Thought Leadership
Multi-Faktor-Authentifizierung ist ein Verfahren, Onlinenutzer anhand der Validierung von zwei oder mehr ihrer Vorgaben, zu identifizieren. Dabei sind die Faktoren verschiedenen Kategorien zuzurechnen wie Wissen (Etwas, das Sie kennen), Besitzen (Etwas, das Sie haben) und Inhärenz (Etwas, das Sie sind).
Wer viel mit Spezialisten aus der Informationssicherheit zu tun hat, der kennt ihr Faible für DBA (Dreibuchstabenabkürzungen), die gelegentlich Züge einer Geheimsprache aufweisen. Wenn man nicht selbst zu den „Eingeweihten“ gehört, wird man sich vermutlich unmittelbar relevanten Dingen zuwenden, als dass die Websites auf EV SSL-Zertifikate aktualisiert werden müssen, die Admins definitiv eine bessere SSH-Schlüsselverwaltung brauchen und es der IAM-Lösung an OAuth und UDF-Tauglichkeit mangelt. Sie können mir noch folgen?
Lassen Sie mich der Liste eine weitere Abkürzung hinzufügen – MFA. Multi-Faktor-Authentifizierung ist etwas, das jeder, der eine webbasierte Anwendung sein eigen nennt, kennen sollte. Es besteht in vielen Branchen ein hoher regulatorischer Druck, bei Online-Diensten und -Anwendungen starke Benutzerauthentifizierung einzusetzen. Die Tendenz geht eindeutig in Richtung Multi-Faktor-Authentifizierungsschemata. Auch wenn Unternehmen sich noch schwer tun Multi-Faktor-Authentifizierung in diesem Sinne zu verstehen, sie einzusetzen kann durchaus zu einem Wettbewerbsvorteil werden.
Faktorisieren von Faktoren
Wenn wir über Multi-Faktor-Authentifizierung sprechen, basieren die Faktoren
- auf Ihrem Gedächtnis,
- auf etwas, das Sie besitzen
- und auf Ihnen selbst.
Lassen Sie uns diese Faktoren etwas genauer untersuchen.
Es war einmal ein Computersystem und die Leute gingen davon aus, dass es gut wäre, vertrauliche Informationen innerhalb dieses Systems zu speichern. Diese Informationen stellten sich schnell als schutzwürdig heraus, und das Passwort war geboren. Passwort-Authentifizierung ist uns allen bekannt. Leider.
Passwörter und andere Geheimnisse (PIN-Code, Passphrase) bei denen Sie sich auf Ihr Gedächtnis verlassen, sind ein Faktor und nur Ihnen selbst bekannt. Ein anderer weitverbreiteter gedächtnisbasierter Faktor sind Fragen und Antworten, bei denen nur Sie selbst die Antwort auf die jeweilige Frage kennen. F & A sind deutlich schwieriger zu implementieren als ein Passwort. Einfach zu merkende Antworten sind in der Regel genauso einfach von Dritten herauszufinden. Andererseits kann der Benutzer sich schwierigere Antworten schlechter merken. Wir sprechen hier nicht grundlos von „Gedächtnis“ statt wie anfangs von „Wissen“. Menschen sind vergesslich und Sinn macht an dieser Stelle nur, was man sich tatsächlich merken kann.
Genauso wie es nicht besonders nützlich ist, wenn Sie sich zwar Ihren eigenen Hochzeitstag merken, aber vergessen, dass der Jahrestag nächste Woche ist. Wenn Sie Ihr Passwort vergessen haben, können Sie vielleicht nicht auf die Anwendung zugreifen. Aber den Jahrestag zu vergessen heißt, dass Sie nicht in Ihr Haus kommen – zumindest kurzzeitig. Glücklicherweise gibt es in beiden Fällen Wiederherstellungsoptionen. Die sind allerdings nicht ganz unkompliziert.
Im Laufe der Zeit realisierten die Nutzer, dass die in ihren Computersystemen gespeicherten Informationen durchaus sehr vertraulicher Natur sind. Man brauchte mehr Sicherheit als Etwas, das allein auf den Gedächtnisleistungen des Benutzers beruht. Es sollte schwieriger sein, dieses Etwas absichtlich oder versehentlich an jemanden weiterzugegeben oder Zugriff auf Passwörter zu erlangen, indem man die betreffende Datenbank knackt. Ein zweiter Faktor sollte es sein, und der neue Faktor sollte nicht mehr Teil des Computersystems selbst sein. Er sollte etwas sein, das der Benutzer besitzt und das er mitnehmen kann. Entsprechend klein sollte der neue Faktor sein. Ende der 90er-Jahre waren das PKI-Smartcards und USB-Token, Einmalpasswort-Listen oder Token. Heute ist das Mobiltelefon das Paradebeispiel für diesen zweiten Faktor.
Mit fortschreitender Zeit fanden Kriminelle Wege, einige der genannten Zwei-Faktor-Systeme zu knacken. Gleichzeitig stieg die Zahl der in Anwendungen und Datenbanken gespeicherten vertraulichen Informationen stetig bei immer mehr Menschen, die auf diese Informationen zugreifen müssen. Clevere Datenschützer fanden heraus, dass der Benutzer selbst als Faktor dienen kann. Nicht sein Gedächtnis, nicht etwas, das er hat, sondern etwas, das er ist. Die Zugangskontrollen im Sci-Fi-Stil aus Mission Impossible und Aliens – Die Wiedergeburt stützt sich auf physische Eigenschaften des Benutzers, einen Fingerabdruck oder das Bestimmen von Gehalten im Atem. Leider gibt es das Star-Trek-Holodeck noch nicht, aber es gibt die biometrischen Faktoren. Neben physischen Attributen, die man scannen kann, gehört zu den neueren Methoden bei den Inhärenzfaktoren beispielsweise das Verhalten. Wie wir eine Maus bewegen oder wie wir Tippen kann man messen (konstant) und mit zuvor aufgezeichneten Daten vergleichen.
Hinzufügen der ‘Multi’-Faktoren
Wenn man ein Multi-Faktor-Authentifizierungsschema ins Auge fasst, muss man verschiedene Faktoren hinzufügen. Ein Authentifizierungsschema, das verschiedene Variationen des gleichen Faktors verwendet, ist kein Multi-Faktor-Authentifizierungsschema. Ein Passwort in Kombination mit F & A ist keine Multi-Faktor-Authentifizierungsmethode. Eine Untergruppe der Multi-Faktor-Authentifizierung ist die Zwei-Faktor-Authentifizierung (2FA – wieder mal als DBA…), die zwei der Faktoren kombiniert. Eine andere verbreitete Bezeichnung lautet “starke Authentifizierung”. Alle diese Begriffe sind ambivalent und lassen Raum für Interpretationen, mit Ausnahme, dass die Multi-Faktor-Methode mehr als einen Faktor verwendet. Ein gutes Beispiel dafür ist, dass sich gerade jetzt die Europäische Bankaufsichtsbehörde in der Richtlinie über Zahlungsdienste 2 darüber klar wird, was genau die Forderung nach starker Authentifizierung eigentlich bedeutet.
Es geht also immer um das Hinzufügen von Faktoren. In der Faktor-Kategorie haben wir verschiedene Implementierungen. Eine gute Multi-Faktor-Authentifizierungsmethode kombiniert zwei oder mehr Faktoren auf benutzerfreundliche Art und Weise. Wenn Sie erwägen, ein Multi-Faktor-Authentifizierungsschema zu implementieren, sollten Sie dabei grundsätzlich die Benutzerfreundlichkeit im Auge behalten. Wenn der Benutzer sich an ein 16-stelliges Passwort mit Sonderzeichen erinnern und es alle drei Monate ändern muss, und den Namen seines ersten Haustieres rekapitulieren muss (auch wenn er nie eins hatte), dann das vom Token, den er zu Hause vergessen hat, generierte Einmalpasswort eingeben und schließlich einen beliebigen Text tippen und mit der Maus wackeln muss, um das Verhaltensmuster zu bestimmen….kann das nicht gut gehen. Eine gute Multi-Faktor-Methode kann sogar einfacher und bequemer sein als die erste computerbasierte Authentifizierungsmethode, das Passwort.
Einsatz
Jeder der Faktoren hat seine charakteristischen Herausforderungen. Gedächtnisbasierte Systeme unterliegen unseren eigenen Unzulänglichkeiten. Zur Besitz-Kategorie gehören z.B. Token, die nie da sind, wo sie sein sollten oder aber defekt. Inhärenz lässt sich nur schwer oder gar nicht verändern. Das sind keine unüberwindlichen Herausforderungen. Sie sollten aber immer die passende Authentifizierung für jede schützenswerte Ressource einsetzen. Nicht immer ist dazu eine Multi-Faktor-Authentifizierung erforderlich. Manchmal reichen soziale Identitäten aus, damit der Benutzer sozusagen die erste Tür öffnen kann. Daher ist es ratsam, einen Identitätsanbieter einzusetzen, der sich um die verschiedenen Ebenen von Authentifizierungsanforderungen kümmern kann. Mithilfe eines Identitätsanbieters sind Anwendungen in der Lage auch von Dritten ausgestellte Identitäten nutzen, einschließlich von Multi-Faktor-Methoden, um den Benutzer zu authentifizieren und zu registrieren.
Andere zu berücksichtigende Faktoren
Zusätzlich zu den vorgestellten drei Kategorien lässt sich das Risiko weiter senken, indem man einem Benutzer weitere Attribute zuordnet. Standortdaten (Geolocation oder IP-Adressbereich) helfen beispielsweise nachzuweisen, ob eine Transaktion gültig ist oder nicht. Wenn ein Benutzer versucht, sich von Delhi aus einzuloggen, und er sich zwei Stunden vorher von New York aus eingewählt hat, kann man einen Betrugsversuch vermuten. Auch die Zeit kann man als zusätzliches Attribut berücksichtigen. Wenn Transaktionen in der Regel zwischen 9:00 und 20:00 Uhr erfolgen, kann ein Versuch um 4:00 Uhr verdächtig sein. Er kann aber auch völlig legitim sein. Der Benutzer verwendet vielleicht TOR oder F-Secure Freedome, um seine Privatsphäre zu schützen. Oder im Fall von Zeitunstimmigkeiten ist er vielleicht einfach nur auf Reisen und loggt sich innerhalb einer anderen Zeitzone ein. Diese und andere Faktoren kann man verwenden, um das Risiko betrügerischer Transaktionen zu evaluieren. Wenn der Risiko-Score steigt, bittet man um eine stärkere Validierung der Transaktion, wie beispielsweise die Multi-Faktor-Authentifizierung anstelle eines Passworts.
Unabhängig davon welche Anforderungen Sie an Authentifizierung stellen, GlobalSign IAM, unterstützt mehr als 20 verschiedene Methoden von sozialer Authentifizierung bis hin zur Multi-Faktor-Authentifizierung. GlobalSign IAM unterstützt Sie dabei Risiken zu senken, Vorschriften zu starker Authentifizierung zu erfüllen, Konversionsraten zu steigern, indem Benutzer ihren eigenen Identitätsnachweis mitbringen um Ihre Digitalisierungsprozesse zu vereinfachen und zu beschleunigen. Nehmen Sie mit uns Kontakt auf und erfahren Sie mehr.
