6 Arten der Benutzerauthentifizierung für den Netzwerkschutz

Warum ist die Benutzerauthentifizierung wichtig?

Wenn Benutzer ihre Identität angeben und nachweisen müssen, so sorgt dies für eine zusätzliche Sicherheitsebene zwischen Angreifern und sensiblen Daten. Per Authentifizierung können IT-Teams gemäß dem Least-Privilege-Prinzip den Zugriff auf die Daten einschränken. Der durchschnittliche Angestellte braucht beispielsweise keinen Zugriff auf die Finanzdaten des Unternehmens, und die Kreditorenbuchhaltung benötigt keinen Zugriff auf Entwicklerprojekte.

Bei der Auswahl einer Authentifizierungsart müssen Firmen neben der Sicherheit auch die UX berücksichtigen. Einige Arten der Benutzerauthentifizierung sind weniger sicher als andere. Aber durch zu viele Hürden bei der Authentifizierung kann die Akzeptanz für die Maßnahmen leiden.

Sechs Arten der Benutzerauthentifizierung

Für die Authentifizierung kommen verschiedene Faktoren in Betracht: Wissen, Besitz und physische Merkmale. Nicht jede Authentifizierungsart eignet sich jedoch gleich gut, um das Netzwerk zu schützen. Die Authentifizierungsmethoden reichen vom Basisschutz bis hin zu höherer Sicherheit. Es empfiehlt sich, mehr als eine Methode – sogenannte Multifaktor-Authentifizierung (MFA) – einzusetzen.

1. Passwortbasierte Authentifizierung

Die passwortbasierte Authentifizierung, auch als wissensbasierte Authentifizierung bezeichnet, beruht auf einem Benutzernamen und einem Kennwort oder einer PIN. Sie ist die gängigste Authentifizierungsmethode, denn jeder, der sich schon einmal an einem Computer angemeldet hat, weiß, wie man ein Passwort benutzt.

Die passwortbasierte Authentifizierung ist für Angreifer die am einfachsten auszuhebelnde Authentifizierungsart. Benutzer verwenden Passwörter häufig wieder und wählen leicht zu erratende Kennwörter, die im Wörterbuch stehen oder sich aus öffentlich zugänglichen persönlichen Informationen zusammensetzen. Darüber hinaus benötigen Mitarbeiter für jede Anwendung und jedes Gerät, das sie nutzen, ein eigenes Kennwort. Das führt dazu, dass sie sich die verschiedenen Passwörter nur schwer merken können und sie so weit wie möglich vereinfachen. Dadurch werden die Konten anfällig für Phishing- und Brute-Force-Angriffe.

Unternehmen sollten Passwortrichtlinien erstellen, die das Recycling von Passwörtern einschränken. Diese Policies können auch vorschreiben, dass die Benutzer ihre Passwörter regelmäßig ändern und komplexe Passwörter verwenden müssen.

2. Zwei-Faktor- und Multifaktor-Authentifizierung

Bei der Zwei-Faktor-Authentifizierung (2FA) müssen die Nutzer neben dem Passwort mindestens einen weiteren Authentifizierungsfaktor angeben. MFA erfordert zwei oder mehr Faktoren. Bei den zusätzlichen Faktoren kann es sich um eine der in diesem Artikel beschriebenen Arten der Benutzerauthentifizierung oder um ein Einmalpasswort handeln, das dem Anwender per SMS oder E-Mail zugesendet wird. Zu den Faktoren kann auch die Out-of-Band-Authentifizierung gehören, bei der der zweite Faktor sich auf einem anderen Kanal als das ursprüngliche Gerät befindet, um Man-in-the-Middle-Attacken zu vereiteln. Diese Art der Authentifizierung erhöht die Sicherheit von Konten, da Angreifer mehr als nur die Anmeldedaten für den Zugriff benötigen.

Die Stärke von 2FA beruht auf dem zweiten Faktor. Angreifer können SMS und E-Mail leicht aushebeln. Die Verwendung von Biometrie oder Push-Benachrichtigungen, die physische Merkmale oder den Besitz überprüfen, ermöglicht eine stärkere 2FA. Seien Sie aber vorsichtig beim Einsatz von 2FA oder MFA, da dies die UX beeinträchtigen kann.

3. Biometrische Authentifizierung

Die Biometrie verwendet physische Merkmale des Benutzers. Sie verlässt sich weniger auf ein leicht zu stehlendes Geheimnis, um zu überprüfen, ob Benutzer und Account wirklich zusammenpassen. Biometrische Merkmale sind eindeutig, was es schwieriger macht, damit Konten zu hacken.

Die folgenden biometrischen Verfahren kommen häufig zum Einsatz:

• Das Scannen von Fingerabdrücken dient der Authentifizierung anhand der Fingerabdrücke eines Benutzers.
• Bei der Gesichtserkennung werden die Gesichtsmerkmale der Person zur Überprüfung herangezogen.
• Bei der Iriserkennung wird das Auge des Benutzers per Infrarot gescannt, um Muster mit einem gespeicherten Profil zu vergleichen.
• Die Verhaltensbiometrie nutzt die Art und Weise, wie sich jemand bewegt, tippt oder ein Gerät handhabt.

Die Benutzer sind möglicherweise mit biometrischen Verfahren vertraut, so dass man sie in Unternehmen leichter einsetzen kann. Viele Consumer-Geräte verfügen über biometrische Authentifizierungsfunktionen, darunter Windows Hello von Microsoft sowie Face ID und Touch ID von Apple. Eine biometrische Authentifizierung ist oft reibungsloser und schneller, da der Benutzer sich kein Geheimnis oder Passwort merken muss. Außerdem ist sie für Angreifer schwieriger zu überlisten.

Der größte Nachteil der Biometrie bleibt die Technologie. Nicht jedes Gerät verarbeitet biometrische Daten auf die gleiche Weise, wenn überhaupt. Ältere Geräte verwenden unter Umständen lediglich ein gespeichertes statisches Bild, das sich mit einem Foto austricksen lässt. Neuere Software, etwa Windows Hello, erfordert gegebenenfalls eine Kamera mit Nahinfrarot-Bildgebung. Dies kann höhere Vorlaufkosten verursachen als andere Authentifizierungsarten. Die Nutzer müssen auch damit einverstanden sein, ihre biometrischen Daten an Unternehmen weiterzugeben, die immer noch gehackt werden können.

4. Single Sign-on

Per Single Sign-on (SSO) kann ein Mitarbeiter mit den gleichen Anmeldedaten auf mehrere Anwendungen oder Webseiten zugreifen. Der Benutzer besitzt ein Konto bei einem Identity Provider (IdP), der eine vertrauenswürdige Quelle für die Anwendung ist (Service-Provider). Der Service-Provider speichert das Passwort nicht. Der IdP teilt der Website oder Anwendung über Cookies oder Token mit, dass der Benutzer sich über ihn verifiziert hat.

SSO verringert die Anzahl der Anmeldeinformationen, die sich ein Benutzer merken muss, und erhöht dadurch die Sicherheit. Auch die UX wird verbessert, weil sich die Anwender nicht bei jedem Zugriff auf ein Konto neu einloggen müssen, sofern sie sich kürzlich beim IdP authentifiziert haben. SSO kann auch dazu beitragen, dass der Helpdesk weniger Zeit für die Unterstützung bei Passwortproblemen benötigt.

Diese Authentifizierungsmethode bedeutet jedoch, dass Angreifer im Falle einer Datenpanne bei einem IdP mit ein und denselben Anmeldedaten Zugriff auf mehrere Konten erhalten könnten. SSO erfordert außerdem einen hohen anfänglichen Zeitaufwand für die IT, um die diversen Anwendungen und Websites einzurichten und sich mit ihnen zu verbinden.

5. Token-basierte Authentifizierung

Die Token-Authentifizierung ermöglicht es den Benutzern, sich mit einem physischen Gerät, zum Beispiel einem Smartphone, einem Sicherheitsschlüssel oder einer Smartcard, bei Konten anzumelden. Dieses Verfahren kann als Teil von MFA oder als passwortlose Lösung verwendet werden. Bei der Token-basierten Authentifizierung verifizieren die Benutzer ihre Anmeldedaten einmal für einen bestimmten Zeitraum, um ständige Log-ins zu vermeiden.

Token erschweren es Angreifern, sich Zugang zu Benutzerkonten zu verschaffen. Angreifer bräuchten physischen Zugriff auf den Token und die Anmeldedaten des Benutzers, um das Konto zu übernehmen.

Man muss sich darauf verlassen können, dass die Mitarbeiter ihre Token im Auge behalten, sonst können sie von den Konten ausgesperrt werden. Da die Benutzer ausgesperrt werden, wenn sie den Token vergessen oder verlieren, müssen die Unternehmen ein Verfahren zur erneuten Registrierung vorsehen.

6. Zertifikatsbasierte Authentifizierung

Die Zertifikatsauthentifizierung verwendet von einer Zertifizierungsstelle ausgestellte digitale Zertifikate und Public-Key-Kryptographie, um die Benutzeridentität zu überprüfen. Das Zertifikat speichert Identifikationsinformationen und den öffentlichen Schlüssel, während der Benutzer den privaten Schlüssel virtuell gespeichert hat.

Die zertifikatsbasierte Authentifizierung nutzt SSO. Die IT kann Zertifikate bereitstellen, verwalten und sperren. Diese Art der Authentifizierung eignet sich gut für Unternehmen, die Auftragnehmer beschäftigen, die vorübergehend Zugriff auf das Netzwerk benötigen.

Die zertifikatsbasierte Authentifizierung kann kostspielig und zeitaufwendig in der Bereitstellung sein. Zudem muss die IT einen Prozess für die erneute Registrierung einrichten, falls Nutzer nicht auf ihre Schlüssel zugreifen können, etwa wenn sie gestohlen werden oder das Gerät defekt ist.

Protokolle für Authentifizierungsmethoden

Der Authentifizierungsprozess umfasst das sichere Senden von Kommunikationsdaten zwischen einem Remote-Client und einem Server. Zu den gebräuchlichsten Authentifizierungsprotokollen gehören folgende Standards:

• Das Lightweight Directory Access Protocol (LDAP) wird bei der Authentifizierung verwendet, um Anmeldedaten mit einem Verzeichnisdienst abzugleichen. Bei LDAP fragen Clients die in der Datenbank gespeicherten Nutzerdaten ab und gewähren bei Übereinstimmung der Anmeldedaten Zugriff.
• Das Password Authentication Protocol (PAP) wird eingesetzt, wenn Server keine besseren Protokolle beherrschen. PAP sendet Benutzernamen und Passörter im Klartext, wodurch sie sich leicht ausspähen lassen.
• Das Challenge-Handshake Authentication Protocol (CHAP) bietet einen besseren Schutz als PAP. CHAP nutzt einen Challenge-Response-Mechanismus für die Authentifizierung, anstatt ein Geheimnis zu übermitteln, was die Gefahr von Replay-Angriffen reduziert.
• Das Extensible Authentication Protocol (EAP) wird für Wireless-Verbindungen als Teil des Point-to-Point Protocol (PPP) für verschlüsselte Netzwerke verwendet. EAP bietet ein Framework, das mehrere Authentifizierungsmethoden unterstützt und erweitert.
• Kerberos wird für die Authentifizierung über unsichere Netzwerke, etwa das Internet, in Betriebssystemen wie Windows, macOS und Linux verwendet. Kerberos arbeitet mit einer vertrauenswürdigen dritten Partei zusammen, um Zugriffszertifikate bereitzustellen.
• OpenID ist ein Open-Source-Protokoll für Authentifizierung und SSO, das als Identitätsschicht des Autorisierungs-Frameworks OAuth 2.0 dient. Anstatt sich direkt bei einzelnen Websites anzumelden, werden die Benutzer zum Login auf die OpenID-Seite umgeleitet.
• Die Security Assertion Markup Language (SAML) ist ein Open-Source-Protokoll und SSO-Standard. SAML überträgt Informationen durch signierte XML-Dokumente zwischen einem IdP und einem Service-Provider.
• FIDO2 ist ein Standard, der die Web Authentication API und das Client to Authenticator Protocol verwendet, um Nutzer per Public-Key-Kryptographie über ein lokales Gerät, zum Beispiel einen Token oder ein Smartphone, zu authentifizieren.
• SSL/TLS setzt Public-Key-Kryptographie und digitale Zertifikate für die Authentifizierung zwischen Benutzer und Server ein.