Die Zweifaktor-Authentifizierung erhöht die Sicherheit von IT-Diensten deutlich, doch sie gefällt nicht jedem. Mangelnde Benutzerfreundlichkeit stößt immer wieder auf Kritik und viele wünschen sich einfachere Alternativen.
- An der Verbesserung der Nutzerauthentisierung wird geforscht.
- Eine Alternative zu den gängigen MFA-Methoden könnte ein authentifiziertes und registriertes Gerät bilden.
- Verhaltensbasierte Lösungen können ebenfalls eine interessante MFA-Variante darstellen.
Der einfache Passwortschutz gilt längst nicht mehr als sicher. Regelmäßig werden gehackte Zugangsdaten im Darknet veröffentlicht, etwa zuletzt fünf Millionen Datensätze aus dem Hack bei der portugiesischen Fluggesellschaft TAP-Air.
Die Multifaktor-Authentisierung (MFA) sowie die Zweifaktor-Authentifizierung (2FA) sollen geknackte Passwörter wertlos machen durch Hinzufügen einer weiteren Anmeldeinformation. Zu dem Faktor Wissen in Form eines Passwortes oder einer PIN kommt der Faktor Besitz, etwa in Form von Hardware-Tokens oder einer über spezielle Apps auf dem Smartphone generierten Zeichenfolge. Auch biometrische Verfahren wie Fingerabdruck oder FaceID kommen als zusätzlicher Faktor zum Einsatz. Doch allen Verfahren ist eins gemein: Sie erhöhen nicht nur für Angreifer den Aufwand, sondern auch für legitime Nutzerinnen und Nutzer. Wer sein Smartphone vergessen hat, kann sich auf der Arbeit eventuell nicht mehr einloggen. Mit dem steigenden Aufwand sinkt der Komfort. Alternativen sind begehrt und danach haben wir Experten gefragt.
Interessante Alternativen zu gängigen MFA-Verfahren
Der Login-Zugang über ein authentifiziertes und registriertes Gerät könnte eine interessante Alternative bilden, meint Simran Mann, Referentin für Sicherheitspolitik beim Branchenverband der deutschen Informations- und Telekommunikationsbranche (Bitkom):
„123456“, „passwort“, „12345“ – kommt Ihnen eines davon bekannt vor? Das sind die Top 3 deutschen Passwörter des letzten Jahres. Die Tatsache, dass trotz aller Mahnungen die meisten Menschen die goldenen Passwortregeln – lang, komplex und wo immer möglich 2-Faktor-Authentifizierung nutzen – nicht beachten, zeigt auf, dass es technische Innovationen braucht, um das Problem zu bessern. Und an denen wird auch fleißig gearbeitet. Eine sowohl bequeme als auch sichere Lösung ist es, das Einloggen ohne Passwort durch ein authentifiziertes und registriertes Gerät zu ermöglichen. Das registrierte Gerät erhält eine digitale Signatur, die es ermöglicht, auf die entsprechenden Dienste zuzugreifen. Falls man das Gerät jedoch nicht bei sich hat oder verliert, kommt ein Backup-Code zur Wiederherstellung zum Einsatz. Man sieht, ganz kommen wir von der Logik der Passwörter noch nicht weg. Aber zumindest könnten sie bald weitgehend aus unserem Alltag verschwinden.
Christopher Boysen vom Referat „Technische Anforderungen an eID-Komponenten und hoheitliche Dokumente“ beim Bundesamt für Sicherheit in der Informationstechnik (BSI) erwartet Optimierungen bei den gängigen MFA-Verfahren:
Im Zusammenhang mit der Authentisierung eines Anwenders sind immer mehrere Aspekte abzuwägen, die reine Nutzerfreundlichkeit ist dabei nicht der ausschließlich zu berücksichtigende Punkt. Auch die Sicherheit eines gesamten Authentisierungsvorgangs ist stets relevant. Bei gestiegenen Anforderung an die Sicherheit wird es daher auch zukünftig noch notwendig sein, Verfahren zu benutzen, die keinen ausschließlichen Fokus auf die Nutzerfreundlichkeit haben. Dieser Zusammenschluss wird häufig als „Usable Security“ beschrieben. Neben den aktuell verbreiteten biometrischen Faktoren wären auch Hardware Token, beispielsweise als USB-Sticks oder über NFC auslesbare Chipkarten als Faktoren des Typs Besitz denkbar. In welche Richtung Forschung und Entwicklung hier in Zukunft laufen, ist aber schwer einzuschätzen. Grundlegend ist davon auszugehen, dass sich sowohl die Sicherheit biometrischer Verfahren als auch die Usability besitzbasierter Verfahren verbessern lassen.
Holger Berens, Vorstandsvorsitzender beim Bundesverband Schutz Kritischer Infrastrukturen, BSKI, hält verhaltensbasierte Lösungen für eine interessante MFA-Variante:
Eine sehr gute Übersicht und Bewertung der einzelnen MFA-Verfahren hat das BSI auf seinen Webseiten veröffentlicht. Um die Akzeptanz für die Benutzer zu erhöhen, wurden integrative Lösungen entwickelt. Die Benutzerfreundlichkeit wurde oft zugunsten der Sicherheit stark vernachlässigt. SMS OTPs oder Authentifizierungs-Apps sind üblich, aber auch hierbei wird die Benutzerfreundlichkeit außer Acht gelassen. Daher wurde TypingDNA Verify 2FA entwickelt. Hierbei wird der Benutzer anhand der Eingaben auf der Tastatur authentifiziert. Benutzer müssen lediglich ein paar Wörter eintippen. Es ist kein zusätzlicher Code erforderlich. Grundsätzlich lässt sich sagen, dass 2FA durchaus die Sicherheit erhöht, jedoch tatsächlich noch Probleme bei der Akzeptanz verursacht. Hinzukommt, dass die besten technischen Lösungen nicht das Risiko Mensch ausschalten können. Wenn zum Beispiel ein Unternehmen beim Off-Boarding nicht zeitgleich die Berechtigungen löscht, hilft schlimmstenfalls auch keine 2FA-Lösung.
Mehr Forschung notwendig
Die wachsende Unzufriedenheit bei Nutzerinnen und Nutzern offenbart die Mängel der Multifaktor-Authentifizierung. Diese liegen weniger in der Sicherheit als vielmehr in der alltäglichen Praxis. Beispielsweise ist es in Funklöchern schwierig, einen zweiten Faktor mit einer Smartphone-App zu erhalten. Oft sieht man dann verzweifelte Anwender auf der Suche nach Netzempfang durch die Gänge eines Gebäudes irren. USB-Tokens haben dieses Problem eher nicht, aber werden sie vergessen, ist der Zugriff auf die IT nur über Umwege möglich, wenn überhaupt. Zukünftige Optimierungen müssen sich an diesen Problemen orientieren. Die Forschung dazu läuft und erste Firmen präsentieren Ergebnisse, etwa mit kontinuierlicher Sicherheit durch ein verhaltensbasiertes Modell wie beispielsweise das Startup Deepsign, das gerade am ATHENE Startup Award UP22@it-sa teilnahm. Jedoch sind derartige Ideen auf dem Markt für IT-Sicherheitslösungen noch die Ausnahme und neuartige Verfahren noch nicht in den Alltag der User vorgedrungen.
Autor: Uwe Sievers