Branche für SSL als Internet-Sicherheitsstandard ein. Ferner erfand Dr. Elgamal mehrere Branchen- und Regierungsstandards für Datensicherheit und digitale Signaturen, beispielsweise DSS. Der gebürtige Ägypter ist für zahlreiche Unternehmen als Beirat und für Axway, die Business Interaction Networks Company, als Chief Security Officer tätig. Seine Promotion erlangte Taher Elgamal an der renommierten Stanford University.

(ID:2053291)