Das Passwort ist nicht totzukriegen - oder doch?

Authentifizierungstypen

Grundsätzlich werden drei Typen der Authentifizierung unterschieden: Der Nutzer kann etwas einsetzen,
  • das er kennt (etwa ein Passwort oder einen Benutzernamen)
  • das er in seinem Besitz hat (zum Beispiel eine Smartcard oder ein Smartphone)
  • das ihn als Person ausmacht (Fingerabdruck oder Iris-Scan).
Quelle: Ponemon "The 2019 State of Password (...) Report"
Die Grundregel dabei lautet: Bei einer Anmeldung sollten wenigstens zwei dieser Faktoren nebeneinander zum Einsatz kommen, um einen sicheren und geschützten Zugang zu gewährleisten. Das ist dann die Zweifaktor-Authentifizierung, von der immer wieder die Rede ist und die heute von den meisten Anbietern - handelt es sich nun um ein Betriebssystem oder eine Webseite - auch bereitgestellt wird.
Laut Boris Cipot sollte eine gute Authentifizierungstechnologie immer mit wenigstens zwei Fragen verknüpft sein: «Wer beispielsweise einen Geldautomaten nutzt, muss zwei Fragen beantworten. Auf ,Was haben Sie?‘ folgt die Bankkarte, auf ,Was wissen Sie?‘ wird mit Eingabe der korrekten PIN geantwortet. Eine zusätzliche biometrische Überprüfung per Fingerabdruck (,Wer sind Sie?‘) wäre denkbar und aus der Sicherheitsperspektive auch empfehlenswert.»
Auf die Frage nach der «besten» Authentifizierungs-Technik gibt es für Cipot übrigens keine eindeutige Antwort, jede habe sowohl gute als auch schlechte Seiten. Eine ID-Karte könne man zum Beispiel leicht verlieren, ebenso das Mobiltelefon. Auch sei nicht jede biometrische Methode automatisch sicher. Letztlich erfolge die Auswahl meist nach Bequemlichkeit. Aber: «Egal welche Methode genutzt wird, ein zweiter Faktor ist immer besser als sich auf einen Faktor zu verlassen.»
“Letztendlich besteht die Herausforderung darin, ein Gleichgewicht zwischen Usability und Security zu finden„
Boris Cipot, Sicherheitsingenieur bei Synopsys (www.synopsys.com)

Grenzen der Biometrie

Biometrie-Techniken werden seit etwa 2013 zur Authentifizierung eingesetzt: Apple brachte mit dem iPhone 5S unter der Bezeichnung Touch ID eine Fingerabdruck-Technologie für seine mobilen Geräte auf den Markt. Darauf folgte 2017 die Face-ID-Technologie zur Nutzer-Authentifizierung an den iPhone-X-Modellen, womit die Gesichtserkennungstechniken massentauglich wurden. Beide Methoden werden von vielen Experten im Vergleich zu Passwörtern und Token als sicherer angesehen. Biometrische Authentifizierungs-Verfahren kommen deshalb auch in vielen Bereichen der IT zur Anwendung.
Doch auch die einfache Authentifizierung über biometrische Merkmale hat ihre Grenzen. So verfügen Menschen zwar über einzigartige biometrische Kennzeichen wie Fingerabdrücke, das Gesicht oder die Iris, aber es gelang Forschern unter anderem mit Fingerabdruck- oder digitalen Gesichtsmodellen, die sie mit VR- und 3D-Techniken auf Basis von Fotografien erstellt hatten, die Scanner zu täuschen und so die Anmeldemethode auszuhebeln.
Doch gibt es inzwischen Weiterentwicklungen der biometrischen Methoden, die sich noch besser zur Authentifizierung eignen, weil sie dynamisch sind. Verhaltensbasierte biometrische Methoden erlauben es, dynamische Aktivitäten durchgängig zu überwachen. So können IT-Sicherheitsexperten Verhaltensanomalien leicht erkennen. Sie basieren darauf, wie ein bestimmter Benutzer in seiner Umgebung mit den Systemen interagiert. Dazu zählen beispielsweise die Art zu tippen und die Geschwindigkeit der Tastaturanschläge bei der Benutzung einer Tastatur oder die Art und Weise, wie ein Nutzer die Maus bewegt beziehungsweise klickt.
Doch auch das qualifiziert biometrische Verfahren nicht grundsätzlich zur alleinigen Anmeldemethode, mit der sich die Ära des Passworts beenden liesse. Martin Grauel von One Identity betont: «Biometrische Technologien bieten vielversprechende Ansätze für einen Authentifizierungsprozess der Zukunft. Sie haben allerdings auch ihre Defizite.» Er weist beispielsweise darauf hin, dass diese Techniken keine Möglichkeit bieten, Login-Daten zu aktualisieren oder erneut zu erstellen, wenn Daten von Fingerabdrücken gestohlen wurden. Dennoch werde Biometrie für Unternehmen zunehmend wichtig. Der Grund: «Die Benutzeridentifikation über traditionelle Methoden wie Benutzernamen und Zertifikate wird mehr und mehr durch biome­trische Verfahren ergänzt werden, um eine Zweifaktor-Authentifizierung sicherzustellen.»



Das könnte Sie auch interessieren