Was ist Wissensbasierte Authentifizierung? - Definition von Computer Weekly

Eine Sicherheitsfrage wird mancherorts als zusätzliche Security-Ebene bei der Authentifizierung genutzt, im Sinne einer Multifaktor-Authentifizierung. Darüber hinaus kommt eine wissensbasierte Authentifizierung als Abfrage bei Self-Service-Lösungen für das Zurücksetzen oder Anfordern von Passwörtern zum Einsatz.

Eine gute Sicherheitsfrage einer wissensbasierten Authentifizierung sollte die folgenden vier Kriterien erfüllen:

Die Antwort sollte nicht leicht zu erraten oder durch Recherche herauszufinden sein.
Die Antwort sollte etwas sein, das man sich leicht merken kann.
Die Antwort sollte sich nicht im Laufe der Zeit ändern können.
Es sollten viele Antworten theoretisch möglich sein, um mögliche Angriffe zu erschweren.

Sicherheitsfragen können statisch oder dynamisch sein. Sowohl statisch als auch dynamische Verfahren beruhen auf der Annahme, dass die Identität einer Person bestätigt ist, wenn sie die richtigen Antworten auf die geheimen Fragen kennt.

Bei einem statischen Verfahren wählt der Endnutzer im Voraus die Fragen aus, die ihm gestellt werden sollen, und gibt die richtigen Antworten. Die Frage/Antwort-Paare werden vom Host gespeichert und später zur Überprüfung der Identität der Person verwendet. Sicherheitsfragen können sachbezogen sein, wie zum Beispiel „Geben Sie Marke und Modell Ihres ersten Autos an?“ oder sich auf Vorlieben beziehen „Wer war Ihr Lieblingslehrer?“. Das Problem bei statischen Sicherheitsfragen besteht darin, dass die Antwort unter Umständen leicht zu erraten oder zu recherchieren sein kann. Beispielsweise wenn jemand diese Informationen auf sozialen Netzwerken teilt.

Bei einem dynamischen System weiß der Endnutzer nicht, welche Frage ihm gestellt wird. Hierfür kann beispielsweise auf Informationen zurückgegriffen werden, die dem System beziehungsweise dem Betreiber vorliegen. Die Antworten auf dynamische Fragen könnten zwar recherchiert werden, aber idealerweise sollte dies Angreifern sehr schwerfallen. Es besteht die Möglichkeit, zur korrekten Beantwortung der Frage nur eine sehr begrenzte Zeit zu gestatten, bevor keine Antwort als falsche Antwort gewertet wird.