Single-Faktor-Authentifizierung (SFA)

Die Probleme mit rein passwortbasierten Authentifizierungen

Eines der größten Probleme bei der Verwendung von Passwörtern ist, dass die meisten Anwender nicht verstehen, wie sie ein starkes und gleichzeitig einfach zu merkendes erstellen. Möglicherweise unterschätzen sie einfach auch die Notwendigkeit für die Sicherheit. Je mehr Richtlinien die Administratoren für das Erzwingen von starken Passwörtern einführen, desto öfter klingelt das Telefon beim Support. Dieses Problem kann dazu führen, dass die IT-Abteilung und das Management die Standards für die Passwörter niedrig halten. Ist das der Fall, werden die Passwörter normalerweise kürzer und weniger komplex. Solche Kennwörter lassen sich heutzutage binnen weniger Minuten knacken. Somit sind sie nicht viel besser als gar kein Passwort oder eines, das sich auf einer Haftnotiz am Bildschirm befindet oder anderweitig exponiert wird.

Allerdings müssen die Passwörter auch von Maschinen schwer zu erraten sein. Ein Test der Passwort-Entropie verrät, wie schwierig es ist, ein Passwort durch Erraten, durch einen Brute-Force-Angriff, durch einen Angriff mit einem Wörterbuch oder durch eine andere übliche Methode zu knacken.

Es steht fest, dass Passwörter mit mehr Entropie schlechter zu erraten sind. Wenn Unternehmen die Angestellten einfach mit Richtlinien eindecken, können sie sich an die Kennwörter oftmals nicht erinnern. Hier sollte der Einsatz eines Passwortmanagers gleich mit an die Hand gegeben werden. Die Länge des Passwortes ist möglicherweise noch wichtiger als die Entropie. Aus diesem Grund sollten Firmen ihre Angestellten dazu anhalten, lange, aber einprägsame Phrasen zu verwenden.  Der Zusatz von Großbuchstaben, Ziffern und vielleicht einigen Sonderzeichen erhöht die Entropie signifikant, weil die Passwörter länger sind. Der Einsatz eines Passwortmeters – also einer Passwortstärkenanzeige - hat sich in der Praxis bewährt, da er die Anwender zur Generation stärkerer Passwörter motiviert. Das gilt vor allen Dingen für solche, die beim Eintippen die Güte des Kennworts sofort visualisieren.

Dennoch lassen sich Passwörter möglicherweise durch einen Brute-Force-Angriff, durch den Einsatz eines Wörterbuches und Angriffe mit einer Rainbow-Tabelle knacken, sobald ein Cyberkrimineller die Passwortdatenbank des lokalen Computers gestohlen hat. Administratoren müssen ebenfalls dazu beitragen, die Passwörter vor Angriffen mithilfe von Wörterbüchern zu unterbinden. Beispielsweise könnten Sie zufällige Zeichen an die Hashes der Passwortverschlüsselung anhängen. Damit sind sie weniger anfällig für Angriffe mit Wörterbüchern. Diese Technik nennt man Salting oder Salzen des Passworts.

Social Engineering ist eine große Gefahr für Systeme, an denen man sich mit einem Passwort anmeldet. Um die Angriffsfläche hinsichtlich Social Engineering zu verringern, muss eine Firma alle Anwender schulen. Das gilt sowohl für die Angestellten als auch für das Management. Die Passwortstärke ist obsolet, wenn sich ein Anwender von einem Angreifer austricksen lässt und sein Kennwort preisgibt. Selbst nicht angemessen geschulte IT-Mitarbeiter lassen sich mit legitim scheinenden Anfragen für Passwörter aufs Glatteis führen. Die komplette Belegschaft muss über Phishing-Taktiken im Bilde sein. Gefälschte E-Mails und manipulierte Websites werden möglicherweise eingesetzt, um von einem ahnungslosen Empfänger sensible Informationen zu ergattern. Andere Bedrohungen wie zum Beispiel Trojaner kommen möglicherweise ebenfalls über E-Mails. Kurz gesagt, gehören Passwörter zu den Arten an Authentifizierung, die am öftesten gestohlen oder geknackt werden.

Systeme, die rein mit einer Authentifizierung per Passwort arbeiten, bieten keinen zeitgemäßen Schutz. Unternehmen sollten sich mit allen Verfahren stärkerer Authentifizierungsmethoden auseinandersetzen.

Starke Authentifizierung und Multifaktor-Authentifizierung

Starke Authentifizierung wird manchmal als Synonym für Multifaktor-Authentifizierung verwendet. Dies muss jedes Mal im Einzelfall betrachtet werden, dass die Begrifflichkeit starke Authentifizierung nicht eindeutig definiert ist. Eine Ein-Faktor-Authentifizierung muss aber nicht unbedingt schwach sein. Viele biometrischen Methoden zur Authentifizierung sind richtig implementiert zum Beispiel sehr stark.

SFA mit Mehrfachantworten sind möglicherweise stark, sofern richtig eingesetzt. Wie erwähnt, kann Biometrie die SFA relativ stark machen, wenn man die Technologie richtig implementiert. Retina-Scans, Fingervenenmuster und Spracherkennung sind gute Kandidaten. Allerdings sollte jede Implementierung und jedes System ausführlich auf den Prüfstand gestellt werden.

Eine Verifizierung mit Biometrie könnte für ein Unternehmen allerdings ziemlichen Aufwand bedeuten. Daher ist es möglicherweise sinnvoller, einer Multifaktor-Authentifizierung den Vorzug zu gegeben. Diese kann gegebenenfalls dann immer noch biometrische Faktoren enthalten.

Authentifizierungsfaktoren

Ein Authentifizierungsfaktor ist eine unabhängige Kategorie an Beglaubigungskomponenten, um einen Anwender zu verifizieren. Bei Multifaktor-Authentifizierung erhöht bei einem Zugriff jeder Faktor die Sicherheit. Ein System oder eine Person muss die entsprechende Identität beweisen. Gleichzeitig sinkt die Wahrscheinlichkeit, dass ein Angreifer sich als legitim maskieren kann und sich somit Zugriff ergaunert. Die drei am häufigsten verwendeten Kategorien für die Authentifizierung werden als etwas, das Sie wissen (Wissensfaktor), etwas, das Sie haben (Besitzfaktor) und etwas, das Sie sind (Inhärenzfaktor) bezeichnet.

Die Kombination aus Anmeldename und Passwort ist immer noch die häufigste SFA-Form. Komplexere Systeme beinhalten 2FA (2-Faktor-Authentifizierung), 3FA (3-Faktor-Authentifizierung), 4FA und sogar 5FA.

Als Standortfaktor bezeichnet man, wo sich der Anwender während eines Anmeldens aufhält. Man streitet darüber, ob das der vierte Faktor sein soll. Die Allgegenwärtigkeit von Smartphones können an dieser Stelle helfen. In den meisten Smartphones befindet sich ein GPS und damit lässt sich der Standort der Anmeldung recht genau bestimmen.

Auch die Zeit wird als vierter Faktor für die Authentifizierung ins Gespräch gebracht. Ist Standort der vierte, dann wäre Zeit der fünfte. Denkbar ist, dass man zum Beispiel die Anmeldungen der Angestellten mit den Geschäftszeiten abgleicht. Auf diese Weise lassen sich Zugriffe außerhalb der Bürozeiten verhindern. Ein weiteres Beispiel sind Kunden von Banken. Nutzer können ihre Geldkarten nicht in einem Geldautomaten in Deutschland und dann wenige Stunden später in China einsetzen. Diesen zusätzlichen Faktor nutzen Banken, um Geldtransaktionen zu bestätigen und sie verhindern in vielen Fällen Betrug.

Multifaktor-Authentifizierung auf unterschiedlichem Niveau

Ein 2FA-System stärkt die Security, weil der Nutzer zwei verschiedene Merkmale zur Identifizierung aus verschiedenen Kategorien zur Verfügung stellen muss. Üblicherweise ist ein Teil ein physischer Token wie zum Beispiel eine ID-Karte oder ein generiertes Einmalpasswort und der andere etwas aus dem Gedächtnis wie ein Security Code oder ein Passwort. Selbst wenn ein Angreifer das Passwort des Anwenders entwendet, bräuchte er immer noch das physische Gerät, um sich am Konto des Anwenders anmelden zu können.

Bei 3FA kommt ein weiterer Faktor hinzu, der eine unrechtmäßige Authentifizierung noch schwieriger gestaltet. Für diesen Faktor greift man in der Regel auf Biometrie zurück, um das Sein zu beweisen. So ein System verifiziert zum Beispiel, dass die sich anmeldende Person das Passwort weiß, eine ID-Karte hat und der Fingerabdruck stimmt.

4FA legt die Latte noch einmal höher und bringt einen vierten einzigartigen Faktor für die Authentifizierung ins Spiel. Eine 5-Faktor-Authentifizierung würde die drei üblichen verwenden (Wissen, Besitz, Sein) und zusätzlich den Standort sowie die Zeit ins Spiel bringen. Bei so einem System muss ein Anwender etwas bieten, das er weiß. Dann braucht er einen Gegenstand und muss ein biometrisches Merkmal liefern. Ebenfalls muss der Standort richtig zu sein. Sind diese vier Faktoren richtig, dann muss auch noch der Zeitraum für den erlaubten Zugriff stimmen.

Wenn man das letzte Szenario betrachtet, dann wird schnell klar, wie eine höhere Anzahl an Faktoren einen nicht legitimen Zugriff immer schwieriger macht. Es gibt also gute Gründe, warum die nicht mehr zeitgemäße SFA durch Multifaktor-Authentifizierung ersetzt wird.