Authentifizierung
Der eindeutige Nachweis eines Kommunikationspartners, dass er berechtigt ist etwas zu tun, durch den Beweis seiner Identität, wird Authentifizierung genannt. Die schwächste Form der Authentifizierung ist zugleich auch die bekannteste. Die Rede ist von der originären Eingabe eines Benutzernamens (Login-Name) und eines Passwortes zur eindeutigen Identifizierung und Anmeldung am Arbeitsplatzrechner. Bei den meisten Betriebssystemen wird die ein und die selbe Formel, zur Verschlüsselung von Passwörtern, während der Anmeldung am Arbeitsplatz benutzt. Diese Formel ist in der Regel in umkehrbar, das heißt aus verschlüsselten Passwörtern kann nicht das Passwort im Klartext zurückberechnet werden. Während der Anmeldung vergleicht die Anmeldeprozedur nur die Übereinstimmung mit der erneut verschlüsselten Eingabe des Passwortes, während der Eingabe des Benutzers. Obwohl Passwörter, in der Regel, nur verschlüsselt abgelegt werden und auch nicht zurückberechnet werden können ist es möglich diese Systematik mit wenigen einfachen Mitteln zu knacken. Verschlüsselte Passwörter können abgefangen werden und wieder verschlüsselt an das Anmeldesystem gesendet werden ohne das der Hacker das Passwort überhaupt kennen muss. Auch Frontalangriffe durch systematisches probieren von Passwörtern sind, mit der heutigen Rechenleistung, kein Problem mehr. Dabei werden, in Minuten, ganze Lexikas per Script, mit tausenden von Einträgen inkl. rückwärts geschriebener Formen, automatisch durchprobiert. Die bekanntesten Angriffsmethoden zum Hacken von Passwörtern sind Brute Force Angriffe, Abhören von Passwörtern, Man-in-the-Middle und Replay-Rewrite Angriffe. Diese Standard-Angriffsmethoden sind in den meisten Fälle erfolgreich, wenn nicht sicherere Authentifizierungsmethoden, vom Unternehmen, eingesetzt werden.
Die drei grundlegende Charakteristika etablieren eine Authentifizierung
Eine, als heutzutage geltende, etablierte Authentifizierung kann in drei einfache Verfahrensweisen zur Benutzeridentifikation aufgeteilt und beschrieben werden.
- Etwas das ein Anwender weiß, beispielsweise ein Passwort oder eine Pin-Nummer.
- Etwas das ein Anwender besitzt, beispielsweise einen Token oder eine Smartcard.
- Etwas das Teil eines Anwenders ist, beispielsweise biometrische Merkmale.
Nur wenn eine dieser Authentifizierungsmethoden implementiert ist, funktionieren Zugangskontrolle und Accounting. Benutzerrichtlinien können, vom System, erst jetzt sinnvoll durchgesetzt werden. Die Authentifizierung und die Zugangskontrolle arbeiten in Abhängigkeit von einander. Ohne Funktion der Authentifizierung kann die Zugangskontrolle nur entscheiden auf welche Ressourcen ein Anwender zugreifen und welche Dienste er eventuell starten kann. Sie kann aber nicht den Anwender identifizieren, also nach dem "wer" fragen.
Risiken der Authentifizierungsmethoden
Alle drei etablierten Authentifizierungsmethoden haben Stärken und Schwächen, die sich generell über den Punkt Glaubwürdigkeit artikulieren. Jedes eingesetzte Verfahren identifiziert den Anwender auf unterschiedliche Arten. Je vertrauenswürdiger ein solches Verfahren arbeitet, desto sicherer ist es in der Praxis, weil es potentiellen Angreifern immer schwerer fällt Benutzerkonten zu übernehmen.
Die Passwort oder PIN Authentifizierung
Eine Authentifizierung mittels eines Passwortes oder einer PIN-Nummer ist generell als sehr schwach einzustufen. Passworte können von Anwendern unbemerkt mit anderen Anwendern geteilt oder sie können durch dritte gestohlen werden. In den seltensten Fällen können schwer zu erratende Passwörter, bestehend aus kryptischen Zeichenfolgen, Sonderzeichen und einer Mindestlänge von zehn Zeichen, durch entsprechende Sicherheitsrichtlinien erfolgreich durchgesetzt werden. Leider machen auch komplexere Sicherheitsrichtlinien eingesetzte Passwörter nicht unbedingt sicherer. Die meisten Anwender haben immer wieder Wege gefunden, beispielsweise durch Notierung des Passwortes auf ein Blatt Papier, das wiederum an den Monitor oder die Schreibtischlampe geheftet wird, diese Richtlinien zu umgehen.
Die Token oder Smartcard Authentifizierung
Ein hohes Sicherheitsniveau dagegen versprechen Authentifizierungssysteme, die auf einem Token oder einer Smartcard basieren (Hardwaredevice). Der Anwender muss bei diesem Verfahren eine Hardwaredevice und ein Passwort oder eine PIN-Nummer besitzen. Nur die Kombination beider Faktoren kann einen Benutzer eindeutig identifizieren, man spricht auch von einer "2-Faktor-Authentifizierung". Verliert der Anwender seine Hardwaredevice oder wird sie ihm durch Dritte gestohlen, so wird der Systemzugang dennoch geschützt, da das Passwort oder die PIN-Nummer nur dem Anwender bekannt sind. Umgekehrt teilt der Anwender sein Passwort oder die PIN-Nummer unberechtigt mit dritten, so wird auch in diesem Fall der Systemzugang erfolgreich geschützt, denn ohne die jeweils gültige Hardwaredevice können Dritte nicht erfolgreich Authentifiziert werden.
Die biometrische Authentifizierung
Biometrische Authentifizierungsverfahren etablieren prinzipiell ein sehr starkes Authentifizierungsniveau. Der Anwender wird in der Regel durch seine Finger, seine Augen, seine Stimme, seinem Gesicht oder aus einer Kombination von biometrischen Faktoren authentifiziert, die er weder verlieren, vergessen, noch ohne seine Einwilligung weitergeben kann. Leider sind an dieses Verfahren zur Zeit noch einige technische Mängel gebunden, die erst überwunden werden müssen. Einfache biometrische Systeme lassen sich leicht umgehen, mit Werkzeugen wie Tesafilm, Gelatine oder Camcordern. Bei guten biometrischen Systemen liegt die Erkennung nicht bei absolut 100%. Es gibt nur Näherungswerte, die aber durch Dritte, nicht legitime Benutzer, nicht erreicht werden können. Des weiteren werden bei biometrischen Authentifizierungsverfahren, in der Regel, große Datenmengen produziert, weshalb sich diese Verfahren nicht für Remote Anmeldungen, mit langsamen Übertragungsmedien, eignen.
© 2021 B.I.O.S. Technologie-Partner GmbH |