4. März 2009 - Authentifizierung

Prüfen Sie die Möglichkeiten der Zwei-Faktor-Authentifizierung

Die Gefahren durch zu schwache Passwörter sind zwar vielen bekannt, aber die Vergesslichkeit und Bequemlichkeit siegen trotzdem oft über die Passwortrichtlinie. Durch Einführung einer Zwei-Faktor-Authentifizierung bekommen Passwörter einen starken Partner bei der Identitätskontrolle. Die Möglichkeiten für eine starke Authentifizierung sind sehr vielfältig, doch die Fehlerquellen ebenso.

prufen-sie-die-moglichkeiten-der-zwei-faktor-authentifizierung.jpeg
Bei der Zwei-Faktor-Authentifizierung kommen 2 Merkmale zum Einsatz (Bild: Thinkstock)

Es mag ein Zeichen für wirkliche Erholung sein, doch leider haben viele Rückkehrer aus dem Urlaub ihre betrieblichen Passwörter vergessen.

Das große Vergessen bei der Authentifizierung

Davon können Administratoren ein Lied singen, die die Passwörter zurücksetzen dürfen, um eine Weiterarbeit nach dem Urlaub zu ermöglichen.

Doch manche Mitarbeiter haben das Passwort nicht vergessen, da es wirklich einfach zu merken ist. Andere haben sich einen Spickzettel in die Schreibtischschublade gelegt. Komisch, der Inhalt der Schublade sieht plötzlich so unordentlich aus, bemerken sie dann vielleicht. Das Durchsetzen der Passwortrichtlinie ist ohne technische Kontrolle der Einhaltung fast zum Scheitern verurteilt.

Authentifizierung durch Wissen, Besitz und Merkmale

Zusätzlich zur Prüfung der Passwortrichtlinie können weitere Authentifizierungs-Verfahren die Identitäts- und Zugriffskontrolle sicherer machen. Die sogenannte Zwei-Faktor-Authentifizierung kombiniert das Wissen (zum Beispiel Passwort) mit dem Besitz eines eindeutig identifizierbaren Gegenstandes (zum Beispiel Hardware-Token, spezieller USB-Stick oder Smartcard) oder mit einem persönlichen Merkmal des Anwenders (insbesondere Biometrie).

Das Erraten oder Knacken eines schwachen Passworts reicht dann nicht mehr aus, um die Identität eines anderen vortäuschen zu können.

Wann sich die Zwei-Faktor-Authentifizierung lohnt

Der Hardware-Token oder die Sensoren zur Prüfung der biometrischen Merkmale wie Fingerabdruck, Iris oder Gesicht bedeuten natürlich zusätzliche Kosten und einen Aufwand bei der Einführung und späteren Anwendung. Auch wenn man aus Perspektive der Sicherheit geneigt ist, diese Form der Authentifizierung überall zu fordern, wird dies sicherlich auf Ablehnung stoßen.


Download:


Für bestimmte Einsatzmöglichkeiten (zum Beispiel Zugriff auf sensible Daten, Auswertung von Systemprotokollen) und Benutzer, wie die Administratoren, lassen sich die Kosten jedoch leicht begründen, wenn man sie mit dem möglichen Schaden vergleicht, der ohne eine sichere Identitätskontrolle auftreten kann.

Wenn es also um die Einführung einer Zwei-Faktor-Authentifizierung geht, sollten Sie prüfen
  • welche Aufgaben, Systemfunktionen und Daten einen besonderen Schutz benötigen,
  • welche Kosten gerechtfertigt werden müssen,
  • wie die Akzeptanz der Nutzer sein wird (Bedienerfreundlichkeit der Lösung) und
  • wie sich die Lösung bei Bedarf erweitern lässt (steigender Sicherheitsbedarf).

Einmalpasswörter muss man sich nicht merken

Eine weitere Möglichkeit, die beiden Sicherheitsfaktoren Wissen und Besitz zu vereinen, sind für jeden Benutzer individuelle Hardware-Token, die in kurzen Zeitabständen regelmäßig neue Passwörter generieren.

Der Anwender kennt seinen Benutzernamen, hat den Token und dieser liefert dann das Einmalpasswort, das sich niemand merken muss.

Doch damit sind die Möglichkeiten der Zwei-Faktor-Authentifizierung immer noch nicht ausgeschöpft.

Die Qual der Wahl bei der Authentifizierung

Auf dem Markt werden ergänzend zu den bekannten biometrischen Merkmalen Fingerabdruck, Iris und Gesicht auch Systeme angeboten, die Verhaltensmerkmale prüfen, insbesondere die digitalisierte persönliche Unterschrift, die auf eine Art Touchscreen gegeben werden muss, oder auch die Analyse des persönlichen Tippverhaltens.

Weitere Authentifizierungs-Verfahren ergänzen Benutzername und Passwort um die aktuelle IP-Adresse (Prüfung gegen einen hinterlegten Aufenthaltsort), die Parameter des eingesetzten Computers (Prüfung gegen hinterlegte Werte), spezielle Passwortkarten nach Art des Kreuzworträtzels oder zusätzliche Antworten auf persönliche Fragen, die die Identität belegen sollen.

Hier wird schnell deutlich, dass es auch bei der Zwei-Faktor-Authentifizierung um eine sichere Speicherung und Übertragung der Identitätsmerkmale gehen muss, damit diese nicht gestohlen werden können.

Auf Fallstricke bei der Authentifizierung achten
  • Bei der Wahl eines Authentifizierungs-Verfahrens sollte man auf die Praxistauglichkeit und die Fälschungssicherheit achten, um nicht einen der Sicherheitsfaktoren im Alltag doch wieder zu verlieren oder sich in einem falschen Gefühl der Sicherheit zu wiegen.
  • Ebenso besteht die Gefahr, dass das Passwort seinen Stellenwert völlig verliert. Es sind Lösungen auf dem Markt, die das Passwort komplett ablösen, aber dafür nur einen anderen Sicherheitsfaktor liefern, zum Beispiel einen Chip als Armband. Geht dieser aber verloren und gerät dann in falsche, aber kundige Hände, bestehen unter Umständen noch größere Gefahren als durch schwache Passwörter.
  • Trotz Zwei-Faktor-Authentifizierung darf man nicht auf ein aufgabenbezogenes, sehr granulares Berechtigungssystem verzichten. Es ist zwar schön, dass die Identität sichergestellt werden kann. Doch auch die eigenen Mitarbeiter können zu Täter – zu Innentätern – bei Datenmissbrauch und -diebstahl werden. Die Prinzipien „Least Access“ (also minimale Zugriffsrechte) und „Separation of Duties“ (Funktionstrennung) müssen auch bei der Zwei-Faktor-Authentifizierung gewahrt bleiben.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln