Authentifizierung mag für einige komplex klingen – Dabei ist es das gar nicht. Im Prinzip zeigt man nur, dass man der ist, der man vorgibt zu sein. In der Offline-Welt ist dieser Prozess simpel und in vielen Ländern gleich. In den meisten erhält man einen Pass, aus dem die jeweilige Identität hervorgeht und mit dem man die ganze Welt bereisen kann. In der Welt der Bytes und Bits gibt es ein solches einzigartiges Dokument nicht. Identitäten lassen sich im Netz nur schwer beweisen. Als Ergebnis verwenden die meisten Websites oder Dienste unterschiedliche Techniken der Authentifizierung.
Im Artikel Benutzerkonten-Management geht es um Authentifizierung in Verbindung mit Autorisierung, Zugriffskontrolle und Audit-Protokollierung. Das Schaffen einer sicheren Authentifizierung ist der erste wichtige Schritt, bevor die anderen drei Funktionen der Kontoverwaltung durchgeführt werden können. Bei Unwissenheit über jemandes Identität, ist es schwierig Ressourcen- oder Leistungszugriffe zu erteilen oder Handlungen derjenigen nachzuvollziehen.
Sich selbst im Internet überprüfen
Es gibt die Möglichkeit zu prüfen, ob eine Person die ist, die sie vorgibt zu sein. Dabei hilft ein einzigartiges oder unveränderliches Merkmal der Person. Allerdings müssen dafür ein paar Dinge beachtet werden. In Filmen oder Fernsehsendungen wird folgendermaßen vorgegangen, um die Identität einer Person in Erfahrung zu bringen:
- Man entlockt der Person ein Stück Information, dass nur die zu identifizierende wissen kann.
- Die Fragestellung nach einem Getränk, welches die zu identifizierende Person mag, kann genauso zur Identifizierung beitragen wie…
- das Überprüfen auf das Vorhandensein einer besonderen Eigenschaft, die eine eindeutige Identifizierung zulässt.
Ähnliche Maßnahmen können auch bei einer Online-Authentifizierung von Usern angewandt werden. Drei grundlegenden Methoden sind nachfolgend unter Authentifizierungsfaktoren zusammengefasst. Im Einzeln sind diese Faktoren bekannt als:
- Wissensfaktoren – Eine Information
Dazu gehören Information, die (idealerweise ) nur der Person bekannt sind, deren Identität überprüft wird und der Person oder den Verfahren, die eine Person überprüfen.
- Eigentums- bzw. Besitz-Faktoren – Ein Gegenstand
Das ist etwas, was man von einer Person oder Organisation bekommen hat und zur Identifizierung beiträgt.
- Inhärenz- bzw. Existenz-Faktoren – Ein Merkmal
Dazu gehören typische Merkmale einer Person, die Teil von ihr sind und sich in der Regel nicht verändern.
Die ersten drei Faktoren
Es gibt Faktoren (Passwörter, Passphrasen, Passcodes oder PINs), die den Wissensfaktoren zugeordnet werden. Dazu gehören auch sogenannte geheime Fragestellungen (z.B.: „In welcher Stadt ist Ihr Vater geboren“), die einige Websites benutzen, um ein Benutzerkonto zusätzlich vor Identitätsdiebstahl zu schützen. Es werden also zwei Wissensfaktoren für die Authentifizierung gebraucht.
Die allermeisten von uns sind im Besitz eines sogenannten Besitzfaktors. Dazu gehören beispielsweise Führerschein oder Personalausweis im Portemonnaie. Aber auch EC- oder Kreditkarte tragen zur Identifizierung bei.
Personalausweis und Bankkarten sind jedoch nicht die einzigen Formen der Eigentums-Faktoren. E-Mail-Adressen, Mobilgeräte, Telefonnummern oder temporäre Schlüssel-Codes von Online-Seiten wie SMS-Tans, Sprachanrufe sowie E-Mails können eindeutige Informationen beinhalten und für einen Login nützlich sein.
Schließlich ist da noch der Inhärenz-Faktor. Gehörte dieser früher eher zu den Werkzeugen von Spionen, tragen sie heutzutage zur Authentifizierung via Smartphone oder Laptop bei. Im Moment ist zum Beispiel der Fingerabdruck-Sensor sehr beliebt. Dieser nutzt den einzigartigen Fingerabdruck eines jeden Menschen zur Authentifizierung. Aufmerksamkeit erwecken auch die sogenannten Iris-Scanner, welche die einzigartigen optischen Merkmale der Regenbogenhaut einer Person registrieren. Selbst eineiige Zwillinge können anhand dieser Technologie voneinander unterschieden werden.
Die Zoll- und Grenzschutzbehörde der Vereinigten Staaten von Amerika testet momentan Gesichtserkennungs-Scanner als eine Möglichkeit, die Überprüfung von Foto-IDs zu automatisieren.
Wenn eine Methode nicht ausreicht
Die meisten von uns kennen eine Person dessen Online-Konto schon einmal gehackt wurde. Authentifizierungsmethoden die lediglich Username und Passwort gebrauchen, verbreitet vielen Nutzern immer noch großes Kopfzerbrechen. Deshalb sind Forscher eifrig dabei, neue sicherere und schnellere Wege der Authentifizierung zu finden. Zurzeit kristallisiert sich vor allem ein Verfahren heraus, das mehr als ein Faktor zur Identifizierung benötigt.
Die Rede ist vom 2FA – der Zwei-Faktoren-Authentifizierung. Selbst wenn ein User seine Login-Daten (Username und Passwort) herausgeben würde, fehlt möglichen Daten-Dieben immer noch der einzigartige Faktor zur Identifizierung – z.B. eine einmalige Tan, die auf das Smartphone während des Online-Bankings versendet wird. Das Konto wäre nicht vollkommen ungeschützt.
Weitere Faktoren für die Zukunft
Es werden immer neue Faktoren entwickelt, um die Authentifizierungssicherheit zu erhöhen. Einige dürften Wenigen schon bekannt vorkommen. Dabei handelt es sich um standortbezogene und verhaltensbasierende Faktoren. Beide mögen zunächst etwas seltsam klingen, gerade weil Routen und Verhalten von Menschen veränderbar sind, aber es hat sich herausgestellt, dass sie in Verbindung mit anderen Authentifizierungsfaktoren durchaus sinnvoll sind.
Der Standortfaktor funktioniert auf dem Prinzip von Bewegungsmustern von Menschen. Die meiste Zeit hält man sich an bestimmten Orten auf, wie der Arbeit oder seinem Zuhause. Auch wenn das natürlich nicht immer der Fall ist (z.B. im Urlaub), so ergibt sich dennoch ein Muster, das als Authentifizierung nützlich sein kann. Beispielsweise kann eine bekannte Umgebung oder IP-Adresse schon einen Faktor der 2FA darstellen. Wer ein bekanntes Gebiet verlassen hat, braucht dann wiederum einen zusätzlichen einzigartigen Schlüsselcode zu seinem Username und Passwort.
Verhaltensbasierende Faktoren greifen bestimmte Verhaltensweisen von Menschen auf. Diese können so einzigartig wie ein Fingerabdruck sein. Darunter zählen zum Beispiel das Surfverhalten, unsere Stimme, unsere Bewegungen mit der Maus oder auch Touchscreen-Bewegungen. Letzteres wird bei Smartphones benutzt. Mit Hilfe einer Wischgeste kann das Display entsperrt werden. Denkbar wäre, dass nicht nur das Muster zur Entsperrung beiträgt, sondern auch wie die Bewegung ausgeführt wird – quasi als zweiter Faktor.
Im nächsten Schritt: Schranken errichten
Viele Administratoren gewähren uneingeschränkten Zugang zu allerhand Netzwerken, sobald sich ein Nutzer identifiziert hat. Dem sollte man Einhalt gebieten.
Autorisierung und Zugriffskontrolle: In unserem nächsten Artikel werden wir über die nächsten Schritte im Account-Management diskutieren. Diese Technik ermöglicht es, entsprechende Kontrollen an Ort und Stelle durchzuführen und erlaubt den Benutzern auf benötigte Ressourcen oder Dienste zuzugreifen. Nicht benötigte Dienste werden blockiert, um fahrlässige Schäden durch Datenverlust oder Diebstahl zu vermeiden.