Sie sind hier: HomeTelekommunikation

Identity and Access Management: Identifizieren statt autorisieren

Beim klassischen Login gehören Passwort und Nutzerkennung zusammen wie Pommes und Ketchup. Aber um sich sicher in der digitalen Welt auszuweisen, reicht das beliebte Duo eigentlich schon lange nicht mehr aus. Wie moderne Authentifizierungsmethoden das Passwort ablösen können.

Pommes mit Dips Bildquelle: © 123rf

Mehrstufige Verfahren ohne aktive Eingaben sollen es Identitätsdieben in Zukunft erschweren und das Passwort ablösen.

Jeder von uns häuft immer mehr digitale Nutzeraccounts an. Denn jeden Tag wollen neue Dienste im Internet, dass wir uns authentifizieren. Zugriffe sollen hier nur gewährt werden, wenn ein berechtigter Account eine Anfrage stellt. Das war zumindest lange Zeit die Idee hinter passwortbasierten Logins. Diese Vorstellung muss sich aber ändern, da das richtige Passwort allein nicht ausreicht, um einen Nutzer eindeutig zu identifizieren. Die Weitergabe von Passwörtern, das Ausspähen von Eingaben oder klassische Passwortentschlüsselung führen dazu, dass nicht die Person hinter dem Account identifiziert wird, sondern nur eine Prüfung des korrekten Passworts stattfindet. Jedes Datenleck, bei dem Login-Daten gestohlen werden, zeigt uns, dass das Passwort schon lange ausrangiert sein sollte. Und spätestens wenn im Datenchaos für jeden Account dasselbe Passwort genutzt wird, ist das Sicherheitsrisiko um ein Vielfaches gestiegen.

Neue Identifikationsmethoden
Es müssen also neue Identifikationsmethoden gefunden werden, die tatsächlich den Nutzer hinter dem Account erkennen können. Gleichzeitig besteht der Wunsch, die Nutzererfahrung immer weiter zu verbessern. So will man beispielsweise vermeiden, dass sich User immer wieder neu anmelden müssen. Das sogenannte „Zero Login“ stellt eine Lösung für diese Probleme dar. Ohne eine aktive Eingabe soll in diesem Verfahren der Nutzer durch verschiedene Daten einen Login durchführen können. Dabei werden zum Beispiel biometrische Daten, Metadaten oder Verhaltensanalysen genutzt, um einen passwortfreien Login zu kreieren. Sensoren für Fingerabdrücke und Iris- beziehungsweise Gesichtsscans sind dabei heutzutage schon weit verbreitete Techniken. Das Portfolio der Identifikationsverfahren muss sich aber stetig weiterentwickeln, denn Fingerabdrucksensoren sind alles andere als komplett sicher. Eine kurze Suche auf Youtube lässt jeden mit einfachsten Mitteln Fingerabdrücke kopieren. Es ist also klar, dass auch diese Methoden früher oder später umgangen werden können und alleine keinen umfassenden Schutz bieten.

Sicherheit durch Multi-Faktor-Authentifizierung (MFA)
Durch die Methode des „Zero Login“ stellt die Authentifizierung für den Nutzer keinen Aufwand mehr dar. Ohne die Notwendigkeit Daten selbst eingeben zu müssen, wird keine zusätzliche Hürde aufgebaut, wenn mehrere Identifikationsmerkmale zum Login beitragen. Dieser Vorteil kann und sollte dazu genutzt werden, um den Anmeldevorgang noch eindeutiger zu machen und dem Nutzer so mehr Sicherheit zu bieten. Während ein Fingerabdrucksensor allein umgangen werden kann, stellt die Kombination von Biometrie, Verhaltens- und Metadaten Kriminelle vor eine große Herausforderung. Je einzigartiger die Daten zur Authentifizierung sind, desto sichererer ist der Account. Allerdings bringen diese Ansätze auch Probleme mit sich. Hier stechen zwei Thematiken besonders heraus: Zum einen die Sicherheit der Authentifikationsdaten, zum anderen die Probleme bei „Verlust“ eines Identitätsfaktors. Werden beispielsweise Faktoren wie physische Objekte (Token) oder veränderbare Erscheinungen zur Identifizierung herangezogen, kann es passieren, dass der Nutzer fälschlicherweise nicht identifiziert wird oder den Login nur unter erheblichen Erschwernissen durchführen kann. Viel wichtiger erscheint jedoch die Frage nach der Sicherheit der Anmeldedaten. Während Biometrie und Metadaten ein hohes Maß an Sicherheit bieten können, stellen die genutzten Merkmale selbst hochsensible Daten dar. Alle für die Authentifizierung erhobenen Daten müssen also von den Verarbeitern geschützt werden.

Auch wenn neue Herangehensweisen immer Risiken mit sich bringen, vereinen Methoden aus MFA und „Zero Login“ das Beste aus beiden Welten. Mehr Sicherheit und nutzerfreundliche Identifikationstechniken formen schon jetzt die Zukunft des Identity- und Access-Managements. Darauf sollten alle Anbieter vorbereitet sein.

Pascal Jacober, Sales Manager für die DACH-Region bei Ping Identity