Suchen

Was ein Einmal-Passwort leisten sollte Unterschiede bei der Multi-Faktor-Authentifizierung

| Autor / Redakteur: David Hald* / Stephan Augsten

Die Methoden der Multi-Faktor-Authentifizierung auf dem Markt unterscheiden sich durch diverse Eigenschaften voneinander. Und die Unterschiede können entscheidend sein: Welche Anfälligkeiten bestehen? Erhält der Benutzer seine Authentifizierungscodes rechtzeitig oder verzögert? Ist die Anwendung benutzerfreundlich oder nicht?

Firmen zum Thema

Welche Form der Multi-Faktor-Authentifizierung man wählt, hängt vom gewünschten Sicherheitsniveau ab.
Welche Form der Multi-Faktor-Authentifizierung man wählt, hängt vom gewünschten Sicherheitsniveau ab.
(Bild: Archiv)

In Zeiten der Smartphones und Tablets scheint es sich zunächst einmal anzubieten,

mobile Authentifizierungs-Anwendungen genauer unter die Lupe zu nehmen. Apps gelten als hip und die meisten Anwender nutzen sie ständig auf ihren Smartphones. Als Authentifizierungsverfahren im Unternehmen verliert die Smartphone-App allerdings schnell ihren ‚Coolness-Faktor‘.

Zunächst einmal birgt eine erfolgreiche Bereitstellung der App für jeden Anwender einige Probleme. Es muss sichergestellt sein, dass jeder stets die aktuelle App-Version nutzt. Setzt ein Unternehmen auf ein Verfahren, bei dem jeder Anwender die Software bzw. App benötigt, entsteht außerdem unweigerlich eine hohe Abhängigkeit.

Die Implementierung kann also nur dann erfolgreich sein, wenn alle Anwender die Software einsetzen und diese stets aktuell ist. Zudem setzt die Technologie voraus, dass jeder Anwender über ein Smartphone verfügt. Schließlich benötigen einige Apps eine Datenverbindung, um zu funktionieren.

Vorausberechnete Codes

Mobilfunkbasierte Methoden zur Multi-Faktor-Authentifizierung fahren einen völlig anderen Ansatz, lassen sich aber auch untereinander nur schwer vergleichen. So arbeiten viele Authentifizierungsplattformen beispielsweise – ähnlich wie Token-gestützte Lösungen – mit vorausberechneten Codes, die auf einer Seed-Datei basieren.

Der Einsatz dieser im Voraus erzeugten Passwörter, sogenannte Pre-Issued Passcodes, ist nicht ganz ohne Risiko. Richtig gefährlich wird es, wenn die Seed-Dateien kompromittiert werden. Das ist nicht nur theoretisch ein Risiko, sondern praktisch bereits vorgekommen, so dass Millionen von Hardware-Token ausgetauscht werden mussten.

Je nach Anbieter sind die Codes sogar für Phishing anfällig. Ein vor Anmeldung festgelegter Authentifizierungscode lässt sich kompromittieren und für eine andere Anmeldung nutzen, wenn er keiner Anmeldesession spezifisch zugeordnet ist. Ein weiteres wichtiges Kriterium in Bezug auf Multi-Faktor-Authentifizierung ist also die abfrage- und sitzungsbasierte Sicherheit.

(ID:43009195)