Risikobasierte Authentifizierung
Steigende Sicherheitsanforderungen bei alltäglichen Online-Aktivitäten widerstreben dem grundsätzlich faulen Gewohnheitstier Mensch enorm und vermiesen die digitalen Annehmlichkeiten. Risikobasierte Authentifizierung kann den Leidensdruck mildern, ohne grössere Risiken in Kauf zu nehmen.
Ein Grossteil unserer täglichen Aufgaben spielt sich online ab und es werden regelmässig mehr. Von der einfachen Zugticketsuche bis zum Verwalten des eigenen Vermögens beinhalten die meisten Aktionen jedoch private Daten, die es vor den neugierigen Blicken aus dem Internet zu schützen gilt. Der technische Ausweg für die Anbieter ist einfach: Eine Kombination aus Verschlüsselung, komplizierten Passwörtern und mehreren Faktoren bei der Authentifizierung weisen den Benutzer mit hoher Wahrscheinlichkeit auch als denjenigen aus, den er vorzugeben scheint. Auf der anderen Seite schwindet jedoch für den Kunden mit jedem weiteren Faktor die gewonnene Bequemlichkeit durch die Digitalisierung des betreffenden Services. Er versteht zwar problemlos die Notwendigkeit, seine Privatsphäre und Daten zu schützen, die mühsamen Login-Prozeduren widerstreben ihm jedoch meistens trotzdem.
Ein Ausweg
Risikobasierte Authentifizierung will dieses Leiden mildern, indem diese unter anderem genau auf das Gewohnheitstier im Menschen zählt. Viele von uns haben einen sehr geregelten Tagesablauf und wenn nicht, dann verwenden wir zumindest oft die jeweiligen Dienste zu immer ähnlichen Zeiten und meist von denselben Geräten aus. Aus diesen Eckdaten und noch einigen anderen Faktoren lässt sich ein speziell auf den jeweiligen Benutzer und Dienst ausgerichtetes Profil erstellen, welches dem Risiko einen Wert gibt, dass der sich anmeldende Benutzer auch wirklich die Person ist, für die er sich ausgibt. Meldet sich also beispielsweise jemand zur üblichen Zeit, von seinem üblichen Ort mit seinem Computer bei einem Online-Dienst an, könnte man dieser Person erlauben, sich einfach mit Benutzernamen und Passwort zu authentifizieren. Macht sie jedoch diese Aktion auf einmal von einem Ferienort auf einem geliehenen Gerät aus, müsste sie ihre Identität zur Sicherheit mit einem weiteren Faktor bestätigen.
Und die Sicherheit?
Bei einer guten Berechnung des Risikoprofils und einer intelligenten Auswahl der zu betrachtenden Faktoren ist trotz Vereinfachung von täglichen Standardprozeduren kein Sicherheitsverlust zu erwarten; und zwar aus mehreren Gründen:
- Für jeden Dienst wird per se eine minimale Authentifizierungshürde gemäss angebotener Dienstleistung definiert, die nie unterschritten wird.
- Als Faktoren können nicht nur grobe Grössen wie Ort, Zeit, etc. ausgewertet werden, sondern auch sehr persönliche Dinge wie Tippgeschwindigkeit, Maus-Bewegungen und andere subtile Eigenschaften (siehe z.B. Geräte-Fingerprinting).
- Sobald verdächtige Faktoren auftauchen, wird sofort auf eine stärkere Authentifizierung gewechselt (auch mehrstufig, falls erwünscht).
Aktuelle Authentisierungslösungen wie beispielsweise Airlock IAM, den aspectra als Service anbietet, bieten einige dieser Möglichkeiten bereits "out of the box".
Wie bei jedem Katz und Maus Spiel werden sich selbstverständlich auch die Trojaner-Hersteller und andere zwielichtige Gestalten bald auf dieser Spielwiese tummeln, doch bis sie die Eigenheiten des jeweiligen Opfers genügend genau simulieren können, wird noch einige Zeit vergehen.