Starke Authentifizierung: Definition und Sicherheitsfaktoren

Starke Authentifizierung ermöglicht es Ihnen, die Identität eines Nutzers zuverlässig zu bestätigen, wenn Passwörter nicht ausreichen.

Die meisten Unternehmen verlangen einen robusten Nachweis der Identität, bevor sie den Zugriff auf digitale Assets gestatten. Sie könnten Ihre Nutzer zum Beispiel bitten, ein Passwort einzugeben oder ein kurzes Quiz zu beantworten, bevor Sie die Tor öffnen. Jedes Verfahren, das Sie dafür nutzen, ist ein Schritt zur Authentifizierung.

Starke Authentifizierungsverfahren stellen die Sicherheit an erste Stelle. Statt es Anwendern so einfach wie möglich zu machen, sich durch Ihre Systeme zu bewegen und auf Ressourcen zuzugreifen, fügen Sie ein paar zusätzliche Hürden ein. So können Sie sicherstellen, dass Ihre Nutzer die sind, für die sie sich ausgeben – und dass sie nur auf das zugreifen, was Sie teilen möchten. 

Was versteht man unter starker Authentifizierung?

Die Kombination Benutzername/Passwort ist seit Jahrzehnten der Standard-Authentifizierungsmechanismus. Auch starke Authentifizierungsverfahren bauen darauf auf.

Starke Authentifizierungsverfahren kombinieren aber in der Regel mindestens zwei unabhängige Faktoren, um die Identität und den Zugang einer Person zu bestätigen. Auch wenn eines der beiden Systeme kompromittiert wird, bleibt das andere intakt. Die Systeme sind also weiterhin geschützt. Und weil kein Element ein zweites Mal verwendet wird, ist ein Diebstahl praktisch unmöglich.

Strong Authentication

Dürfen wir Ihnen ein einfacheres Verfahren zur starken Authentifizierung mit einem einmaligen SMS-Passwort (One-time Passcode, OTP) vorstellen:

  • Schritt 1: Passwort
    Der Anwender erstellt und merkt sich eine Zeichenfolge aus Zahlen und Buchstaben, die für den Zugang zum System verwendet wird. 
  • Schritt 2: Besitz
    Nach der Eingabe des richtigen Passworts wird eine sekundäre Zeichenfolge aus Buchstaben und Zahlen an das registrierte Smartphone des Nutzers gesendet. 
  • Schritt 3: Zugriff
    Nach Eingabe der sekundären Zeichenfolge erhält der Nutzer Zugriff auf das System.

Der Log-In mit diesem Verfahren dauert länger und erfordert einige zusätzliche Schritte. Allerdings leben wir in einer Welt, in der Apps vertrauliche, personenbezogene Informationen enthalten, die es zu schützen gilt.

Passwörter allein reichen dafür nicht aus – der einzige Schutz, der den unbefugten Zugriff auf unsere Daten verhindert, wäre dann eine Folge eingegebener Zeichen. Die Threats von heute erfordern robustere Schutzmaßnahmen.

Welchen Risiken sind wir ausgesetzt?

Manche Unternehmen nutzen starke Authentifizierungsverfahren, um den Login zu verifizieren. Andere verlassen sich auf risikobasierte Authentifizierungsverfahren, um verdächtige Login-Anfragen besonders streng zu verifizieren.

Dabei prüft das System während einer Login-Anfrage folgendes:

  • Standort. Von wo aus wird die Anfrage gesendet? 
  • Zeitstempel. Wann sendet der Nutzer eine Login-Anfrage?
  • Häufigkeit. Wie oft hat der Nutzer bereits eine Login-Anfrage gesendet?

All diese Fragen können auf potenzielle Risiken hinweisen. So kann ein Unternehmen beispielsweise feststellen, dass zu einer ungewöhnlichen Tageszeit multiple Login-Anfragen aus dem Ausland gesendet wurden. Oder das System erkennt multiple Requests von jemand, der sich immer zur gleichen Zeit von diesem Ort aus anmelden möchte.

Wird ein solches Risiko identifiziert, kann das System zusätzliche Authentifizierungsfaktoren anfordern, beispielsweise neue Passwörter oder die Überprüfung biometrischer Daten. Wird kein Risiko erkannt, kann der Nutzer ohne weitere Störung mit dem Login fortfahren.

Lohnt sich eine starke Authentifizierung?

Wahrscheinlich gehen Sie davon aus, dass Ihre Daten bereits gut geschützt sind, oder dass Ihr Unternehmen alle erforderlichen Maßnahmen implementiert hat, um unautorisierte Zugriffe zu verhindern. Tatsächlich droht Ihren Daten aber nach wie vor von vielen Seiten Gefahr. Und manchmal stehen Unternehmen in der Pflicht, nachzuweisen, dass sie starke Authentifizierungsverfahren einsetzen.

Die FIDO Alliance setzt sich für universelle, starke Authentifizierungsverfahren ein und präsentiert erstaunliche Statistiken, um Wichtigkeit der Einhaltung zu unterstreichen:

  • Passwortmissbrauch ist die Ursache für mehr als 80 % aller Data Breaches.
  • 51 % aller Passwörter werden wiederverwendet.

Ein Data Breach kann zu Umsatzeinbußen führen, und Sie das Vertrauen und den Respekt Ihrer Kunden kosten. Wenn sich Ihre Kunden nicht sicher sind, dass Sie ihre Daten sorgsam schützen, warden sie womöglich zu ihren Wettbewerbern wechseln.

Arbeiten Sie im Finanzsektor oder akzeptieren Zahlungen von Personen aus der Europäischen Union, ist die starke Authentifizierung sogar verpflichtend vorgeschrieben. Die Bestimmungen zur starken Kundenauthentifizierung (Strong Customer Authentication, SCA) sind seit 2019 in Kraft und fordern starke Verifizierungen für In-App-Zahlungen im Europäischen Wirtschaftsraum (EWR).

7 Arten starker Authentifizierung

Sie können aus einer Vielzahl von Optionen wählen. Aber Faktor ist nicht gleich Faktor. Verschiedene Faktoren bieten einen unterschiedlichen Grad an Sicherheit und Bedienkomfort.

Hier sind die meistgenutzten sekundären Faktoren:

  1. Sicherheitsfragen: Sicherheitsfragen werden traditionell zum Zurücksetzen von Passwörtern verwendet. Aber es spricht nichts dagegen, sie als zusätzlichen Authentifizierungsfaktor zu verwenden.

    Sie sind leicht einzurichten, können aber auch einfach gehackt oder gestohlen werden.
     

  2. Einmalpasswort (One-Time Password, OTP): OTP´s sind sicherer als Sicherheitsfragen, da sie eine sekundäre Athentifizierungskategorie verwenden. Der Nutzer muss zusätzlich zu seinem bekannten Passwort auch über ein entsprechendes Gerät (Mobiltelefon oder Tablet) verfügen.

    Verfizierungscodes oder OTP´s per SMS zu versenden, ist eine weitere gute Option, auch wenn traditionelle OTP´s in der Vergangenheit bereits abgefangen und kompromittiert wurden. 
     

  3. App-generierte Codes: Software-basierte OTP verwenden den gleichen Algorithmus wie zeitbasierte Einmalpasswörter (Time-Based One-Time Password Algorithm, TOTP), der über die App eines Drittanbieters bereitgestellt wird.

    App-generierte OTP´s sind auf maximale Sicherheit ausgelegt. Allerdings sind potenzielle Angriffe auf Smartphones ein möglicher Nachteil.
     

  4. Dedizierte Authentifizierungs-Apps: Statt dem Nutzer ein OTP zur Verfügung zu stellen, müssen die Anwender ihre Identität durch Interaktion mit der App auf ihrem Smartphone verifizieren, wie dies etwa bei unserer App „Verify by Push“ der Fall ist.

    Das Authentifizierungstoken wird dann direkt an den Dienst gesendet, was die Sicherheit zusätzlich erhöht, weil kein vom Nutzer eingegebenes OTP mehr erforderlich ist. 
     

  5. Physische Authentifizierungsschlüssel: Dieses Authentifizierungsverfahren ist durch einen asymmetrischen Verschlüsselungsalgorithmus geschützt, bei dem private Schlüssel dauerhaft auf dem Mobilgerät gespeichert wird. Beispiele hierfür sind USB-Geräte, die nach Aufforderung eingesteckt werden, oder Smartcards, die der Nutzer einliest.

    U2F ist ein Standard, der von der FIDO Alliance gepflegt und von Chrome, Firefox und Opera unterstützt wird.
     

  6. Biometrische Daten: Die Authentifizierung wird durch etwas geschützt, das Sie sind – nicht nur durch etwas, das Sie wissen oder haben. Biometrische Daten sind zwar schwer zu hacken. Allerdings ist keine Methode perfekt – und auch der Einsatz von Biometrie birgt Herausforderungen und Probleme, nicht zuletzt im Datenschutz.

    Wie Passwörter müssen auch biometrische Daten in einer Datenbank gespeichert werden, die von Hackern kompromittiert werden könnte. Im Gegensatz zu einem Passwort können Sie Ihren Fingerabdruck, Ihre Iris oder Ihre Netzhaut nicht mehr ändern, sobald dies geschehen ist. Hinzu kommt, dass die Implementierung dieses MFA-Faktors Investitionen in spezielle biometrische Hardware erfordert. 
     

  7. Kryptographisches Challenge-Response-Protokoll: Hierbei sendet eine Datenbank eine Challenge an eine andere Datenbank, und der Empfänger muss die entsprechende Antwort bereitstellen. Die gesamte Kommunikation wird während der Übertragung verschlüsselt, so dass sie nicht gehackt oder manipuliert werden kann. Diese Systeme wirken auf den ersten Blick sehr kompliziert, aber in Wirklichkeit schließen Absender und Empfänger die Kommunikation innerhalb von Sekunden ab.

Alle hier vorgestellten Verfahren könnten für Sie und Ihr Unternehmen geeignet sein. Ziehen Sie dabei auch in Betracht, mehrere Verfahren zu kombinieren. 

Okta hilft Ihnen gerne weiter 

Es ist nicht immer einfach, das richtige starke Authentifizierungsverfahren zu finden und sicherzustellen, dass es die Sicherheit bietet, die Ihr Unternehmen benötigt. Wir können Ihnen dabei helfen.

Aufsetzend auf unsere jahrelange Erfahrung unterstützen wir Unternehmen bei der Implementierung der am besten geeigneten Authentifizierungsverfahren. Kontaktieren Sie uns, um mehr zu erfahren.

Referenzen

What Is FIDO? The FIDO Alliance.

Strong Customer Authentication. (August 2019). Financial Conduit Authority.

Challenge Response Authentication Protocol. (November 2018). Medium.

Ressourcen für die starke Athentifizierung

Webinar

Starke Authentifizierung im gesamten Unternehmen

In diesem Webinar erfahren Sie, wie Sie eine moderne Sicherheitslösung mit starker Authentifizierung implementieren können.

Partner

Okta + Yubico

Erfahren Sie, wie Sie mit Yubico & Okta starke Authentifizierungsverfahren in Ihrem Unternehmen implementieren.

Webinar

Identity-basierte Security und starke Authentifizierung

In diesem Webinar erfahren Sie, wie Sie Identität als Grundlage moderner Security-Konzepte nutzen und welche starken Authentifizierungslösungen Sie verwenden sollten.

Okta kostenlos testen

Ein anspruchsvolles, professionelles Identity Management von Okta einzurichten, nimmt weniger als 30 Minuten in Anspruch
Verbessern Sie das Security-Standing Ihres Unternehmens und testen Sie Adaptive MFA von Okta 30 Tage lang kostenlos.