fgnopporn - stock.adobe.com
API-Sicherheit: Gängige Methoden zur Authentifizierung
Programmierschnittstellen sind ein beliebtes Ziel von Angreifern, dementsprechend wichtig ist ihr Schutz – etwa durch eine solide Authentifizierung. Hier gängige Methoden hierfür.
Application Programming Interfaces oder verkürzt APIs sind mittlerweile zu einem beliebten Ziel von Hackern geworden. Ihr Schutz zählt daher zu den wichtigsten Aufgaben für die Sicherheitsteams in Unternehmen. Die Bedrohung für Programmierschnittstellen wird in Zukunft sogar noch größer werden, wenn sich die zunehmend beliebter werdenden perimeterlosen Bereitstellungen weiter ausbreiten. Unternehmen können aber das Risiko von Datenverlusten durch die Einführung von Maßnahmen zur API-Authentifizierung reduzieren.
Die Integration von zwei oder mehr Anwendungen oder Diensten wird heute meist über APIs geregelt. Sie bestehen aus Protokollen und Tools, mit denen andere Anwendungen und Services die für sie relevanten Daten extrahieren und dann für ihre eigenen Zwecke einsetzen können. Da die Nutzung von APIs in den vergangenen Jahren geradezu explodiert ist, interessieren sich nun auch Cyberangreifer immer stärker für die Techniken. Sie sind daher laufend auf der Suche nach Unternehmen, die bei der Absicherung der von ihnen genutzten APIs zu wenig Sorgfalt haben walten lassen.
Erfahren Sie hier, welchen Einfluss die API-Frameworks auf die verfügbaren Methoden zur Authentifizierung der Programmierschnittstellen haben. Im Folgenden stellen wir vier häufig verwendete Maßnahmen vor und unterstützen Sie bei der Wahl der am besten für Ihre Situation passenden Schutzmaßnahmen.
Die API-Frameworks richtig einordnen
Nicht jede Methode zur Authentifizierung von APIs funktioniert auch in jeder Umgebung und bei jedem Unternehmen. Die verfügbaren Maßnahmen hängen vor allem vom bereits eingesetzten API-Framework ab. Der Entwickler der Plattformen oder Anwendungen legen bereits fest, welcher Code und welche Funktionen in ihren APIs zur Verfügung stehen. Das betrifft auch die Optionen zum Sichern der Kommunikation zwischen zwei oder mehr Geräten. Manche APIs bieten daher mehr Möglichkeiten zur Authentifizierung innerhalb ihrer Frameworks als andere.
Die Administratoren sollten deshalb zunächst bestimmen, welche Methoden zur API-Authentifizierung überhaupt zusammen mit den von ihnen genutzten Schnittstellen verwendet werden können. Erst danach können sie festlegen, welche Technik am besten passt.
Häufig genutzte Methoden zur Authentifizierung von APIs
Auch wenn heutzutage Dutzende offene oder proprietäre Methoden zur API-Authentifizierung zur Verfügung stehen, sind doch vier von ihnen am häufigsten anzutreffen. Die meisten Admins nutzen sie während ihrer beruflichen Laufbahn über kurz oder lang.
1. HTTP Basic Authentication
Diese Methode passt oft am besten, wenn bereits eine einfache Form der HTTP-Authentication (Hypertext Transfer Protocol) für eine Anwendung oder einen Dienst ausreicht. Die Technik nutzt einen lokalen Benutzernamen plus ein Passwort sowie eine Kodierung mit dem Base64-Verfahren. Die Authentifizierungsmethode verwendet dabei den HTTP-Header, so dass sie in den meisten Fällen leicht integriert werden kann. Da bei dieser Methode jedoch geteilte Nutzerdaten verwendet werden, sollten die eingesetzten Passwörter regelmäßig erneuert werden.
2. Access Tokens für die APIs
API-Tokens beziehungsweise -Schlüssel offerieren einzigartige Identifier für jeden Nutzer und für jede Situation, in der er sich authentifizieren will. Access Tokens eignen sich zum Beispiel für Applikationen zu denen viele Anwender einen Zugang benötigen. Aus Sicht der Endanwender lassen sich Access Tokens zudem besonders leicht und sicher einsetzen.
3. OAuth mit OpenID
Auch wenn OAuth die Abkürzung „Auth“ mit im Namen trägt, haben wir es hier nicht mit einem Mechanismus zur Authentifizierung zu tun. Stattdessen handelt es sich um Autorisierungsdienste, mit denen etwa festgelegt werden kann, welche Nutzer Zugriff auf welche Ressourcen im Unternehmen erhalten sollen.
OAuth wird daher meist zusammen mit dem Authentifizierungsmechanismus OpenID eingesetzt. Die Kombination von OAuth und OpenID sorgt dann sowohl für die Autorisierung als auch die Authentifizierung der Nutzer. Mit OAuth 2.0 kann OpenID Nutzer und Geräte sogar mit Hilfe eines Authentifizierungssystems eines Drittanbieters authentifizieren. Die Kombination gilt heute als eine der sichereren Möglichkeiten zur Autorisierung und Authentifizierung.
4. Durch SAML föderierte Identitäten
Die Security Assertion Markup Language (SAML) ist eine weitere Token-basierte Methode zur Authentifizierung, die oft in Umgebungen eingesetzt wird, die ein föderiertes Single Sign-On (SSO) nutzen. Dieser auf Basis von XML (Extended Markup Language) entwickelte offene Standard ermöglicht eine nahtlose Authentifizierung von Nutzern durch den in der Regel bereits vorhandenen Identitäts-Provider eines Unternehmens. Vor allem für größere Firmen, die ihre Mechanismen zur Authentifizierung konsolidieren wollen, ist die kombinierte Nutzung von SAML und einem föderierten SSO eine sehr gute Möglichkeit
Die Wahl des richtigen Mechanismus zur API-Authentifizierung
Bei der Auswahl des am besten passenden Mechanismus zur Authentifizierung gibt es also drei Faktoren, die berücksichtigt werden sollten:
- Zunächst sollte herausgefunden werden, welche Methoden zur Authentifizierung im bereits genutzten API-Framework überhaupt unterstützt werden.
- Entscheiden Sie sich anschließend für eine API-Authentifizierung, die den erforderlichen Sicherheitslevel bietet, ohne dabei zu komplex zu sein.
- Aus Sicht der dann erforderlichen Administrations- und Verwaltungsaufgaben sollten Sie nur die API-Authentifizierungsmethode auswählen, die am besten in Ihre bereits vorhandene Authentifizierungsinfrastruktur passt. So vermeiden Sie unnötigen Mehraufwand.
Auf Basis dieser drei zentralen Aspekte der API-Authentifizierung können Sie die zur Verfügung stehenden Optionen auf eine einzige Authentifizierungsmethode eingrenzen, die damit eine für Sie optimale Balance aus Sicherheit und Benutzbarkeit bietet.
