- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Nachweis der Identität eines Online-Benutzers


"Biometrischer Authentifizierung"- was genau versteht man darunter?
Was Sie bei biometrischer Authentifizierung bedenken sollten

- Anzeigen -





Von Petteri Ihalainen, GlobalSign

Will man einige der grundlegenden Konzepte und Ideen der Online-Authentifizierung erläutern, ist es keine schlechte Idee einen Blick auf biometrische Authentifizierung zu werfen. Warum? Nach einer jüngst von Visa durchgeführten Umfrage, wollen zwei Drittel der Europäer biometrische Authentifizierung für Online-Zahlungen / Transaktionen verwenden. Kein ganzunbeträchtlicher Prozentsatz, der zeigt, was die Mehrheit der Online-Nutzer will.

Der Begriff Multi-Faktor-Authentifizierung zeigt an, dass zum Nachweis der Identität eines Online-Benutzers mehr als ein Faktor verwendet werden muss. Ein üblicher zweiter Faktor ist ein SMS-Code, der an eine registrierte Handynummer des Benutzers gesendet wird (wird oft als Einmalpasswort bezeichnet). Diese weit verbreitete Methode hat sich, kritisch betrachtet, allerdings als anfällig erwiesen. Sie wird inzwischen von Institutionen wie dem NIST (National Institute of Standards and Technology) abgewertet. Grundsätzlich gibt es drei Kategorien von Faktoren:

• >> Etwas, das Sie kennen (z.B. ein Passwort)
• >> Etwas, das Sie besitzen (z.B. ein Token, ein Handy, eine Smartcard)
• >> Etwas, das Sie sind (z.B. Fingerabdruck)

Biometrische Daten fallen unter die Kategorie "Etwas, das Sie sind". Ein Fingerabdruck ist, dank der Verbreitung von Fingerabdruck-fähigen Smartphones auf dem Markt, der häufigste biometrische Faktor. Weitere Beispiele für biometrische Faktoren sind Gesicht, Netzhaut (Auge), Herzschlag, Stimme, Verhalten und so weiter. Vielleicht nutzen wir eines Tages sogar die DNA als Authentifizierungs-Faktor. Ich gehe hier nicht in die Details was die Biometrie als solche angeht, aber bei Find Biometrics gibt es einen guten Überblicksartikel (in englischer Sprache) ‘Was ist Biometrie?’

Onlinebanking-Zugang per Fingerabdruck?
Wir wissen jetzt, dass ein biometrischer Faktorden Authentifizierungsprozess vielleicht erleichtert. Aber wie funktioniert das praktisch?

Ihr iPhone gewährt Ihnen nicht automatisch Zugang zu Ihrem Bankkonto. Apple und die entsprechenden Banksysteme arbeiten völlig getrennt voneinander. Wie also die Lücke schließen und den Zugang zu Ihrem Konto per Fingerabdruck gestatten? Das Erste, was man tun muss, ist es, einen Identitätsanbieter (wie beispielsweise GlobalSign) zu nutzen. Der Identitätsanbieter ermöglicht es der Bank, auch andere Authentifizierungsmethoden als die eigenen Einmalpasswort-Generatoren zu akzeptieren.

Als Nächstes braucht man eine App wie MePin auf seinem Smartphone. Wenn Sie die App heruntergeladen haben, den Browser starten und auf Ihre Banking-Website zugreifen, führt der Identitätsanbieter eine sogenannte "User Driven Federation" durch. Das bedeutet, dass Sie sich in der Authentifizierungsphase zuerst mit Ihren Banking-Zugangsdaten authentifizieren und dann etwas wie Ihre Handynummer eingeben. Der Identitätsanbieter der Bank sendet dann eine Authentifizierungsanforderung an Ihre Smartphone-App, die Ihren Fingerabdruck anfordert. Sie berühren den Kreis auf Ihrem iPhone. Dann wird eine Antwort an den Identitätsanbieter gesendet. Und voilà, Sie können nun Ihren Fingerabdruck anstatt des Tokens zur Authentifizierung gegenüber der Bank verwenden.

Ist das wirklich alles Biometrie?
Betrachtet man oben beschriebenen Ablauf, gewinnt man den Eindruck, der Fingerabdruck ist der Schlüssel, der die Tür zur Website entriegelt. Das aber ist falsch. Im obigen Szenario ersetzt der Fingerabdruck einen PIN-Code. In der App gibt es einen privaten Schlüssel (PKI), der die Antwort an den Identitätsanbieter kryptografisch signiert. Diesen Schlüssel kann man mittels PIN-Code, Fingerabdruck oder Gesichtserkennung schützen. Das ist der korrekte Weg, biometrische Authentifizierung für Online-Dienste zu implementieren. Dabei verlassen die biometrischen Daten das Gerät nicht.

Warum biometrische Authentifizierung gut ist
Stellen wir uns einen durchschnittlichen Nutzer vor, der sich nicht unbedingt im Detail mit Sicherheitsvorkehrungen auskennt. Er vertraut darauf, dass die Bank sich darum kümmert. Was ihn viel mehr interessiert ist, ob ein System bequem und benutzerfreundlich ist.

Wir sind uns alle darüber einig, dass komplexe Passwörter, die alle 90 Tage geändert werden müssen, ein Albtraum sind. Und wir können davon ausgehen, dass Einmalpasswort-Token, die Zahlenfolgen mit 6-8 Ziffern generieren, im Alltag nicht immer die tauglichste Alternative sind. Token haben (wie andere kleine Dinge) den fatalen Hang gerne auf Nimmerwiedersehen zu verschwinden.

Wenn man mithilfe der Biometrie etwas nutzen kann, das man ohnehin dutzende Male am Tag in der Hand hält (und nicht erst seit "Pokémon Go") wäre das für die Authentifizierung ungleich praktischer. Zudem ist diese Variante benutzerfreundlich und genießt einen hohen Akzeptanzwert.

Warum biometrische Authentifizierung schlecht ist
Der Kritikpunkt, der in Bezug auf biometrische Daten am häufigsten genannt wird ist, dass man diese Art von Daten nicht verändern kann. Das stimmt, wenn auch mit kleinen Ausnahmen. Ist aus irgendwelchen Gründen die biometrische Vorlage eines Daumenabdrucks durchgesickert, gibt es so etwas wie 'löschbare biometrische Daten' (Cancelable Biometrics), bei denen die biometrischen Merkmale verzerrt und auf eine neue Vorlage abgebildet werden. Ein weiterer wunder Punkt ist die Privatsphäre. Nicht jeder will sich bei einem biometrischen System registrieren lassen. Biometrische Daten gelten als sehr persönlich und bereits das Registrieren wird unter Umständen als Eingriff in die Privatsphäre empfunden.

In der Informationssicherheit ist nichts zu 100 Prozent sicher. Sicherheitsforscher haben bereits nachgewiesen, dass es ziemlich einfach ist, einen biometrischen Sensor zu täuschen. Natürlich haben die Anbieter von biometrischen Authentifizierungslösungen ihre Software verbessert. Ein Beispiel dafür: Es ist jetzt möglich statische Bilder eines Gesichts zur Gesichtserkennung zu verwenden.

Die biometrische Authentifizierung ist sicherlich bequem. Trotzdem raten wir dazu biometrische Daten zum Entsperren von etwas anderem (z.B. eines privaten Schlüssels innerhalb einer PKI) zu verwenden. Geht dann ein Gerät verloren, kann man es einfach entfernen und den PKI-Schlüssel sperren. Sich allein auf die biometrische Authentifizierung zu verlassen ist ein bisschen wie "Mission Impossible". Um im Bild zu bleiben: Tom Cruise kann sich einfach aus dem Lüftungsschacht herablassen und sich über ihre Vermögenswerte hermachen. (GlobalSign: ra)

eingetragen: 27.09.16
Home & Newsletterlauf: 02.11.16


GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Rollende Sicherheitslücken

    Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.

  • Warum BYOD an den Geräten scheitert

    Bring Your Own Device (BYOD) genießt im Geschäftsumfeld seit einigen Jahren den Ruf als innovatives Konzept. Der zeitlich uneingeschränkte Zugang zu Unternehmensdaten kann Firmen verbesserte Effizienz in den Arbeitsabläufen bescheren und den Mitarbeitern wiederum mehr Komfort im täglichen Arbeiten. Sie können auf ihren gewohnten Geräten arbeiten, zu flexiblen Arbeitszeiten. Insbesondere bei neu gegründeten Unternehmen, in denen die Mitarbeiter viel unterwegs sind, wird es überaus geschätzt, wenn kein weiteres, unternehmenseigenes Gerät mitgeführt werden muss. Die Zufriedenheit der Mitarbeiter mit der Arbeitsweise wiederum trägt auch zur Attraktivität des Unternehmens bei.

  • Offensichtlich lukrativste Angriffsmethode

    In regelmäßigen Abständen sehen wir uns einer neuen Bedrohung gegenüber, die bei Angreifern gerade Konjunktur hat. Gezielte Langzeitangriffe, sogenannte Advanced Persistent Threats (APTs) beherrschen die Schlagzeilen und Unternehmen beeilen sich, diese Attacken zu stoppen, deren Urheber sich gut versteckt durch das Netzwerk bewegen. Neben Phishing ist Ransomware die erfolgreichste und offensichtlich lukrativste Angriffsmethode für Cyber-Kriminelle. Schätzungen zufolge kosteten Ransomware-Scams die Opfer allein im letzten Jahr fast 1 Milliarde US-Dollar weltweit. Und es ist kein Wunder, dass sie so gut funktionieren: Sie beruhen auf dem althergebrachten Modell der Schutzgelderpressung, das bereits lange von Banden und der Mafia genutzt und jetzt in digitalem Format erfolgreich wieder aufgelegt wird. Die digitale Transformation ist nicht nur für Unternehmen Realität, sondern längst auch für Kriminelle eine lohnenswerte Einnahmequelle.

  • Detailliertes Profil der Angreifer entscheidend

    "Kill Chain" - dieser Begriff stammt eigentlich aus dem Militärjargon und bezeichnet ein Modell, das alle Phasen eines Angriffs beschreibt. Im Umkehrschluss zeigt es Wege auf, mit denen sich diese Angriffe vermeiden oder zumindest abschwächen lassen - eine Taktik, die auch hinsichtlich digitaler Bedrohungen und Hackangriffe interessant ist. Die Kill Chain digitaler Bedrohungen lässt sich in sieben verschiedene Phasen unterteilen.

  • Internet-Ausfall: Stationärer Handel in der Klemme

    In nur wenigen Bereichen hat sich in den letzten 30 Jahren so viel verändert wie im stationären Handel. Während manche Einzelhändler das Internet immer noch als Bedrohung empfinden, profitiert das Gros von vielen Vorteilen, die das World Wide Web mit sich bringt. Beispiel Kartenzahlungen: Sie wären ohne Internetanbindung gar nicht möglich. Somit ist für Einzelhändler eine kontinuierliche Internetverbindung essenziell, ja gerade überlebenswichtig. Umso schlimmer, wenn das Netz ausfällt. Doch für den unangenehmen Fall der Fälle gibt es gute Lösungen. Ohne Internet sind moderne Verkaufserlebnisse undenkbar: Zu den neueren Entwicklungen im Einzelhandel zählt das so genannte Omni-Channel-Retailing. Dabei nutzen Shops oder Filialen mehrere, vor allem onlinebasierte Kanäle, um dem Kunden ein optimales Verkaufserlebnis zu bieten. So beispielsweise der Reifenwechsel am Auto: Bei größeren Werkstätten und Werkstattketten ist es heute State-of-the-Art, dass der Kunde seine Wunschreifen und Felgen online bestellt, eventuell unterstützt durch eine telefonische Beratung. Nach dem Kauf vereinbart er dann über eine Webseitenschnittstelle gleich den Montagetermin. Die Werkstatt erhält die Terminanfrage in ihrem CRM und bestätigt per E-Mail. Zum Termin liegen die bestellten Reifen in der Werkstatt bereit und werden montiert.