Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

02.03.2015
von: David Hald - sms passcode

Zentrale Unterschiede bei der Multi-Faktor-Authentifizierung

Das Attribut „Designer“ zeigte einmal an, dass man ein Produkt von hoher Qualität erwarb, eines, das von professioneller Hand sorgfältig gestaltet worden war. Das machte Designer-Produkte begehrt, sie standen für Luxus und Langlebigkeit. Heute wird der Begriff fast willkürlich verwendet und der Handel versucht, aus diesem Trend Kapital zu schlagen. Das führt zwar zu so betitelten „Designer“-Produkten, die aber nur minderwertige Qualität haben. So ist die Bezeichnung „Designer“ dann nicht mehr klar und wird nahezu bedeutungslos. Und trotzdem, das Attribut ist weiterhin attraktiv: Der globale Markt für Designer-Handtaschen erwirtschaftete über 1 Milliarde US-Dollar im vergangenen Jahr.

Analog hierzu hat auch der Begriff „Multi-Faktor-Authentifizierung“ nicht für jeden dieselbe Bedeutung. Bei der Suche nach einer geeigneten Sicherheitsstrategie mit Multi-Faktor-Authentifizierung sind Unternehmen gut beraten, nicht einfach einen Einheitsansatz „von der Stange“ einzusetzen, denn auf dem Markt existieren sehr unterschiedliche Lösungen, die je nach Bedürfnis besser oder schlechter zu Ihrem Unternehmen passen. Sicherheit, ein zuverlässiger Zustellungsmechanismus und Bedienkomfort sind alles Faktoren, die das Anwendererlebnis ebenso bestimmen wie den Schutz Ihrer persönlichen Daten.

Was es zu beachten gilt

Bei der Auswahl eines mobilfunkbasierten Ansatzes für die Multi-Faktor-Authentifizierung ist das Maß an Sicherheit das zentrale Kriterium. Deshalb ist es wichtig, bei im Voraus erstellten Passwörtern (pre-issued Passcodes) vorsichtig zu sein. Viele Authentifizierungsplattformen arbeiten, ähnlich wie tokengestützte Technologien, mit solchen auf einer Seed-Datei basierenden pre-issued Passcodes. Derartige Codes sind anfällig für Phishing, Missbrauch oder Diebstahl der Seed-Dateien. Das ist nicht nur theoretisch ein Risiko, und kommt es praktisch vor, müssen Millionen von Hardwaretoken ausgetauscht werden. Ein vor Anmeldung festgelegter Authentifizierungscode kann also gestohlen und für eine andere Anmeldung genutzt werden, denn er ist keiner bestimmten Anmeldesession zugeordnet. Die Sicherheit des Systems kann so maßgeblich gefährdet sein, der Code durch Phishing missbraucht werden.

Ein weiteres Unterscheidungsmerkmal in Bezug auf Sicherheit, welches in die Überlegungen mit einfließen sollte, sind abfrage- und sessionbasierte Modelle.
Abfragebasierte Systeme bieten Organisationen die Grundlage für noch sicherere Remoteanmeldungen ihrer Beschäftigten. Bei diesem Ansatz wird der Code erst generiert, nachdem die Anmeldesession aktiv ist. Statt also auf vorher erstellte Codes zurückzugreifen, wird mit der Erzeugung des Codes gewartet, bis die Sitzung aktiv ist, wodurch das Authentifizierungssystem den Computer erkennt, von dem die Anmeldeanfrage kommt und den dann generierten Code dem Computer zuordnet. Auf diese Weise kann der Code nur mit dem Gerät eingesetzt werden, von dem die Anfrage ursprünglich kam. Falls der Code aus irgendeinem Grund abgefangen wird, ist es also nicht möglich, ihn auf einem anderen Gerät zu verwenden. Dieses Verfahren bietet Schutz gegen noch ausgereiftere Angriffsmethoden.

Der Einsatz einer mobilen Authentifizierungs-App mag hip und cool sein, als Authentifizierungsverfahren verliert die Smartphone-App jedoch schnell ihren ‚Coolness-Faktor‘, sobald Organisationen diese nämlich tatsächlich einsetzen. Zunächst einmal birgt eine erfolgreiche Bereitstellung der App für jeden Anwender einige Probleme und auch die Einhaltung und Sicherstellung, dass jeder stets die aktuelle Version nutzt, ist nicht immer einfach. Setzt eine Organisation auf einen Ansatz, bei dem jeder Anwender die Software bzw. App benötigt, entsteht für diesen eine hohe Abhängigkeit. Die Implementierung ist nur dann erfolgreich, wenn alle Anwender die Software einsetzen und diese stets aktuell ist. Zudem setzt die Technologie voraus, dass jeder Anwender über ein Smartphone verfügt und das ist nicht immer der Fall. Schließlich benötigt die App eine Datenverbindung, um zu funktionieren (außer sie verwendet einen einfachen Softtoken), was unpraktisch und bei Nutzung auf Reisen zudem kostenintensiv sein kann.

Wird eine Sicherheitsplattform mit Multi-Faktor-Authentifizierung implementiert, die für die Zustellung von Einmalpasswörtern (OTP, One-time Passcodes) einen SMS-Dienst nutzt, ist ein weiteres Kriterium die Zuverlässigkeit, mit der die SMS ihren Empfänger rechtzeitig erreicht. Anwender können eine Remoteanmeldung für den Zugriff auf sensible Unternehmensanwendungen schließlich nicht eher durchführen, bevor das OTP eintrifft. Es macht also einen bedeutenden Unterschied, ob die SMS mit dem OTP innerhalb von zehn Sekunden oder zwei Minuten beim Empfänger ankommt. Einige Anbieter von Authentifizierungslösungen behaupten, die SMS-Zustellung sei nicht ausreichend zuverlässig und empfehlen die Nutzung von vorher festgelegten Codes. Dadurch wird wiederum deutlich die Sicherheit reduziert, denn das OTP wird nicht in Echtzeit generiert – die Angelegenheit wird zum Glücksspiel. Das ideale Gleichgewicht bildet daher ein Ansatz, der eine abfrage- und sessionbasierte Anmeldung in Echtzeit bietet und zudem sicherstellt, dass in Echtzeit generierte Passwörter zuverlässig und rechtzeitig ihren Empfänger erreichen.

Weiterhin ist die Anpassungsfähigkeit einer Sicherheitslösung zu beachten. Eine bewährte Methode ist die Nutzung von Kontextdaten wie etwa Anmeldeverhalten, Standort und das eingesetzte Anmeldesystem. Dies bietet Organisationen gravierende Vorteile, denn der Benutzerkomfort wird noch erhöht. Das Modell erlaubt eine Konfiguration der Sicherheitsstufe. Diese wird angepasst je nachdem von wo, wann oder über welches Netzwerk die Anmeldung erfolgt. Meldet sich ein Anwender von einem vertrauenswürdigen Standort aus an (der Ort ist bereits durch frühere Anmeldungen bekannt), wird zur Authentifizierung kein OTP abgefragt. Auf Reisen hingegen, bei Anmeldeversuchen über ein öffentliches WLAN also, ist für den Zugriff die Abfrage eines OTP obligatorisch.

Der schöne Schein des „Designs“ – es ist nicht alles Gold, was glänzt
Nicht alle „Designer“-Produkte sind gleich. Genauso verhält es sich mit Angeboten von Multi-Faktor-Authentifizierungslösungen. Auf dem Markt existieren viele Lösungen mit ganz unterschiedlichen Parametern, die zwischen Erfolg oder Versagen einer Sicherheitsplattform entscheiden. Verfahren mit im Voraus erstellten Passwörtern und Authentifizierungs-Apps sind nicht in der Lage, die benötigte Sicherheit und den gewünschten Bedienkomfort bereitzustellen. OTP müssen ihre Empfänger rechtzeitig erreichen und eine Methode, die eine kontextbasierte Anpassung unterstützt, schafft weiteren Komfort. Wollen Organisationen gegen Sicherheitsbedrohungen gewappnet sein und Benutzerdaten schützen, müssen sie Angebote genau prüfen – überprüfen, was sich jeweils hinter dem Label „Multi-Faktor-Authentifizierung“ verbirgt.


Security-Finder Schweiz: Newsletter