sp3n - stock.adobe.com
Passwortlose Multifaktor-Authentifizierung erhöht Sicherheit
Lösungen zur Multifaktor-Authentifizierung versprechen hohe Sicherheit. Da sie in aller Regel aber auch auf Passwörtern und Shared Secrets basieren, sind sie mit Risiken behaftet.
Die Authentifizierung basiert traditionell auf Passwörtern, PINs, SMS-OTPs (One-Time Passwords) oder 2-Faktor-Codes. Solche Methoden bieten nur eine minimale Sicherheit. Gleichzeitig beeinträchtigen sie den Benutzerkomfort. Klar ist auch, dass vor allem der gängige PC-Login mit Benutzername und Passwort unsicher ist. Gestohlene, ausgespähte oder zu schwache Passwörter zählen zu den größten Sicherheitsbedrohungen für Unternehmen.
Im Trend liegen deshalb Lösungen im Bereich MFA (Multifaktor-Authentifizierung), die deutlich mehr Sicherheit bieten als die Nutzung eines einzelnen statischen Passworts. Dabei werden für die zweifelsfreie Bestimmung der Identität des Benutzers mehrere Faktoren verwendet. So wird zum Beispiel der Faktor „Wissen“ (Passwort oder PIN) um den Faktor „Besitz“ (Smartphone, Smartcard oder Authentifizierungs-Token) erweitert. Eine immer größere Rolle spielen auch die Faktoren „Eigenschaft“ (Biometrie) oder „Verhalten“.
Vor allem biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung versprechen eine hohe Sicherheit und Benutzerfreundlichkeit. Dabei ist allerdings Vorsicht geboten, vor allem hinsichtlich des Speicherorts für einzigartige physische Merkmale einzelner Personen. Weder die Speicherung der Daten wie bei Windows und macOS auf dem Rechner selbst noch in Cloud-Umgebungen – etwa bei Anbietern von Authentifizierungslösungen – sollten aus Sicherheitserwägungen und Datenschutzgründen in Betracht kommen.
Zweifellos steht fest, dass eine MFA ein höheres Schutzniveau als eine Anmeldung nur mit Nutzername und Passwort bietet. Zwei Fragen sind dabei jedoch zu stellen: Handelt es sich um eine echte Passwortlosigkeit und ist eine echte MFA vorhanden?
Echte Passwortlosigkeit braucht kein Passwort
Die meisten Multifaktor-Authentifizierungslösungen basieren ebenfalls auf Kennwörtern und Shared Secrets, die zentral in einer Datenbank gespeichert und damit anfällig für einen Hackerangriff sind. Eine echte Passwortlosigkeit ist aber nur dann gegeben, wenn auch im Backend keine Kennwörter oder PINs vorhanden sind. Hier kommen vor allem Lösungen ins Spiel, die auf einem Public-Key-Verschlüsselungsverfahren basieren. Passwörter werden dabei durch sichere kryptografische, asymmetrische Schlüsselpaare ersetzt. Damit sind Hackerangriffe nur noch auf einzelne Personen und Geräte denkbar, nicht aber auf eine Datenbank mit zahlreichen Anmeldeinformationen.
Solche Lösungen für die passwortlose Anmeldung sind schon seit Langem verfügbar. Mittels Smartcards und Public-Key-Kryptografie können sich Anwender an PC-Systemen sicher authentifizieren. Da dafür spezifische Endgeräte mit adäquaten Kartenlesern erforderlich sind, wird dieses Verfahren in den wenigsten Unternehmen genutzt. Inzwischen können aber dank neuer Technologien und Standards auch Smartphones als Smartcard genutzt werden.
„Eine echte Passwortlosigkeit ist nur dann gegeben, wenn auch im Backend keine Kennwörter oder PINs vorhanden sind.“
Jochen Koehler, HYPR
Wie bei Smartcards auch basiert eine Smartphone-Lösung für die passwortlose Anmeldung auf einem Public-Key-Verschlüsselungsverfahren mit privaten Schlüsseln, die auf dem mobilen Gerät des jeweiligen Benutzers sicher gespeichert sind, und öffentlichen Schlüsseln, die auf einem passwortlosen Authentifizierungsserver abgelegt werden.
Die Registrierung eines neuen Users und Gerätes kann mit diesem Lösungsmodell in kurzer Zeit durchgeführt werden. Für die autorisierten Mitarbeiter startet dann die Authentifizierung in Sekunden am Anfang des PC-Logins. Damit ist auch ein Schutz vor potenziellen Angriffen zum frühestmöglichen Zeitpunkt gewährleistet. Werden offene Standards und gängige Protokolle unterstützt, kann ein Anwender dann zusätzlich erforderliche Authentifizierungen im Netzwerk ebenfalls gänzlich passwortlos durchführen, etwa bei der Nutzung von VPNs (Virtual Private Networks), SSO-Verfahren (Single Sign-On) und Remote-Desktop-Verbindungen.
Smartphone als ideales Out-of-Band-Gerät
Zweitens wird vielfach von MFA gesprochen, wenn sich der Anwender bei seinem eigenen Rechner mit Gesichtserkennung authentifiziert. Streng genommen handelt es sich dabei nicht um eine Zwei-Faktor-Authentifizierung, da nur ein einziges Gerät genutzt wird. Die Lösung für diese Problematik lautet Out-of-Band-Authentifizierung. Damit wird eine Form der Multifaktor-Authentifizierung bezeichnet, bei der für die Verifizierung unterschiedliche Kommunikationskanäle genutzt werden, das heißt eine weitere Authentifizierungskomponente. Wenn ein anderes Gerät als der PC – etwa das Smartphone – für die Authentifizierung eingesetzt wird, ist ein deutliches Sicherheitsplus vorhanden.
Darüber hinaus ist der Smartphone-Einsatz auch eine Lösung für die problematische Speicherung sensibler biometrischer Daten. Hierfür werden weder Firmenrechner noch Cloud genutzt, sondern lediglich die in den Smartphones ohnehin integrierte Technik, also die vorhandenen biometrischen Funktionen. Folglich bleiben die biometrischen Daten geschützt vor einem externen Zugriff. Und es gibt einen positiven Nebeneffekt: Bei üblichen biometrischen Lösungen besteht eine 1:1-Beziehung zwischen User und Firmenrechner. Mit dem Smartphone hingegen ist man nicht auf die Verwendung des eigenen PCs angewiesen, ein passwortloser Login ist auch auf anderen, durch mehrere Mitarbeiter genutzten Unternehmensgeräten möglich.
Über den Autor:
Jochen Koehler ist Leiter der Region Zentraleuropa bei HYPR in Heilbronn.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.