Definition

Wissensbasierte Authentifizierung

Redaktion ComputerWeekly.de
von
Zuletzt aktualisiert: Nov. 16, 2025

Was ist die Wissensbasierte Authentifizierung?

Eine Sicherheitsfrage der wissensbasierten Authentifizierung (Knowledge-based Authentication, KBA) wird mancherorts als zusätzliche Security-Ebene bei der Authentifizierung genutzt, im Sinne einer Multifaktor-Authentifizierung. Darüber hinaus kommt eine wissensbasierte Authentifizierung als Abfrage bei Self-Service-Lösungen für das Zurücksetzen oder Anfordern von Passwörtern zum Einsatz.

Eine gute Sicherheitsfrage einer wissensbasierten Authentifizierung sollte die folgenden vier Kriterien erfüllen:

  • Die Antwort sollte nicht leicht zu erraten oder durch Recherche herauszufinden sein.
  • Die Antwort sollte etwas sein, das man sich leicht merken kann.
  • Die Antwort sollte sich nicht im Laufe der Zeit ändern können.
  • Es sollten viele Antworten theoretisch möglich sein, um mögliche Angriffe zu erschweren.

Sicherheitsfragen können statisch oder dynamisch sein. Sowohl statisch als auch dynamische Verfahren beruhen auf der Annahme, dass die Identität einer Person bestätigt ist, wenn sie die richtigen Antworten auf die geheimen Fragen kennt.

Bei einem statischen Verfahren wählt der Endnutzer im Voraus die Fragen aus, die ihm gestellt werden sollen, und gibt die richtigen Antworten. Die Frage/Antwort-Paare werden vom Host gespeichert und später zur Überprüfung der Identität der Person verwendet. Sicherheitsfragen können sachbezogen sein, wie zum Beispiel Geben Sie Marke und Modell Ihres ersten Autos an? oder sich auf Vorlieben beziehen Wer war Ihr Lieblingslehrer?. Das Problem bei statischen Sicherheitsfragen besteht darin, dass die Antwort unter Umständen leicht zu erraten oder zu recherchieren sein kann. Beispielsweise wenn jemand diese Informationen auf sozialen Netzwerken teilt.

Bei einem dynamischen System weiß der Endnutzer nicht, welche Frage ihm gestellt wird. Hierfür kann beispielsweise auf Informationen zurückgegriffen werden, die dem System beziehungsweise dem Betreiber vorliegen. Die Antworten auf dynamische Fragen könnten zwar recherchiert werden, aber idealerweise sollte dies Angreifern sehr schwerfallen. Es besteht die Möglichkeit, zur korrekten Beantwortung der Frage nur eine sehr begrenzte Zeit zu gestatten, bevor keine Antwort als falsche Antwort gewertet wird.

Eine wissensbasierte Authentifizierung allein ist nicht ausreichend sicher. Dies insbesondere im Zeitalter der sozialen Medien, in dem Menschen dazu neigen, viele Informationen über sich selbst zu teilen. Aber die KBA kann im Falle eines Falles als zusätzliche Ebene beziehungsweise Faktor bei der Multifaktor-Authentifizierung eingebunden werden. Beispielsweise bei adaptiven oder dynamischen Umsetzungen, wenn bei bestimmten Bedingungen weitere Faktoren angefordert werden.

Erfahren Sie mehr über Identity and Access Management (IAM)