Authentisierung

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Fingerprint

Der Artikel behandelt verschiedene Authentisierungsmethoden, darunter Passwörter, Zertifikate, Token und biometrische Verfahren, und betont die Notwendigkeit sicherer Praktiken zur Verbesserung der IT-Sicherheit.

Einleitung

Die Begriffe Authentisierung, Authentifizierung und Autorisierung werden oft verwechselt oder synonym verwendet. Es sind jedoch klar definierte, aufeinander folgende Schritte:

  1. Mit der Authentisierung erbringt ein Benutzer oder System den Nachweis einer bestimmten Identität, die im nächsten Schritt vom Zielsystem verifiziert und bestätigt werden kann.
  2. Mit der Authentifizierung überprüft das Zielsystem oder eine vertrauenswürdige Instanz die Identität des Benutzers oder des Systems an Hand bestimmter Merkmale oder Eigenschaften.
  3. Mit der Autorisierung werden dem Benutzer oder System die eigentlichen Zugriffsberechtigungen auf das Zielsystem erteilt.

Dieser Artikel beschäftigt sich hauptsächlich mit dem ersten Schritt, der sicheren Authentisierung.

Begriffsklärung

Begriff Defnition
Authentisierung Ein Nachweis einer bestimmten Identität, die vom System zu verifiziert und bestätigt werden kann. Nachweis über die Echtheit elektronischer Daten (auch Integrität) und die eindeutige Zuordnung zum Verfasser, Ersteller und/oder Absender.
Authentifizierung Die Authentifizierung bezeichnet den Vorgang, die Identität einer Person oder eines Rechnersystems an Hand eines bestimmten Merkmals zu überprüfen.
Autorisierung Bei einer Autorisierung wird geprüft, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist.
Zugriff Zugriff bezeichnet den Zugriff auf (die Nutzung von) Informationen bzw. Daten.
Zutritt Zutritt bezeichnet das Betreten von abgegrenzten Bereichen wie z. B. Gebäude oder Räumen.
Zugang Mit Zugang wird die Nutzung von Ressourcen wie IT-Systemen, System-Komponenten und Netzen bezeichnet um darüber dann ggf. Zugriff auf Informationen oder Daten zu bekommen.

Authentisierungsmethoden

Passworte

Die weit verbreitete Vorgabe, Benutzer müssen sich ein hinreichend langes und komplexes Passwort ausdenken und dieses regelmäßig ändern (das sei ja schließlich zumutbar) hat sich in der Praxis als untauglich erwiesen.

Passworte sind zwar nach wie vor weit verbreitet, stellen aber inzwischen keine adäquate Authentisierungsmethode mehr dar.

Begründung:

Im typischen Unternehmensumfeld benötigt der Benutzer zahlreiche Passwörter, hinzu kommen noch weitere aus dem privaten Umfeld.

Der Benutzer muss sich ein umfangreiches Set an Passwörtern merken. Diese müssen so gebildet werden, dass Sie alle unterschiedlich, alle kryptisch komplex und alle zusammen noch irgendwie zu merken sind. Und diese müssen dann auch noch regelmäßig geändert werden, wobei Wiederholungen zu vermeiden sind. Insgesamt also eine kaum zu leistende Anforderung.

Also reagieren Benutzer häufig mit mindestens einer der ihnen zur Verfügung stehenden Methoden:

  • Passwörter werden aufgeschrieben oder in unsicheren Umgebungen (z.B. Excel Tabelle, Smartphone,..) gespeichert.
  • Für möglichst viele Anwendungen wird dasselbe Passwort verwendet.
  • Komplexitätsanforderungen und Änderungszyklen werden durch vereinfachte Passwortsysteme (z.B. Anwendungsname - Monat - Jahr) umgangen.

Dieses kann in Summe zu wesentlich unsichereren Passwörtern führen, als der Benutzer Sie hätte, wenn es diese typischen Passwortanforderungen nicht gäbe.

Des Weiteren gibt es inzwischen viel differenzierte Angriffe auf Passwörter die mit Komplexität und Länge allein nicht zu beherrschen sind:

  • Social Engineering und Phishing.
  • Abhören von Übertragungswegen, Mitfilmen der Passworteingabe.
  • Installation von Keyloggern.
  • Einbruch in IT-Systeme und Abfluss von schlecht gesicherten Datenbanken mit Logindaten.

Es zeigt sich also, dass es eine ganze Reihe von Anforderungen an die Passwortsicherheit gibt, die nicht den Benutzer, sondern den Betreiber eines Dienstes oder einer Anwendungen betreffen.

Auch für die Betreiber zum Beispiel von Webservern muss es also neue, verschärfte Richtlinien zum Umfang mit Passworten geben, wenn sich der immer wieder auftretende massenhafte Passwortdiebstahl, wie er häufig in der Presse zu lesen ist, nicht laufend wiederholen soll.

Passwort Komplexität

Ein Grund für die Verwendung immer längerer und komplexerer Passworte ist die Tatsache, dass die verfügbare Rechenkapazität stetig steigt und selbst komplexe Brute-Force-Angriffe damit immer leichter und schneller zum Erfolg führen.

Für den Benutzer hingegen werden komplexe Passworte immer schwieriger zu beherrschen, was seinerseits die o.g. Risiken birgt.

Immer wieder die Länge und Komplexität von Passwörtern zu erhöhen stellt also keine Lösung dar.

Starke Passwörter helfen fast ausschließlich gegen Brute-Force-Angriffe. Diese kann man jedoch wirkungsvoller über Alarmierungen, temporäre Kontosperrungen oder Eingabeverzögerung (Throttling) bei Fehleingaben verhindern.

Regelmäßiges Ändern von Passwörtern

Die meisten gestohlenen Passwörter werden sofort oder zumindest zeitnah missbraucht, wogegen ein regelmäßiges Ändern alle paar Wochen oder Monate nur unzureichend hilft.

Die Pflicht zur häufigen Passwortänderung führt eher zu berechenbaren, schematischen Passwortänderungen (z.B. durch anhängen einer fortlaufenden Nummer). Die Wahrscheinlichkeit, dass ein Angreifer das geänderte Passwort mit wenigen Versuchen ebenfalls erraten kann, steig also mit der Häufigkeit der erforderlichen Änderung.

Andererseits werden die meisten Einbrüche in IT-Systeme monatelang nicht entdeckt, einige sogar nie.
Hier helfen zwar regelmäßige Passwortänderungen zumindest langfristigen Missbrauch zu verhindern, wirksamer ist es jedoch, Mechanismen zu etablieren die Missbrauch frühzeitig erkennen, z.B. durch die Einbindung von Prüffaktoren beim Login wie Zeit, Ort, Anwesenheit oder eine Zwei-Faktor-Authentisierung.

Klassische Passwortregeln

Da Passworte trotz der o.g. Einschränkungen immer noch das am meisten verwendete Authentisierungsmittel sind, folgen hier ein paar gängige Empfehlungen für Passwortregeln.

Länge von Passwörtern

Eine von Microsoft durchgeführte Studie zeigte, dass Richtlinien, die längere Passworte erzwingen, die Benutzer z.B. zu Wortwieder­holungen oder berechenbaren Passworten verführten, um sich die Passwörter leichter merken zu können.

Eine Erhöhung der erzwungenen Passwortlänge führt also nur dann zu mehr Sicherheit, wenn diese automatisch generiert werden und in sicheren Passwort-Safes aufbewahrt werden. Es ist daher nur bei wenig verwendeten und besonders schützenswerten Systemkonten sinnvoll.

Empfehlung: Die Länge von Passwörtern für Benutzerkonten sollte mindestens acht Zeichen betragen.

Als besonders sicher gelten Passworte ab 20 Zeichen, aufgrund der o.g. Unwägbarkeit "Mensch" sollte diese Länge jedoch nur für besondere Fälle oder für nicht menschliche Systemkonten genutzt werden.

Komplexität von Passwörtern

Entgegen allgemeiner Meinungen erhöht die Anforderung komplexer Passworte nicht deren Sicherheit. Studien zufolge veranlasst sie die Benutzer zu einem berechenbaren Verhalten, so werden z.B. (wie in vielen Ratgebern empfohlen) regelmäßig nur bestimmte Buchstaben durch Ziffern oder Zeichen ersetzten (a => @, S => $, I => 1, O => 0, ...).

Großbuchstaben werden meistens am Anfang und Sonderzeichen wie ,.-!?+# häufig nur am Ende verwendet. Angreifer wissen das inzwischen und berücksichtigen diese Verhaltensweisen in Wörterbuch-Angriffen.

Daher ist die Forderung einer gewisse Komplexität sicher sinnvoll, es sollte jedoch auf zwei oder drei Zeichengruppen beschränkt bleiben, idealerwiese mit dem Hinweis Großbuchstaben nicht nur am Anfang zu verwenden und Sonderzeichen auch außerhalb der genannten Schemen einzusetzen.

Lebensdauer von Passwörtern

Wenn ein Angreifer an das Passwort eines Benutzers gelan­gt ist, wird er dieses i.d.R. auch zeitnah ausnutzen. Das zyklische Ändern des Passworts kommt daher meist ohnehin zu spät.

Die Pflicht zur häufigen Passwortänderung führt oft zu berechenbarer Passwortänderungen (z.B. durch anhängen einer fortlaufenden Nummer). Die Wahrscheinlichkeit, dass ein Angreifer das geänderte Passwort mit wenigen Versuchen ebenfalls erraten kann steig also mit der Häufigkeit der erforderlichen Änderung.

Passwörter sollten in der Regel höchstens einmal am Tag geändert werden können, um zu verhindern, dass durch wiederholte Passwortänderung die Änderung umgangen werden kann.

Empfehlung: Passwortänderung als "sollte"-Anforderung ohne Zwang oder ein Änderungsintervall nicht kürzer als alle 180 Tage, maximal jedoch einmal täglich. Dazu sollten zusätzliche Maßnahmen zur Missbrauchserkennung eingeführt werden.

Für Passwörter von Benutzerkonten mit besonderen Rechten (z.B. Systemadministration oder Anwendungen mit sensiblen Daten) ist ein zweiter Faktor oder ggf. kürzere Intervalle (z.B. alle 90 Tage) zu empfehlen.

Übermittlung von Passwörtern

Bei der initialen Übermittlung von Passwörtern, muss sichergestellt werden, dass eine Kenntnisnahme Dritter ausgeschlossen ist. Z.B. durch Maßnahmen wie:

  • Persönliche (mündliche) Übergabe (wenn keine dritte Person anwesend ist).
  • Schriftlich in einem verschlossenem Umschlag, dessen Unverfälschtheit und Unversehrtheit nachprüfbar ist (z.B. versiegelt, persönlichen Boten, Unterschrift des Absenders auf dem Umschlag).
  • Per Telefon (nur wenn die Person zuvor sicher anhand ihrer Stimme oder mit Hilfe von Prüffragen identifiziert werden kann).
  • Elektronische in vernetzten Systemen, wenn die Übertragung verschlüsselt erfolgen kann.

Alternative Lösungsansätze

Hier ein paar alternative Ansätze die Sicherheit zu erhöhen, statt einfach nur Passwortlänge und -komplexität zu vergrößern:

  • Verzögerung und/oder Kontosperrung bei mehrfachen fehlerhaften Passworteingaben.
  • Blacklisten für Trivialpassworte.
  • Deaktivierung von nicht benötigten Accounts (auch z.B. in Urlaub, Krankheit, längere Abwesenheit). Diese könnte bei planmäßiger Abwesenheit ggf. automatisiert oder durch den Benutzer selbst erfolgen.
  • Plausibilitätsprüfungen für erfolgreiche Logins (z.B. anhand von Zeit, Ort, Anwesenheit) um missbräuchliche Logins zu erkennen (z.B. Verknüpfung mit der Zeiterfassung, der Benutzer kann sich nur einloggen wenn er „eingestempelt“ ist).
  • Sichere Speicherung von Logindaten auf wenigen gut geschützten Systemen.
  • Vermeidung der Speicherung und Übertragung von Passworten (z.B. Nutzung von Hashwerten)
  • Hohe Verschlüsselung von Datenbanken die Passworte enthalten (das gilt auch für Frage-/Antwortpaare zur Passworterinnerung oder -zurücksetzung).
  • Anweisung zur Trennung von privaten und beruflichen Passworten.
  • Für Systeme mit hohen Schutzbedarf, Vermeidung gleicher Passworte für mehrere Systeme.

Zertifikate

Die Authentifizierung mit Zertifikaten ist ein Prozess, bei dem die Identität einer Person oder eines Geräts durch ein digitales Zertifikat bestätigt wird. Hier ist der grundlegende Ablauf:

  1. Zertifikatsaussteller: Ein Zertifikatsaussteller (CA) ist eine vertrauenswürdige Organisation, die digitale Zertifikate ausstellt. Diese Organisation prüft die Identität des Antragstellers, bevor sie ein Zertifikat ausstellt.
  2. Zertifikaterstellung: Der Antragsteller erstellt eine Anfrage für ein Zertifikat, die seine Identität und andere relevante Informationen enthält. Die Anfrage wird an den Zertifikatsaussteller gesendet und von diesem überprüft.
  3. Zertifikatvergabe: Wenn die Identität des Antragstellers erfolgreich verifiziert wurde, erstellt der Zertifikatsaussteller ein digitales Zertifikat, das die Identität des Antragstellers bestätigt.
  4. Zertifikatverteilung: Das Zertifikat wird nun an den Antragsteller verteilt, der es auf seinem Gerät oder in seiner Anwendung speichert.
  5. Authentifizierung: Wenn der Antragsteller eine Verbindung zu einem anderen Gerät oder einer Anwendung herstellen möchte, sendet er sein Zertifikat an das Gegenstück. Das Gegenstück überprüft das Zertifikat, um sicherzustellen, dass es von einem vertrauenswürdigen Zertifikatsaussteller ausgestellt wurde und dass die Identität des Antragstellers korrekt ist. Wenn die Überprüfung erfolgreich ist, wird die Verbindung hergestellt und der Antragsteller authentifiziert.

Es gibt verschiedene Arten von Zertifikaten, wie z.B. X.509 Zertifikaten, die von PKI (Public Key Infrastructure) verwendet werden und die Identität durch ein digitales Zertifikat und einen öffentlichen Schlüssel bestätigt.

Token

Die Authentifizierung mit Token ist ein Prozess, bei dem ein Token, auch bekannt als ein sogenannter Sicherheitstoken, verwendet wird, um die Identität einer Person oder eines Geräts zu bestätigen. Hier ist der grundlegende Ablauf:

  1. Token-Erstellung: Ein Token-Ersteller, wie z.B. ein Authentifizierungsserver, erstellt einen Token, der eine eindeutige ID enthält. Dieser Token wird an den Antragsteller gesendet, z.B. per SMS oder per E-Mail.
  2. Token-Übertragung: Der Antragsteller gibt seine Anmeldeinformationen (z.B. Benutzername und Passwort) ein, um auf eine Anwendung oder ein Gerät zugreifen zu können. Zusätzlich gibt er den Token ein, den er erhalten hat.
  3. Token-Überprüfung: Der Empfänger, z.B. die Anwendung oder das Gerät, überprüft den Token, indem er ihn mit einem gespeicherten Token vergleicht. Wenn der Token gültig ist, wird die Identität des Antragstellers bestätigt.
  4. Token-Verwendung: Wenn die Identität des Antragstellers erfolgreich bestätigt wurde, erhält er Zugang zu der Anwendung oder dem Gerät. Der Token kann nur einmal verwendet werden und verfällt danach automatisch.

Es gibt verschiedene Arten von Token, wie z.B. Zeitbasierte Token (TOTP) und Einmalpasswort Token (HOTP), die auf unterschiedliche Weise generiert werden und unterschiedliche Sicherheitsmerkmale aufweisen. Einige Token sind auch fälschungssicher und können nur durch den Empfänger verifiziert werden.

Biometrie

Die Authentifizierung mit Biometrie ist ein Prozess, bei dem die biometrischen Merkmale einer Person, wie z.B. Fingerabdruck, Gesicht, Iris oder Stimme, verwendet werden, um die Identität einer Person zu bestätigen. Hier ist der grundlegende Ablauf:

  1. Biometrische Datenaufnahme: Ein biometrisches Erfassungsgerät, wie z.B. ein Fingerabdruckscanner oder eine Kamera, wird verwendet, um die biometrischen Merkmale einer Person aufzunehmen. Diese Daten werden dann in ein digitales Format umgewandelt.
  2. Biometrische Datenspeicherung: Die digitalen biometrischen Daten werden gespeichert und mit der Identität der Person verknüpft. Dies kann in einer lokalen Datenbank oder in einer Cloud erfolgen.
  3. Biometrische Datenüberprüfung: Wenn eine Person Zugang zu einer Anwendung oder einem Gerät anfordert, werden die biometrischen Daten, die sie bereitstellt, mit den gespeicherten Daten verglichen, um ihre Identität zu bestätigen.
  4. Biometrische Datenvergleich: Der Vergleich erfolgt durch Verwendung von Algorithmen, die auf Muster-Erkennung und Vergleichstechniken aufbauen. Wenn die überprüfenden Daten mit den gespeicherten Daten übereinstimmen, wird die Identität der Person bestätigt.
  5. Zugangserteilung: Wenn die Identität erfolgreich bestätigt wurde, erhält die Person Zugang zu der Anwendung oder dem Gerät.

Es gibt verschiedene Arten von biometrischen Authentifizierungstechnologien, die unterschiedliche biometrische Merkmale verwenden, darunter:

  • Fingerabdruckscanner: Verwendet das Muster der Fingerabdrücke einer Person, um die Identität zu bestätigen.
  • Gesichtserkennung: Verwendet das Muster von Gesichtsmerkmalen einer Person, wie z.B. die Augen, Nase, Mund und Wangen, um die Identität zu bestätigen.
  • Iriserkennung: Verwendet das Muster der Iris einer Person, um die Identität zu bestätigen.
  • Stimmenerkennung: Verwendet die Stimme einer Person, um die Identität zu bestätigen.
  • Handgeometrie: Verwendet die Form der Hand einer Person, um die Identität zu bestätigen.
  • Signaturerkennung: Verwendet die Art und Weise, wie eine Person unterschreibt, um die Identität zu bestätigen.
  • Vein Recognition: Verwendet das Muster von Blutgefäßen in der Hand einer Person, um die Identität zu bestätigen.
  • Behavioral Biometrics: Verwendet die Art und Weise, wie eine Person ein Gerät verwendet, um die Identität zu bestätigen.

Es gibt auch Kombinationen von Biometrie, wie z.B. die Kombination von Fingerabdruck und Gesichtserkennung, die sich gegenseitig ergänzen und die Sicherheit erhöhen können.