Deprecated: wp_make_content_images_responsive ist seit Version 5.5.0 veraltet! Benutze stattdessen wp_filter_content_tags(). in /home/customer/www/winmagic.com/public_html/blog-de/wp-includes/functions.php on line 4774

Passwortlose Authentifizierung ≠ Multi-Faktor-Authentifizierung

Wie funktioniert die geräteseitige Benutzerauthentifizierung? IT-Sicherheitsexperten denken da normalerweise an die Multi-Faktor-Authentifizierung (MFA), bei der die Faktoren etwas sind, das Sie wissen, das Sie besitzen und das Sie sind. Die verschiedenen Faktoren stärken die Authentifizierung und gelten daher heutzutage als der empfohlene Standard.

Auf einem Notebook würden Sie Ihr Passwort eingeben (etwas, das Sie wissen), Ihr physisches Token nutzen (etwas, das Sie besitzen) und Ihren Fingerabdruck oder Ihre Gesichtserkennung verwenden (etwas, das Sie sind).

Was aber passiert, wenn es sich bei dem Gerät um einen Remote-Server handelt? Ein Remote-Server kann in der Regel nicht überprüfen, ob ein physisches Token verbunden wird oder ob der Fingerabdruck übereinstimmt. Der serverseitige Abgleich biometrischer Daten ist aus vielen Gründen bedenklich, die u. a. hier erklärt werden: https://noknok.com/blog-post/the-anti-pattern-of-server-side-biometric-secrets/. Der Server kann einen Benutzer nur über Daten authentifizieren, z. B. etwas, „das Sie wissen“, oder etwas, von dem „das Gerät weiß, das Sie es besitzen“.

Wenn das, „was Sie wissen“, etwas ist, was sonst niemand weiß, wäre die Identifizierung perfekt. Wenn der Server aber ebenfalls Kenntnis haben muss (z. B. zum Abgleich), ist die Identifikation nicht mehr ideal. Abhilfe schafft die asymmetrische Schlüsselkryptografie. Der Server verwendet den öffentlichen Schlüssel des Benutzers, um die Authentifizierung zu verifizieren, ohne über den privaten Schlüssel zu verfügen, den nur der Benutzer hat – oder besser gesagt, den nur das (Authentifizierungs-)Gerät kennt. Es geht nicht mehr darum, „was Sie wissen“, sondern darum, „was Sie besitzen (ein Gerät), das einzig den privaten Schlüssel kennt“.

Hinweis: Ursprünglich als zweiter Faktor konzipiert, macht die Verwendung asymmetrischer, schlüsselbasierter Authentifizierung den „ersten Faktor“ – das Benutzerpasswort – meist überflüssig. Angesichts der Leistungsstärke der asymmetrischen Schlüsselkryptografie im Vergleich zum ungeeigneten Shared Secret von Passwörtern oder Biometriedaten lässt sich sagen, dass in der Praxis für die Remote-Authentifizierung der einzig relevante „Faktor“ das ist, „was Sie besitzen“, z. B. das, was das Gerät (das Sie besitzen), weiß. Die Multi-Faktor-Authentifizierung spielt hier keine Rolle, denn was Sie wissen und was Sie sind, ändert nichts an der Leistungsstärke der Authentifizierung.

„Die passwortlose Authentifizierung“ erobert die Branche im Sturm. Wir sind überzeugt, dass dieses Verfahren den Identitäts- und Kontodiebstahl, der in den letzten Jahren große Probleme bereitet hat, erheblich reduzieren wird. Wir glauben, dass einige eindeutige Aussagen dazu beitragen werden, das Konzept zu verdeutlichen.

Unsere Überzeugung:

  • Das Modewort der Branche – „passwortlose Authentifizierung“ – bezieht sich auf die Authentifizierung gegenüber einem Remote-Server, nicht gegenüber einem lokalen Gerät (z. B. einem Notebook).
  • Das Wichtigste ist, dass die Remote-Authentifizierung über das Netzwerk ein sicheres Protokoll verwendet, das Angreifer im Netzwerk mit ihren Computern nicht knacken können. Ein modernes Protokoll sollte auf asymmetrischen Schlüsseln basieren. Dies wird über ein Gerät ausgeführt, das der Benutzer besitzt.
  • Zum Zeitpunkt der Authentifizierung verwendet der Benutzer dieses Gerät möglicherweise bereits – z. B. den eigenen Computer. Daher ist die Aktion des Benutzers vielmehr eine lokale Geste, um die „Userness“” bzw. die Anwesenheit des Benutzers während der Authentifizierung nachzuweisen. Diese lokalen Gesten haben keinen Einfluss auf die Leistungsstärke der Remote-Authentifizierung und gelten daher nicht als MFA.
  • Die MFA bezieht sich auf die Authentifizierung gegenüber dem lokalen Gerät, nämlich die (lokale) Anmeldung am Betriebssystem oder die Pre-Boot-Authentifizierung (PBA), die das Betriebssystem entschlüsselt und startet.
  • Wir glauben, dass es noch viele Missverständnisse rund um die passwortlose Authentifizierung gibt. Sie werden erst aus der Welt geschafft, wenn die Branche weiter Fortschritte macht. Unternehmen sollten sich jedoch darüber im Klaren sein, dass die MFA nicht unbedingt etwas mit passwortloser (Remote-)Authentifizierung zu tun hat, dass der Computer selbst eine gute Wahl ist, um ggf. als Authentifizierungsgerät zu fungieren, und dass kein zusätzliches Token benötigt wird.

WinMagic bietet die umfangreichste MFA für die Pre-Boot-Authentifizierung. Wir empfehlen sicherheitsbewussten Kunden die bedarfsorientierte Nutzung der MFA. Außerdem bieten wir die Möglichkeit, den Computer für die Zwei-Faktor-Authentifizierung zu verwenden – ein nahtloser Einstieg in die passwortlose Authentifizierung.

 

Vorheriger Beitrag
Support in der Coronakrise

Related Posts

Es wurden keine Ergebnisse gefunden, die deinen Suchkriterien entsprechen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü