Übersicht der Authentifizierungsmethoden
Bis vor einigen Jahren diente fast ausschließlich die Kombination aus Benutzernamen und Passwort zur Authentifizierung von Usern im Web. Mittlerweile existiert aber eine Fülle an neuen und innovativeren Möglichkeiten sich zu authentifizieren.
Eine Anmeldung im Web ist notwendig um zu beweisen, dass man berechtigt ist auf ein Konto oder Daten zuzugreifen und diese somit zu schützen. Dazu wird vom jeweiligen Dienst ein sogenannter Faktor abgefragt, für den eine Verknüpfung bzw. ein Vergleichswert beim Dienst gespeichert ist. Faktoren können aus drei unterschiedlichen Kategorien stammen: Wissen (Passwort, PIN, Antwort auf eine Frage, …), Besitz (Mobiltelefon, Token, …) und Biometrie (Fingerabdruck, Gesichtsscan, …).
Passwort
Die einfachste und gängigste Methode ist eine Passwortabfrage, wobei im Browser nach der Eingabe eine Prüfsumme (Hash) des Passworts errechnet wird und mit einem bei der Registrierung hinterlegten Hashwert am Server verglichen wird. Dabei handelt es sich um eine Methode aus der Kategorie Wissen. Diese Methode ist somit ohne weitere Hilfsmittel wie zum Beispiel einem Mobiltelefon oder einer Smartcard möglich. Essenziell für die Sicherheit ist es, dass das Passwort geheim gehalten wird und nicht durch Dritte mitgelesen oder berechnet werden kann.
Der gespeicherte Hash am Server kann noch weiter gesichert werden, zum Beispiel durch die Verwendung eines Salt-Wertes der in die Berechnung des Hashwertes miteinfließt. Dies stellt in Verbindung mit der Verwendung einer ausreichend starken Hashfunktion die ideale Vorgangsweise dar. Jedoch kommt es immer wieder vor, dass unsichere bzw. schlicht falsche Implementierungen verwendet werden. Es wurde beispielsweise schon mehrmals von Fällen berichtet, bei denen nicht ein Hash gespeichert wurde, sondern das Passwort selbst, im Klartext. Dadurch ist das Passwort bei der Übertragung im Zuge des Login-Vorgangs viel einfacher zu erlangen oder wenn der Server gehackt wird.
Wie Sie sichere Passwörter erstellen finden Sie unter Passwort-Auswahl am IKT-Sicherheitsportal.
Eine Authentifizierung kann auch mittels E-Mail-Versand durchgeführt werden. Dabei wird der Vorgang auf der jeweiligen Webseite gestartet, wodurch an die für dieses Konto hinterlegte E-Mail-Adresse ein Mail versendet wird. Darin befindet sich entweder ein Link durch den man direkt in das Konto gelangt oder ein Einmalpasswort (OTP) das in der Anmeldemaske eingegeben werden muss. Hierdurch wird der Besitz des E-Mail-Kontos bzw. der E-Mail-Adresse nachgewiesen, welche wiederum mit einer Zugangsauthentifizierung gesichert ist.
Die Sicherheit dieser Methode hängt von der Art der Anmeldung für das E-Mail-Postfach ab und wie man mit dessen Zugangsdaten umgeht. Diese Methode ist daher auch nur mit einem privaten E-Mail-Konto sinnvoll, das nicht auch von anderen verwendet wird. Denn jeder mit Zugriff auf das E-Mail-Konto kann auch auf die damit verbundenen Konten per Mail-Anmeldung zugreifen.
SMS
Eine weitere häufig eingesetzte Methode ist die Zusendung einer SMS an eine bei der Registrierung angegebene Mobiltelefonnummer. Darin befindet sich ein Code der auf der Webseite eingegeben werden muss. Damit wird der Besitz des unter dieser Nummer registrierten Mobiltelefons bzw. der darin befindlichen SIM-Karte nachgewiesen.
Für diese Methode ist es wichtig den Zugriff auf das Mobilgerät zu schützen, damit es nicht von anderen für die Authentifizierung genützt werden kann. Da diese Methode auch oft für Online-Banking eingesetzt wird, treten vermehrt Phishing-Angriffe auf, die unter einem falschen Vorwand (zum Beispiel zu „Testzwecken“) eine SMS abfragen oder man wird überhaupt auf eine gefälschte Bank Webseite weitergeleitet und bestätigt in weiterer Folge eine Transaktion an Kriminelle. Dem wird meist entgegengewirkt, indem ein Transaktionscode oder die grundlegenden Daten der Transaktion in der SMS zur Überprüfung mitgesendet werden. Dies setzt jedoch voraus, dass man diese Werte auch wirklich vergleicht.
App
Ähnlich wie bei der SMS-Methode kann auf einem Smartphone auch eine App installiert werden, die bei Aktivierung einen Code für die Eingabe auf der Webseite liefert oder durch sonstige Bestätigung eine positive Rückmeldung an das Webservice sendet.
Hierbei ist die Sicherheit des Smartphones ausschlaggebend, da die darauf laufende App sonst untergraben werden könnte. Weiters ist darauf Acht zu geben, dass auch wirklich die echte bzw. dafür vorgesehene App verwendet wird und nicht eine betrügerische App, die über eine Phishing-Mail oder inoffizielle App-Stores heruntergeladen wurde.
Hardware-Token
Eine Authentifizierung kann auch mittels zusätzlicher physischer Hilfsmittel, sogenannter Hardware-Token, erfolgen. Dazu können beispielsweise USB-Sticks, Smartcards oder ähnliche Hardware dienen, die an eine konkrete Person ausgeliefert werden und dieser zugeordnet sind. Solche Token haben dann entweder ein Display, auf dem sich regelmäßig ändernde Zufallszahlen oder Passwörter angezeigt werden, die dann bei einer Anmeldung angegeben werden müssen. Andere wiederum besitzen kein Display (z.B. Smartcards) sondern werden mit dem Computer verbunden und senden den generierten Wert oder eine Signatur, die mit einem darauf befindlichen privaten Schlüssel erzeugt wurde, per Softwareschnittstelle an das Programm. Mit allen Varianten wird der Besitz des zugewiesenen Tokens nachgewiesen.
Die Token selbst sind nicht anfällig für Schadsoftware, da die Funktionen hardwaretechnisch implementiert wurden. Daher können die Passwörter und Schlüssel auch nicht einfach kopiert werden. Umso wichtiger ist es hierbei jedoch die Token sicher zu verwahren, da der reine Besitz schon einen Zugang zu den verknüpften Diensten bietet. Hardware-Token sind somit nicht so flexibel wie andere Mittel, da sie für eine Authentifizierung auch immer bei der Hand sein müssen und die Ausstellung und Zuweisung komplizierter ist.
Biometrisches Merkmal
Körperliche bzw. biometrische Merkmale als Authentifizierungsfaktor werden in den letzten Jahren – vor allem durch Smartphones – immer mehr unterstützt. Dazu werden beispielsweise Stimmerkennung, Fingerabdruckscanner, Iris- oder Gesichtsscans eingesetzt.
Die Merkmale können nicht geändert oder weitergegeben werden und für die jeweilige Erfassung braucht es ein entsprechendes Aufnahmegerät. Die heutigen Aufnahmegeräte und die Software dahinter sind jedoch teilweise unzuverlässig bei der eindeutigen Erkennung der Merkmale. So wurde die Gesichtserkennung schon durch vorhalten eines Bildes ausgetrickst und auch die Iris-Erkennung wurde bei Smartphones schon überwunden.
Zwei-Faktor-Authentifizierung
Zur Steigerung des Sicherheitsniveaus kann auch eine Kombination aus zwei oder mehreren dieser Faktoren verlangt werden, bevor eine gültige Authentifizierung zustande kommt. In der Regel werden hierzu zwei Faktoren aus unterschiedlichen Kategorien verwendet. Zum Beispiel wird ein Passwort (Kategorie Wissen) gefordert, bevor in weiterer Folge ein SMS mit einem Code an die hinterlegte Mobiltelefonnummer (Kategorie Besitz) versendet wird.
Single-Sign-On
Beim Single-Sign-On-Konzept bestätigt ein Dienst (z.B. Google, Facebook oder Apple) einer weiteren Seite auf der man sich anmelden will, dass es sich um die jeweilige Person handelt. Dadurch muss man sich nicht für ein weiteres Konto registrieren, sondern kann auf ein bereits bestehendes zurückgreifen. Der Name des Konzepts resultiert aus eben diesem Verhalten, dass man sich nur bei einem Dienst anmelden muss und dieser allen weiteren Diensten die erfolgte Anmeldung bestätigt. Bei einem Login stehen dann Auswahlen wie zum Beispiel „Mit Facebook anmelden“ zur Verfügung.
Der verwendete Single-Sign-On-Dienst muss also einerseits vertrauenswürdig sein und andererseits auch von den gewünschten weiteren Diensten unterstützt werden. Ein Problem ist hierbei die Konzentration auf wenige große Anbieter. Diese haben hierdurch noch zusätzlichen Einblick in das persönliche Surfverhalten.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria