Wenn man sich bei einem Webdienst anmeldet, um personalisierte Angebote zu nutzen (z.B. bei einem Webmailer oder einem Shop) muss man sich als berechtigter User authentifizieren. Für diese Authentifizierung gibt es mehrere Methoden, die man grob in folgende Gruppen einteilen kann:
- Authentifizierung durch Wissen: Man muss nachweisen, dass man Kenntnis von einem Geheimnis hat, das Dritten nicht bekannt sein sollte (z.B. Passwort oder die Antwort auf eine Sicherheitsfrage). Ein Angreifer sollte dieses Geheimnis nicht von einem Zettel ablesen, es nicht erraten oder durch Ausprobieren knacken können.
Anregungen zum Nachdenken:
Unter den Bedingungen der zunehmenden Videoüberwachung öffentlicher Plätze muss man auch damit rechnen, dass die Passworteingabe bei Nutzung von Smartphones durch Dritte beobachtet werden kann.
- Authentifizierung durch Besitz: Man muss nachweisen, dass man ein besonderes bzw. individuell konfiguriertes "Token" besitzt, das ein Angreifer nicht besitzen kann. Dabei unterscheidet man zwischen:
- "Harter Besitz" ist ein physischen vorhandenes, individuell konfiguriertes "Token", welches nicht kopierbar ist (z.B. Yubikey, U2F-Stick, ePA, NitroKey Pro…)
- "Weicher Besitz" ist eine Anhäufung speziell konfigurierter Bits und Bytes, die evtl. auf einem anderen Gerät gespeichert sind aber prinzipiell kopierbar sind (z.B. OTP-Apps auf Smartphones oder X509 Zertifikate).
Im Consumer Bereich wird am häufigsten OTP (One-Time-Passwörter) mit Smartphone Apps oder Hardware Token angeboten. OTP schützt gegen Keylogger und gegen Mitleser unter den Bedingungen der Videoüberwachung. Es schützt nicht(!) bei Einbrüchen auf dem Server. Da bei OTP-Server und Client den gleichen Algorithmus ausführen, kann ein Angreifer bei erfolgreichem Einbruch die Parameter auslesen und clonen.
Die modernere Variante ist U2F mit Public-Key Kryptografie. Es wird nur ein Public Key für die Authentifizierung auf dem Server gespeichert. Damit sind die Daten auch für einen Einbrecher wertlos. Allerdings wird U2F nur von wenigen Anbietern und bisher nur vom Browser Google Chrome unterstützt. Die breite Einführung dauert noch etwas.
Die Verwendung von Zertifikaten gibt es eher bei Business Anwendungen, Serveradministration (SSH Keys) oder für hoheitliche Aufgaben (ePA).
- Biometrische Merkmale: (Fingerabdruck, Iris) sind für die Authentifizierung eher ungeeignet, weil man sie bei einer Kompromittierung nicht ändern kann.
Auf dem 31C3 demonstrierte Starbug, wie er den Fingerabdruck von Frau v.d. Leyen und den Iris Scan von Bundeskanzlerin Merkel mit einem hochauflösenden Kameraobjektiv während einer Pressekonferenz kompromittierte.