Remote Access und Web-Applikationen mit Zwei-Faktor Authentifizierung absichern

© maigi, 123RF

Ticketkontrolle

Normale Passwörter kennt heute schon jeder Facebook-User. Soll es sicherer werden, wird es normalerweise auch etwas komplizierter. Dieser Artikel gibt einen Überblick über Authentifizierungslösungen und stellt Lösungsansätze für gängige Anwendungsfälle vor.
Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

Bei der Benutzerauthentisierung geht es darum herauszufinden, ob ein Benutzer auch wirklich derjenige ist, für den er sich ausgibt. Angesichts der Tatsache, dass sich unbedarfte Benutzer heute bereits von einem Smartphone vermeintliche Internet-Hotspots vorgaukeln und sich auf diese Weise leicht ihre Passwörter stehlen lassen, ist die Verwendung von Benutzername und Passwort für den Zugriff auf vertrauliche Informationen alleine kaum mehr zu verantworten. Abhilfe verspricht der Einsatz zusätzlicher Faktoren bei der Authentifizierung.

Während im angelsächsischen Sprachraum für den Prozess des Echtheitsnachweises nur der Begriff "Authentication" verwendet wird, gibt es in Deutschland zwei Begriffe, nämlich "Authentisierung" und "Authentifizierung". Obwohl diese prinzipiell für zwei unterschiedliche Aussagen stehen (Authentisieren: glaubwürdig machen – Authentifizieren: Echtheit beglaubigen) werden sie häufig äquivalent verwendet. Doch egal welchem Begriff man den Vorzug gibt, geht es darum, ein vorgelegtes kennzeichnendes Merkmal (zum Beispiel einen Benutzernamen) eindeutig zu identifizieren und dessen Echtheit zu bestätigen.

Authentifizierungsverfahren

Für die Authentifizierung stehen verschiedene Verfahren zur Verfügung, die sich in die Gruppen "Wissen", "Besitz" und "biometrische Merkmale" einordnen lassen. Diese Gruppen, auch Faktoren genannt, stellen die Grundlage jedes Authentifizierungsverfahrens dar, die Tabelle "Authentifizierungsverfahren" gibt einen Überblick.

Tabelle 1

Authentifizierungsverfahren

Faktor

Beispiele

Vorteile

Nachteile

Wissen

Passwort, PIN, Antwort auf Sicherheitsfrage

Geringe Kosten, leicht zu verwalten

Sicherheit von der Qualität abhängig, kann erraten, ausgespäht, vergessen oder weitergegeben werden

Besitz

Zertifikat, (i)TAN-Liste, Chipkarte, One Time Passwort Token

In der Regel einmalig und damit nicht kopierbar

Hohe Kosten für Anschaffung und Verwaltung, kann weitergegeben werden

Biometrisches Merkmal

Fingerabdruck, Stimm- oder Gesichtserkennung, DNS

Einfache Verwendung, kann nicht weitergegeben werden

Biometrische Faktoren unterliegen Veränderungen, z. B. Abnutzung der Fingerabdrücke oder Veränderung der Stimme mit zunehmendem Alter, kann gegen Datenschutzrecht verstoßen

Abbildung 1: Der DIGIPASS NANO ist eine dünne Folie, die zusammen mit der SIM-Karte in ein Mobiltelefon eingelegt werden kann und das Handy damit zum Hardware-OTP-Token mutieren läss

Trotz seiner gravierenden Nachteile stellt das Passwort derzeit noch immer das am häufigsten eingesetzte Authentifizierungsverfahren dar. Schließlich wird es praktisch von jedem Softwareprodukt als Standardverfahren kostenfrei zur Verfügung gestellt. Für die Absicherung von Informationen und Zugriffsberechtigungen gilt aber als Faustformel: Je höher der Wert der zu schützenden Informationen ist, desto sicherer muss das eingesetzte Authentifizierungsverfahren sein. Viele der Probleme beim Einsatz von Passwörtern lassen sich umgehen, wenn statt eines statischen Passworts ein dynamisches eingesetzt wird, das nur einmal verwendet werden kann. Das Ausspähen von Passwörtern selbst lässt sich damit zwar nicht unterbinden, die auf diese Weise gestohlenen Authentifizierungsinformationen sind für den Angreifer dann allerdings wertlos.

Multifaktor-Authentifizierung

Die Sicherheit von Authentifizierungsvorgängen lässt sich durch Kombination mehrerer Faktoren (sogenannte Multifaktor-Authentifizierung) signifikant erhöhen. So kombiniert beispielsweise die EC-Karte schon immer die Faktoren "Wissen" und "Besitz", denn der Benutzer muss sowohl im Besitz der Karte mit Magnetstreifen/Chip sein als auch die zugehörige PIN kennen.

Noch sicherer wird ein Verfahren, wenn alle drei Faktoren zum Einsatz kommen. So kombiniert beispielsweise das Produkt "QTrust 2go Smart" [1] alle drei Faktoren, indem der Anwender zunächst seinen Benutzernamen in die Anmeldemaske eintippt (Wissen) und mit dem Smartphone einen QR-Code vom Bildschirm scannt, aus dem die Smartphone-App dann ein Einmalpasswort erzeugt (Besitz). Zur endgültigen Authentifizierung muss der    Benutzer dann noch mithilfe der Smartphone-Kamera eine Gesichtserkennung (biometrisches Merkmal) durchführen und das Einmalpasswort in die Anmeldemaske eintippen.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023