All About Security

Identity- und Access-Management, Fachartikel, ProSoft

Mehrfaktor-Authentifizierung: Mehr Komfort oder mehr Sicherheit?

Mehrfaktor-Authentifizierung: Mehr Komfort oder mehr Sicherheit?

Robert Korherr, Geschäftsleitung / CEO, ProSoft GmbH

Ist „adaptiv“ auch immer sicher? + IT-Security-Lösungen haben durchgängig einen gemeinsamen Nachteil: Die Anwender sind zusätzlich gefordert um den höheren Sicherheitsanforderungen zu genügen. So auch bei der Zwei- oder Mehrfaktor Authentifizierung. Ihr Nutzen gegen digitale Angriffe und gegen die Folgen von Identitätsdiebstahl durch z.B. Phishing ist unbestritten. Die Identität des Anwenders wird über die Authentifizierung bei der Anmeldung verifiziert; bei der Zweifaktor-Authentifizierung durch 2 Merkmale aus „Wissen“, „Haben“ oder „Sein“ und damit zusätzlich zum Passwort beispielsweise durch einmalig gültige Passwörter oder Passcodes. Da der Aufwand für Hacker durch den Einsatz von sicheren Zwei-Faktor Authentifizierungen deutlich steigt, macht alleine die Nutzung von One-Time Passcodes (OTP) Accounts sicherer.

Um die Usability bei der Authentifizierung zu verbessern, werden immer mehr  „adaptive“ Mehrfaktor-Verfahren angeboten. Ursprünglich diente dieser Ansatz dazu, bei erhöhten Sicherheitsanforderungen „adaptiv“ eine weitere Sicherheitsschranke vor zuschalten. Einige adaptive Zweifaktor-Lösungen betreiben hier ein Downsizing bei der Sicherheit. Sind Faktoren  wie zum Beispiel bereits bei Anmeldevorgängen genutzte IP-Adressen, Geräte oder Standorte identisch zu früher, werden  diese Parameter als zweiter Faktor akzeptiert und die Anmeldung reduziert sich in diesem Fall auf Name und Passwort. Befindet sich ein Anwender dagegen außerhalb einer festgelegten Geolocation wird ein zusätzlicher Faktor als Step-up Authentifizierung erforderlich.

Um die Sicherheit dieser Art von adaptiver Mehr-Faktor Authentifizierung beurteilen zu können sind die hierbei genutzten und abgeprüften Faktoren entscheidend. Anleitungen zum Ändern  von IP-Adressen, GPS-Daten und Länderkennungen über Proxy-Server oder Softwaretools finden sich im Internet und den jeweiligen App-Stores auch für Privatpersonen zu Hauf.  Damit können unter anderem Sportveranstaltungen zensurfrei gestreamt oder Spuren bei der Internetnutzung verwischt werden. Eine Limitierung der Überprüfung auf diese Faktoren mag also nur eine trügerische Sicherheit vermitteln. Außerdem ist man hier ausschließlich von externen Sicherheitsvorkehrungen abhängig und hat als Unternehmen keine Kontrolle mehr.  Ist ein User die meiste Zeit in einer „trusted Zone“, dann mag er eine plötzlich zugeschaltete Zwei-Faktor Authentifizierung während einer Reise ungewöhnlich und sogar verdächtig empfinden und daraufhin den Helpdesk bemühen oder den Vorgang unproduktiv abbrechen.

Andere Lösungen gehen einen neuen Weg um eine Zwei-Faktor Authentifizierung ohne zusätzliche User-Interaktion zu realisieren. Anstatt durch Limitierungen oder das Anwenderverhalten einen zweiten Faktor obsolet zu machen, wird die Eingabe des 2. Faktors optimiert. Neue sichere Standards wie NFC, können neben Payment-Funktionen auch das Abtippen des Passcodes unnötig machen. Auch ist die Existenz von „gepairten“ Devices wie Wearables  bei Logins als Faktor „Haben“, eine echte Mehrfaktor Authentifizierung. Lösungen wie SecurAccess bieten in Kürze diese und andere adaptive Mehrfaktor-Verfahren an. Neben SMS, E-Mail und Voice-Call liefert SecurAccess eine Soft-Token App für iOS, Android und BlackBerry, Foto-Passcode über QR-Codes und einen Self-Service Helpdesk mit dem Anwender situativ das jeweils beste, vom Unternehmen frei gegebenen Verfahren auswählen können.

Nur weil Anwender sich in bestimmten Geolokationen aufhalten oder vorgegebene Anmeldesysteme nutzen, darf eine wirklich sichere Zwei-Faktor Authentifizierung nicht selbständig um einen Faktor herunterschalten. Auch darf die Überprüfung des Anwenderverhaltens oder der Sicherheitsstufe  nicht externen Dienstleistern wie z.B. Providern übertragen werden. Komfortable aber trotzdem sichere Verfahren sind auch bei der Mehr-Faktor Authentifizierung wünschenswert und mit neuen Technologien und Devices umsetzbar.

Mehr Information zu SecurAccess von SecurEnvoy finden Interessenten auf http://www.securenvoy.de/  oder beim D/A/CH VAD ProSoft auf www.prosoft.de