Definition

SFA (Single-Factor Authentication – Ein-Faktor-Authentifizierung)

SFA ist die Abkürzung für Single-Factor Authentication oder auf Deutsch übersetzt Ein-Faktor-Authentifizierung. Es handelt sich hier um einen Prozess, der den Zugriff auf beliebige Systeme reguliert. Beispiele wären eine Website oder ein Service. Die anfordernde Partei bittet um Zugriff und muss dabei nur eine Kategorie an Anmeldedaten zur Verfügung stellen.

Das bekannteste Beispiel von SFA ist eine auf einem Passwort basierende Authentifizierung. Security mit einem Passwort hängt von der Sorgfalt des Systemadministrators oder dem Anwender ab, der das Konto einrichtet.  Zu den Best Practices an dieser Stelle gehören die Verwendung eines starken Passworts. Außerdem stellt der Anwender sicher, das niemand darauf Zugriff hat.

Das Problem bei Security mit Passwörtern und Gegenmaßnahmen

Eines der größten Probleme bei der Verwendung von Passwörtern ist, dass die meisten Anwender nicht verstehen, wie sie ein starkes und gleichzeitig einfach zu merkendes erstellen. Möglicherweise unterschätzen sie einfach auch die Notwendigkeit für die Sicherheit. Je mehr Richtlinien die Administratoren für das Erzwingen von starken Passwörtern einführen, desto öfter klingelt das Telefon beim Support. Dieses Problem kann dazu führen, dass die IT-Abteilung und das Management die Standards für die Passwörter niedrig halten. Ist das der Fall, werden die Passwörter normalerweise kürzer und weniger komplex. Ein Beispiel wäre ein einfaches Wort mit sieben Zeichen. Solche Kennwörter lassen sich heutzutage binnen weniger Minuten knacken. Somit sind sie nicht viel besser als gar kein Passwort oder eines, das sich auf einer Haftnotiz am Bildschirm befindet oder anderweitig exponiert wird. Solche Missstände wollen Sie natürlich unter allen Umständen vermeiden. Allerdings müssen die Passwörter auch von Maschinen schwer zu erraten sein. Ein Test der Passwort-Entropie verrät, wie schwierig es ist, ein Passwort durch Erraten, durch einen Brute-Force-Angriff, durch einen Angriff mit einem Wörterbuch oder durch eine andere übliche Methode zu knacken.

Natürlich steht fest, dass Passwörter mit mehr Entropie schlechter zu erraten sind. Allerdings muss ein Unternehmen die Mitarbeiter auch schulen, einfach zu merkende Passwörter zu generieren. Wenn Sie die Angestellten einfach mit Richtlinien eindecken, können sie sich an die Kennwörter oftmals nicht erinnern. Die Länge ist möglicherweise noch wichtiger als die Entropie. Aus diesem Grund sollten Firmen ihre Angestellten dazu anhalten, lange aber einprägsame Phrasen zu verwenden.  Der Zusatz von Großbuchstaben, Ziffern und vielleicht einigen Sonderzeichen erhöht die Entropie signifikant, weil die Passwörter länger sind. Der Einsatz eines Passwortmeters hat sich in der Praxis bewährt, da er die Anwender zur Generation stärkerer Passwörter motiviert. Das gilt vor allen Dingen für solche, die beim Eintippen die Güte des Kennworts sofort visualisieren.

Dennoch lassen sich Passwörter möglicherweise durch Brute Force, durch den Einsatz eines Wörterbuches und Angriffe mit einer Rainbow-Tabelle knacken, sobald ein Cyberkrimineller die Passwortdatenbank des lokalen Computers gestohlen hat. Administratoren müssen ebenfalls dazu beitragen, die Passwörter vor Angriffen mithilfe von Wörterbüchern zu unterbinden. Beispielsweise könnten Sie zufällige Zeichen an die Hashes der Passwortverschlüsselung anhängen. Damit sind sie weniger anfällig für Angriffe mit Wörterbüchern. Diese Technik nennt man Salting oder Salzen des Passworts.

Durch die Performance moderner Prozessoren sind Brute-Force-Angriffe eine echte Gefahr für Passwörter. Die Entwicklung von parallelem Passwort-Cracking mithilfe GPGPUs (General Purpose Graphics Processing Units) und Rainbow-Tabellen helfen Hackern, mehr als 500.000.000 Passwörter pro Sekunde produzieren zu können. Dafür reicht sogar Gaming-Hardware, die nicht der Oberklasse angehört. Je nach Software lassen sich Rainbow-Tabellen einsetzen, um alphanumerische Passwörter mit 14 Zeichen in ungefähr 160 Sekunden zu knacken. Rainbow-Tabellen schaffen das, indem sie eine Passwortdatenbank mit einer Tabelle aller möglichen Schlüssel vergleichen. Diese sehr speicherintensive Aufgabe ist nur möglich, weil in modernen Computern immer mehr Speicher verbaut wird. Die Bedrohungen werden immer fortschrittlicher. Heutzutage bieten speziell gebaute FPGA-Karten verglichen mit herkömmlichen GPUs zehn mal mehr Performance und benötigen dafür nur einen Bruchteil der Energie. Eine Passwortdatenbank, die für den Angreifer von Interesse ist, hat keine Chance, wenn er über umfangreiche technische Ressourcen für Computing verfügt.

Social Engineering ist eine große Gefahr für Systeme, an denen man sich mit einem Passwort anmeldet. Um die Angriffsoberfläche hinsichtlich Social Engineering zu verringern, muss eine Firma alle Anwender schulen. Das gilt sowohl für die Angestellten als auch für das Management. Die Passwortstärke ist obsolet, wenn sich ein Anwender von einem Angreifer austricksen lässt und sein Kennwort preisgibt. Selbst nicht angemessen geschulte IT-Mitarbeiter lassen sich mit legitim scheinenden Anfragen für Passwörter aufs Glatteis führen. Die komplette Belegschaft muss über Phishing-Taktiken im Bilde sein. Gefälschte E-Mails und manipulierte Websites werden möglicherweise eingesetzt, um von einem ahnungslosen Empfänger sensible Informationen zu ergattern. Andere Bedrohungen wie zum Beispiel Trojaner kommen möglicherweise ebenfalls über E-Mails. Kurz gesagt gehören Passwörter zu den Arten an Authentifizierung, die am öftesten gestohlen oder geknackt werden.

Es lässt sich schlussfolgern, dass sich Passwörter für Systeme eignen, die kein hohes Niveau an Security voraussetzen. Aber auch in solchen Fällen sollte es angemessen strenge Auflagen geben. Verlangen Systeme nach mehr Sicherheit, dann sollte eine Firma stärkere Methoden zur Authentifizierung einsetzen.

Starke Authentifizierung gegen Multifaktor-Authentifizierung

Starke Authentifizierung wird manchmal als Synonym für Multifaktor-Authentifizierung verwendet. Ein-Faktor-Authentifizierung muss aber nicht unbedingt schwach sein. Viele biometrischen Methoden zur Authentifizierung sind richtig implementiert zum Beispiel sehr stark.

SFA mit Mehrfachantworten sind möglicherweise stark, sofern richtig eingesetzt. Auch Biometrie kann SFA stark machen, wenn man die Technologie richtig implementiert. Retina-Scans, Fingervenenmuster und Spracherkennung sind gute Kandidaten. Den Scanner für die Biometrie sollten Sie allerdings doppelt und dreifach prüfen, wenn er die einzige Komponente in einer SFA-Lösung ist.

Eine Verifizierung mit Biometrie könnte für ein Unternehmen allerdings ziemlichen Aufwand bedeuten. Je nach notwendiger Security, bevorzugt eine Firma möglicherweise MFA (Multifaktor-Authentifzierung).

Authentifizierungs-Faktor

Ein Authentifizierungs-Faktor ist eine unabhängige Kategorie an Beglaubigungskomponenten, um einen Anwender zu verifizieren. Bei Multifaktor-Authentifizierung erhöht bei einem Zugriff jeder Faktor die Sicherheit. Ein System oder eine Person muss die entsprechende Identität beweisen. Gleichzeitig sinkt die Wahrscheinlichkeit, dass ein Angreifer sich als legitim maskieren kann und sich somit Zugriff ergaunert. Die drei am häufigsten verwendeten Kategorien für die Authentifizierung werden als etwas, das Sie wissen (Wissensfaktor), etwas, das Sie haben (Besitzfaktor) und etwas, das Sie sind (Seinfaktor) bezeichnet.

Die Kombination aus Anmeldename und Passwort ist immer noch die häufigste SFA-Form. Komplexere Systeme beinhalten 2FA (Zwei-Faktor-Authentifizierung), 3FA (Drei-Faktor-Authentifizierung), 4Fa und sogar 5FA.

Als Standortfaktor bezeichnet man, wo sich der Anwender während eines Anmeldens aufhält. Man streitet darüber, ob das der vierte Faktor sein soll. Die Allgegenwärtigkeit von Smartphones können an dieser Stelle helfen. In den meisten Smartphones befindet sich ein GPS und damit lässt sich der Standort der Anmeldung recht genau bestimmen.

Auch die Zeit wird als vierter Faktor für die Authentifizierung ins Gespräch gebracht. Ist Standort der vierte, dann wäre Zeit der fünfte. Denkbar ist, dass man zum Beispiel die Anmeldungen der Angestellten mit den Geschäftszeiten abgleicht. Auf diese Weise lassen sich Zugriffe außerhalb der Bürozeiten verhindern. Ein weiteres Beispiel sind Kunden von Banken. Nutzer können ihre Geldkarten nicht in einem Geldautomaten in Deutschland und dann wenige Stunden später in China einsetzen. Diesen zusätzlichen Faktor nutzen Banken, um Geldtransaktionen zu bestätigen und sie verhindern in vielen Fällen Betrug.

Die unterschiedlichen Niveaus bei Multifaktor-Authentifizierung

Ein 2FA-System stärkt die Security, weil der Nutzer zwei verschiedene Merkmale zur Identifizierung aus verschiedenen Kategorien zur Verfügung stellen muss. Üblicherweise ist ein Teil ein physischer Token wie zum Beispiel eine ID-Karte und der andere etwas aus dem Gedächtnis wie ein Security Code oder ein Passwort. Selbst wenn ein Angreifer das Passwort des Anwenders entwendet, bräuchte er immer noch das physische Gerät, um sich am Konto des Anwenders anmelden zu können.

Bei 3FA kommt ein weiterer Faktor hinzu, der eine unrechtmäßige Authentifizierung noch schwieriger gestaltet. Für diesen Faktor greift man in der Regel auf Biometrie zurück, um das Sein zu beweisen. So ein System verifiziert zum Beispiel, dass die sich anmeldende Person das Passwort weiß, eine ID-Karte hat und der Fingerabdruck stimmt.

4FA legt die Latte noch einmal höher und bringt einen vierten einzigartigen Faktor für die Authentifizierung ins Spiel. Nun wird es schon sehr schwer, die Security zu knacken. James Bond könnte das mit einem portablen Computer, der das Passwort knackt, gleichzeitig setzt er den geklonten USB Token ein und hat das Auge des entsprechenden Angestellten noch für den Retina Scan bereit.

Eine Fünf-Faktor-Authentifizierung würde die drei üblichen verwenden (Wissen, Besitz, Sein)  und zusätzlich den Standort sowie die Zeit ins Spiel bringen. Bei so einem System muss ein Anwender etwas bieten, das er weiß. Dann braucht er einen Gegenstand und muss ein biometrisches Merkmal liefern. Ebenfalls muss der Standort richtig zu sein. Sind diese vier Faktoren richtig, dann muss auch noch der Zeitraum für den erlaubten Zugriff stimmen.

Wenn Sie sich das letzte Szenario ansehen, dann wird schnell klar, wie eine höhere Anzahl an Faktoren einen nicht legitimen Zugriff immer schwieriger macht. Aus diesem Grund setzen die meisten Unternehmen SFA heutzutage nicht mehr ein. Diese Methode wird zunehmend durch Multifaktor-Authentifizierung ersetzt. Je nach Niveau des Risikos kommen entsprechend viele Faktoren zum Einsatz.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Diese Definition wurde zuletzt im April 2016 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

File Extensions and File Formats

ComputerWeekly.de

Close