Nutzer-Authentifizierung
Bei der Benutzerauthentifizierung wird die Identität eines Anwenders überprüft, der versucht Zugang zu einem Netz oder einer Ressource zu erhalten. Um die Authentizität des Benutzers zu bestätigten, erfolgt eine Übertragung von Anmeldeinformationen von Mensch zu Maschine.
Die Authentifizierung hilft sicherzustellen, dass nur autorisierte Anwender Zugang zu einem System erhalten. Sie verhindert, dass unbefugte Benutzer Zugang erhalten und möglicherweise Systeme beschädigen, Informationen stehlen oder andere Probleme verursachen. Die Benutzerauthentifizierung wird bei fast allen Mensch-zu-Computer-Interaktionen durchgeführt. Ausnahmen sind Gast- und automatisch angemeldete Konten. Die Authentifizierung autorisiert Mensch-zu-Maschine-Interaktionen in Netzwerken, um den Zugriff auf vernetzte und mit dem Internet verbundene Systeme und Ressourcen zu ermöglichen.
Die Nutzerauthentifizierung besteht üblicherweise aus drei Aufgaben:
- Identifizierung – Die Nutzer müssen nachweisen, wer sie sind.
- Authentifizierung – Die Nutzer müssen nachweisen, dass sie die sind, für die sie sich ausgeben.
- Autorisierung – Die Benutzer müssen nachweisen, dass sie das tun dürfen, was sie tun wollen.
Häufig erfolgt eine Nutzerauthentifizierung relativ einfach, der Anwender muss eine eindeutige Kennung eingeben, etwa seinen Benutzernamen sowie ein Passwort, um Zugang zu einem System zu erhalten. Zunehmend werden jedoch weitere Authentifizierungsfaktoren hinzugefügt, um die Sicherheit der Kommunikation zu verbessern.
Methoden der Nutzerauthentifizierung
Die wichtigsten Authentifizierungsfaktoren sind Wissen, Besitz und Inhärenz:
- Wissensfaktoren umfassen alle Dinge, die ein Benutzer wissen muss, um sich anzumelden. Benutzernamen oder IDs, Kennwörter und PINs fallen alle unter diese Kategorie.
- Besitzfaktoren sind alle jene Dinge, die ein Anwender in seinem Besitz haben muss, um sich anzumelden. Zu dieser Kategorie gehören Einmalpasswort-Token als Schlüsselanhänger, Smartphone-Apps, Mitarbeiterausweise oder Mobiltelefone.
- Zu den Inhärenzfaktoren gehören biometrische Merkmale des Anwenders. Dies Kategorie umfasst alle Bereiche der Biometrie: Retina-Scans, Iris-Scans, Fingerabdrücke, Gesichtserkennung, Stimmerkennung oder auch Handgeometrie.
Weitere Faktoren sind Standort- und Zeitfaktoren, die in der Regel zusammen oder in Verbindung mit einem anderen Authentifizierungsfaktor verwendet werden:
Standortfaktoren sind eine Methode zur Bestätigung der Identität von Benutzern anhand ihres Standorts. Authentifizierungssysteme erreichen dies, indem sie die in den meisten Smartphones eingebaute GPS-Funktion nutzen, um den Standort einer Person zu ermitteln. Alternativ kombinieren sie WLAN- und Mobilfunk-Triangulation, um den Standort zu bestimmen. Üblicherweise wird nicht der Standort allein verwendet, um die Identität zu bestätigen, sondern als ergänzender Faktor. Wenn sich beispielsweise ein Angreifer mit den Login-Daten eines Benutzers anmeldet, kann der Standortfaktor die Authentifizierung unterbinden. Dies wenn sich der Angreifer aus einem anderen geografischen Gebiet für den Benutzer ausgibt und sich der eigentliche Anwender normalerweise nur von einem bestimmten Standort aus anmeldet. Oftmals greift dann auch eine weitere Prüfungsschleife.
Zeitfaktoren fügen zeitbasierte Zugangsmerkmale hinzu, um die Identität zu bestätigen. Ähnlich wie der Standortfaktor ist auch der Zeitfaktor für sich allein nicht ausreichend, kann aber in Verbindung mit einem anderen Faktor hilfreich sein. Wenn beispielsweise ein System einen Benutzer zuletzt um 12 Uhr mittags in Deutschland authentifiziert hat, würde der Versuch, sich eine Stunde später aus den USA anzumelden, aufgrund der Kombination von Zeit und Standort abgelehnt werden. Darüber hinaus kann ein Zeitfaktor auch nur den Zugang innerhalb eines bestimmten Zeitintervalls erlauben.
1-Faktor-Authentifizierung und Multifaktor-Authentifizierung
Eine Single-Faktor-Authentifizierung (SFA) erfordert die Überprüfung einer einzigen Information eines Benutzers, beispielsweise eines Passworts. Da bei der SFA in der Regel Wissensfaktoren zum Einsatz kommen, die nur eine einzige Information erfordern, kann sie einen Angreifer, der das Kennwort des Benutzers gestohlen hat, nicht daran hindern, auf das System des Benutzers zuzugreifen.
Die Multifaktor-Authentifizierung (MFA) verwendet mehr als eine Authentifizierungsmethode, um die Identität des Benutzers zu überprüfen. Bei der 2-Faktor-Authentifizierung (2FA) werden Faktoren aus zwei der Authentifizierungskategorien verwendet, während bei der 4FA (4-Faktor-Authentifizierung) mindestes ein Faktor aus vier Kategorien von Faktoren verwendet wird. Wenn von jedem der vier Faktoren aus allen Kategorien jeweils einer verwendet wird, spricht man von Vier-Faktor-Authentifizierung (4FA). Die Auswahl von vier Authentifizierungsfaktoren aus zwei Kategorien ist hingegen nur eine Zwei-Faktor-Authentifizierung (2FA) und als solche weniger geeignet, die Sicherheit des Verfahrens wesentlich zu erhöhen.
Authentifizierung im Wandel
Die Sicherheit eines Authentifizierungssystems wird durch eine Reihe von Aspekten beeinflusst. Neben der Anzahl der beteiligten Faktoren wirken sich auch die verwendeten spezifischen Technologien und die Art und Weise ihrer Implementierung auf die Zuverlässigkeit aus. Gut durchdachte und angemessen durchgesetzte Implementierungsregeln können dazu beitragen, die Sicherheit der Benutzerauthentifizierung zu gewährleisten.
So sind beispielsweise Passwörter eine der anfälligsten Authentifizierungsmethoden, da Angreifer sie relativ leicht erbeuten, erraten oder knacken können. Um Teile dieser Risiken zu entschärfen, haben viele Organisationen Standards eingeführt, die zumindest voraussetzen, dass starke Passwörter verwendet werden.
Die Allgegenwart von mobilen Geräten und Cloud Computing hat die Art und Weise, wie Unternehmen ihre Authentifizierung implementieren, beeinflusst. In der Vergangenheit mag vielerorts ein Passwortgestütztes Authentifizierungssystem ausgereicht haben, um Netzwerke zu schützen. Das gestiegene Risiko von Datenschutzverletzungen hat Unternehmen jedoch veranlasst, ihre Authentifizierungsstrategien neu zu bewerten. Moderne Ansätze sollten mehr als nur einen Faktor umfassen, um ein Mindestmaß an Sicherheit zu gewährleisten.
Es ist allerdings ebenfalls entscheidend, die Anwender nicht mit schwierigen Authentifizierungsroutinen zu überfordern, was zu einer Nichteinhaltung führen kann, die den eigentlichen Zweck untergräbt. Multifaktor-Authentifizierung (MFA) mit automatischen Prozessen kann die Sicherheit erhöhen und gleichzeitig den Aufwand für den Benutzer minimieren.