Zwei-Faktor-Authentifizierung auf dem Prüfstand

Sicherheit in der IT – immer zu Lasten der User Experience?
Kommentare

Jeder kennt die Situation: man kommt morgens ins Büro, fährt den Rechner hoch und gibt den Benutzernamen und das Passwort ein. Und dann erhält man die Fehlermeldung: „Der Benutzername bzw. das Kennwort ist falsch“. Vielleicht hat man sich vertippt, vielleicht ist das Passwort im letzten Urlaub in Vergessenheit geraten. Aber was von beidem war denn jetzt falsch? Der Benutzername, das Kennwort oder gar beides?

Die Fehlermeldung ist aus Sicherheitsgründen absichtlich vage gehalten und lässt offen, ob der Benutzername oder das Passwort falsch sind. Einem Angreifer sollen so keine Informationen darüber gegeben werden, welche der beiden Eingaben falsch ist – oder welche vielleicht auch richtig ist. Das geht zu Lasten der Benutzerfreundlichkeit, denn einem Nutzer wäre mit einer konkret formulierten Fehlermeldung mehr geholfen. Meistens handelt es sich dabei vor allem auch um eine nutzlose Schutzmaßnahme.

Aber muss Sicherheit wirklich immer zu Lasten der Benutzerfreundlichkeit gehen und welche Maßnahmen sind wirklich sinnvoll, um den Zugriff auf ein System abzusichern? Wir beleuchten die aktuellen Technologien der Zwei-Faktor-Authentifizierung und prüfen sie hinsichtlich der Merkmale Sicherheit und Benutzerfreundlichkeit.

Wie benutzerfreundlich sind die aktuellen Technologien?

Das erste Beispiel: der Einsatz einer SmartCard. Rein vom Sicherheitsaspekt ist dieses Verfahren als sehr gut zu bewerten, allerdings zieht die Umstellung einige Konsequenzen – etwa die Anschaffung eines Readers sowie hohe Kosten in der Administration – nach sich. Ein benutzerfreundliches Verfahren für den Alltag sieht anders aus.

Technologien, die unter dem Merkmal „One Time Password“ (OTP) subsumiert werden können, gibt es in vielfältigen Ausprägungen; Firmen wie Yubico (Yubikey) oder RSA sind Schwergewichte in diesem Bereich. Alle Geräte basieren auf dem Prinzip, dass sie ein „Einmalpasswort“ generieren, das der Nutzer zusätzlich zum Passwort beim Login eingibt. Grob lassen sich OTP-Technologien in USB-Hardwaretoken, Token mit Display und Softwaretoken unterscheiden.

USB-Hardwaretoken

Hinsichtlich der Benutzerfreundlichkeit sind die drei Technologien als mittel bis schlecht einzustufen, und auch die Sicherheit lässt etwas zu wünschen übrig. Über eine USB-Schnittstelle lassen sich Daten manipulieren – das „Geheimnis“ des Yubikeys ließe sich so zum Beispiel überschreiben.

Außerdem birgt eine nicht gesperrte USB-Schnittstelle immer auch die Gefahr, dass Daten aus der Firma herausgetragen werden können. Und fremde USB-Sticks können in Betriebssystemen viel Unheil anrichten. Dazu kommt, dass unterschiedliche Geräte unterschiedliche Schnittstellen aufweisen, für die passende Adapterkabel benötigt werden.

Token mit Display und Softwaretoken

Token, die über ein Display das Einmalpasswort anzeigen, verlangen von dem Benutzer, händisch die sechs- bis achtstelligen Codes einzugeben. Es gibt keinen automatischen Prozess, sondern der Mensch fungiert als Schnittstelle zwischen dem Token und dem Login. Und je nach Implementierung kann es vorkommen, dass Nutzer für jede Anwendung einen separaten Token benötigen. Da kommen dann schon mal drei bis sechs Token zusammen, die man immer mit sich führen sollte.

Bleibt der Softwaretoken. Eine App auf dem Smartphone, das Smartphone immer dabei – das klingt gut. Wäre da nicht die Sache mit der Sicherheit. Schnittstellen wie WLAN, Bluetooth und USB sind oftmals nicht ausreichend abgesichert und die Menge der auf Smartphones spezialisierten Schadsoftware wächst und wächst. Darüber hinaus ist man zwingend auf Sicherheits-Updates für die Betriebssysteme angewiesen.

Tan-Verfahren

Und was ist mit TAN-Verfahren, die vor allem im Bankenumfeld eingesetzt werden? Auch da gibt es verschiedenste Varianten: iTAN, mTAN, photoTAN, QR-TAN. Das jüngste Fazit des Chaos Communication Congress, der Ende 2014 in Hamburg stattfand, lautet: Der gute alte TAN-Zettel aus Papier dürfte mehr Sicherheit bieten als alle Verfahren, die auf SMS setzen. Das Landgericht Darmstadt hat letztes Jahr entschieden, dass ein Bankkunde keinen Anspruch auf Rückzahlung gegen die Bank besitzt, sollte die Autorisierung beim Online-Banking manipuliert worden sein. Und ob auf Mobilfunk beruhend oder nicht; der Nutzer muss auch hier selbst aktiv werden und die TAN abtippen.

Das neuartige Verfahren photoTAN oder QR-TAN setzt dagegen auf das Prinzip „Abscannen“: Beim Ausfüllen der Überweisung wird eine Foto-Grafik oder ein QR-Code angezeigt, den der Nutzer mit dem Smartphone abscannen muss. Daraufhin wird eine PIN angezeigt, die der Nutzer wiederum in das Banksystem eintragen muss. Der manuelle Aufwand verringert sich an dieser Stelle also nicht. Außerdem ist die angeforderte TAN an eine konkrete Überweisung gebunden.

Biometrische Daten – der neue Trend?

Intel hat Ende letzten Jahres angekündigt, mit seinem neuen Konzept „YAP – You are the password“ verstärkt auf den Einsatz biometrischer Daten zu setzen. Wird das also der neue, benutzerfreundliche Trend in der Zwei-Faktor-Authentifizierung, bei dem der Nutzer nichts weiter tun muss als seine Stimme, seinen Fingerabdruck oder seine Iris scannen zu lassen?

Die Antwort lautet: Nein. Mit dieser Idee ist es genauso, wie mit anderen Dingen im Leben. Wenn es zu schön klingt, um wahr zu sein, dann gibt es irgendwo einen Haken. Dieser liegt nicht unmittelbar in dem Moment des Einsatzes der biometrischen Daten, sondern in der Qualität der biometrischen Erkennungssysteme und bei der Frage, was passiert, wenn die Daten verloren gehen oder manipuliert wurden. Wie bekomme ich dann als Nutzer eine neue Version meiner biometrischen Merkmale? Wo drücke ich Reset?

Außerdem sind kostengünstige Systeme leicht zu überlisten, wie der CCC in diesem Video aufzeigt. Fotos werden für echte Gesichter gehalten, Fingerabdrücke können gestohlen und sogar „nachgebaut“ werden. Gute Systeme dagegen sind mit hohen Kosten verbunden und damit oft nur für höchste Sicherheitsbereiche sinnvoll.

Faule Kompromisse?

Auch hier lautet die Antwort nein. Aber wie könnte eine Lösung aussehen, die sowohl benutzerfreundlich als auch sicher ist?

Dies und mehr im PHP-Magazin 3.15

Die Antwort auf diese Frage bietet der vollständige Artikel, der in der kommenden Ausgabe des PHP-Magazins zu finden sein wird. Am Kiosk gibt’s sie ab dem 11.03.2015.

Aufmacherbild: Laptop and padlock. Concept of computer security./Computer security von Shutterstock / Urheberrecht: amaze646 

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -