Der aspectra-Blog seit 2012

Starke Authentisierung - was ist das?

Am Postschalter zeigen wir unseren Ausweis und die Person hinter dem Schalter weiss, wer wir sind. Im Internet ist dies nicht ganz so einfach. Zwar gibt es so etwas ähnliches wie einen Ausweis fürs Internet, nämlich Zertifikate. Deren Anwendung ist aber kompliziert und wenig verbreitet. Zum Glück ist die IT Branche erfinderisch und hat die „Starke Authentisierung“ erfunden. Damit wird die Sicherheit beim Zugriff auf Onlinedaten erhöht.

Schwache Authentisierung

Bei einer schwachen Authentisierung weise ich mich gegenüber einer Anwendung mittels Benutzername und Passwort aus. Das Passwort kann zwar kompliziert gewählt werden, doch der Schutz einer Anwendung ist damit nur bedingt möglich. Risiken dabei sind:

  • Der Anwender der zum Beispiel den Benutzernamen und das Passwort aufschreibt.
  • Die Anwendung, die unsicher programmiert ist, sodass ein Dritter sämtliche Passwörter auslesen kann.
  • Einfache Benutzername-Passwort-Kombinationen können erraten oder mit Hilfe von speziellen Programmen gezielt geknackt werden.

Starke Authentisierung

Bei der starken Authentisierung kommen neben Benutzername und Passwort weitere Faktoren hinzu, die einen Anwender identifizieren können. Diese kann man wie folgt unterteilen:

  • Etwas was man hat – Besitz von: Smartcard, Hardware Token, Software Token, Mobiltelefon, Telefon, SMS, RFID, physischer Schlüssel, Zertifikat.
  • Etwas was man ist – Biometrisches Merkmal: Fingerabdruck, Stimmerkennung, Signatur, Gesichtserkennung, Iriserkennung, Tippverhalten, weitere Körpermerkmale.

Nicht all diese Erweiterungen zur Identifizierung sind einfach umzusetzen. In Onlineanwendungen haben sich die Verwendung von mTAN oder Token etabliert. Beim mTAN-Verfahren wird nach der Eingabe von Benutzername und Passwort eine SMS mit einem Code an das persönliche Handy gesendet. Dieser Code muss dann in der Onlineanwendung eingegeben werden. Beim Token muss - ebenfalls nach erfolgreicher Eingabe von Benutzername und Passwort - die auf dem Token angezeigte Nummer eingetippt werden.

Die starke Authentisierung ist zwar schwierig zu manipulieren, doch bedingt sie seitens Anbieter einen erhöhten Registrations- und Verwaltungsaufwand der Benutzer. So muss ein Benutzer dem Anbieter seine Handynummer auf einem von der Anwendung unabhängigen Weg (z.B. per Post) mitteilen. Den Token wiederum muss der Anbieter dem Anwender per Post zustellen. Auch im Betrieb der Anwendung erhöht sich der Aufwand, zum Beispiel wenn Benutzer die Telefonnummer wechseln oder den Token verlieren.

Die starke Authentisierung erhöht die Sicherheit, bringt aber auch mehr Aufwand. Entsprechend sollte sie nur eingesetzt werden, wenn es wirklich nötig ist.

Suche