Zugriffssicherheit mit unknackbarem Passwort erhöhen

Mobiler Single Sign-on

Unknackbare Passwörter und wasserdichte Zugriffsmöglichkeiten – so oder so ähnlich lautet der fromme Wunsch vieler mobiler Anwender. Mittels einer Kombination aus biometrischer Authentifizierung und intelligenten Passwörtern kann aus reinem Wunschdenken durchaus gelebte Realität werden.

Theoretisch ist der Kreativität bei der Passwortauswahl keine Grenze gesetzt, allzu oft setzen Nutzer allerdings auf zu leicht knackbare Buchstabenkombinationen.

Erlaubt ein Unternehmen seinen Mitarbeitern den mobilen Zugriff auf sensible Firmendaten oder -anwendungen, sollte dieser bestmöglich geschützt werden. Hier gilt die sichere Identifizierung des Anwenders als besonders kritisch, wobei einfache Passwörter oftmals viel zu kurz greifen. „Ein einfacher Username verbunden mit einem einfachen Passwort bergen ein zu hohes Risiko.
Unternehmen wie Privatanwender gleichermaßen sollten daher auf eine Zwei-Faktor-Authentifizierung umstellen bzw. diese bei ihrem Service-Provider einfordern. Denn nur so ist eine sichere Identifizierung möglich“, fordert Thorsten Krüger, Director Sales beim Sicherheitsspezialisten Safenet.

Hinter der angesprochenen Zwei-Faktor-Authentifizierung verbirgt sich die Anmeldung des Nutzers auf unterschiedlichen Wegen. Zum Einsatz können dabei sowohl softwarebasierte Autorisierungsverfahren als auch biometrische Lösungen kommen. „In der Praxis hat sich häufig eine Kombination aus Biometrie und Passwort bewährt“, berichtet Thomas Bengs, Head of Security Solutions bei Fujitsu Technology Solutions. Dabei sollte man jedoch beachten, dass die derzeit existierenden biometrischen Verfahren deutliche Unterschiede hinsichtlich des Sicherheitsniveaus aufweisen.

Thorsten Rosendahl, Sicherheitsberater bei Cisco, räumt an dieser Stelle ein, dass speziell im Mobile-Bereich hardwarebasierte Authentifizierungen aufgrund der sehr verschiedenartigen Plattformen noch sehr selten zu finden sind. „Biometrie ist derzeit meist auf den Fingerabdruck und die Gesichtserkennung beschränkt, was mit der Verwendung eines Nutzernamens, aber nicht mit einem Passwort gleichzusetzen ist, auch da bereits von Fingerprint-Hacks oder bei Google Face Unlock auch von Foto-Hacks berichtet wurde“, betont Rosendahl. Von daher bleibt fraglich, ob die von den Anbietern bereits in ihre Mobilgeräte integrierten biometrischen Verfahren – etwa der Fingerprint-Sensor des iPhone 5S oder das seit Android 4.0 verfügbare Feature „Face Unlock“ – tatsächlich den Sicherheitsanforderungen von Unternehmen genügen können.

Will man eine höhere Sicherheitsstufe als beim Fingerabdruck- oder Geschichts-Scan erreichen, rät Thomas Bengs zur Variante der Handvenenerkennung. Hierbei wird das Venenmuster einer Hand erfasst und mittels verstärkter Absorption von Infrarotstrahlen mit einem Referenzmuster verglichen. Der Hintergrund: Die Venenmuster der menschlichen Hand sind komplex, bleiben zeitlebens unverändert und sind bei jedem Menschen unterschiedlich. Zudem funktioniert die Methode einzig bei pulsierenden Venen sowie aus hygienischen Gründen berührungsfrei. Die Lösung, die Fujitsu selbst in diesem Bereich anbietet, heißt Palm Secure. Laut Bengs sei diese Methode zehn Mal sicherer als ein Scan der Iris im menschlichen Auge, hundert Mal sicherer als die Authentifizierung über einen Fingerabdruck sowie tausend Mal sicherer als die Gesichtserkennung.

Nur einmal anmelden

Geht es neben der Hardware-Authentifizierung um die Eingabe von Passwörtern, kann sich im mobilen Umfeld die Nutzung eines Single Sign-on (SSO) lohnen. Das Prinzip der sogenannten „Einmalanmeldung“ soll die Anzahl der Passwörter reduzieren und damit den Nutzern den Zugang zu Apps und Firmendaten erleichtern. „Gleichzeitig erhöhen mobile SSO-Mechanismen die Effizienz der Zugriffskontrolle“, sagt Jason Goode, Regional Director EMEA bei Ping Identity. Denn jede Person nutzt zig digitale Konten und benötigt jeweils die zugehörigen Login-Daten. Dies führt zu einer Flut von Benutzernamen und Passwörtern für jeden einzelnen. Diese sind laut Goode sowohl für den User als auch für Unternehmen ab einem gewissen Punkt nicht mehr effektiv darstellbar. Und da SSO-Systeme neben der Bereitstellung und Verwaltung von Identitäten auch für die Vergabe von Zugriffs- und Nutzungsrechten zuständig sind, lässt sich recht einfach überblicken, welcher Nutzer sich nicht im Rahmen der Compliance-Vorschriften bewegt.

Doch wie funktioniert der Zugriff mittels mobilem Single Sign-on? „Im Idealfall meldet sich der Mitarbeiter über eine starke Authentifizierung – etwa via Einmalpasswort – an der SSO-Plattform an. Möchte er anschließend auf Applikationen, wie Office 365 oder Salesforce.com, zugreifen, wird er über die Plattform im Hintergrund automatisch authentifiziert“, berichtet Thorsten Krüger. Möglich wird dies durch die Anwendung der Security Assertion Markup Language (SAML), einer weit verbreitete Technologie, die für Authentifizierungen im Hintergrund eingesetzt werden kann. Desweiteren nutzen fortschrittliche SSO-Systeme laut Jason Goode Technologien wie standardbasierte Tokenisierung zum Austausch von Zugangsdaten sowie die Verschlüsselung von Speichervorgängen und versendeten Informationen.

Die Tür verschließen

Was sich zunächst nach einem wasserdichten Anmeldeprozess anhört, birgt jedoch auch Gefahren: So geht mit der Nutzung eines Single Sign-on gleichzeitig ein höheres Risiko einher, denn letztlich werden mehrere Passwörter durch ein einziges ersetzt. Gerät dieses eine „Super-Passwort“ in falsche Hände, werden dem Feind Tür und Tor zu sämtlichen Unternehmensanwendungen geöffnet. „Dann ist ein missbräuchlicher Zugriff auf zahlreiche Ressourcen möglich“, warnt Goode. Jedoch lasse sich dieses Risiko durch entsprechende Verhaltensregeln hinsichtlich der Aufbewahrung des Passworts weitgehend minimieren – so sollte das Kennwort beispielsweise niemals schriftlich verwahrt werden.

Apropos Passwort – wer noch keine mobile SSO-Lösung nutzt, sollte bei der Erstellung seiner diversen Kennwörter einige grundlegende Dinge beachten, um auf Nummer sicher zu gehen: „Passwörter sollten aus mindestens 14 Zeichen bestehen – je länger sie sind, desto stärker sind sie auch. Zudem sollte die Vielfalt der Zeichen möglichst groß sein, d.h. ideal ist eine Kombination aus „normalen“ Buchstaben, Zahlen und Sonderzeichen“, rät Jason Goode. Als sinnvoll für Passwörter hätten sich überdies die Anfangsbuchstaben eines leicht zu merkenden Satzes aus mindestens zehn Worten erwiesen (siehe Infokasten). Dieses Passwort sollte zusätzliche durch Zahlen, Groß- und Kleinschreibung und Sonderzeichen verkompliziert werden.

Zusammenfassend verspricht die Kombination mehrerer Authentifizierungsverfahren den vermeintlich besten Schutz. „In diesem Zusammenhang dürfen die Verantwortlichen jedoch nicht die Benutzerakzeptanz vernachlässigen. Denn höchste Sicherheit bedeutet oft Einschränkungen im Benutzerkomfort“, so Florian Malecki, Product Marketing Director bei Dell. Von daher gilt es, die richtige Balance zu finden. Denn eines ist laut Malecki klar: „Fehlt die Akzeptanz, können die Nutzer sehr einfallsreich sein, wenn es darum geht, als Einschränkung empfundene Sicherheitsmaßnahmen zu umgehen.“ Und Thomas Bengs gibt den Verantwortlichen nicht zuletzt mit auf den Weg, neben der einfachen Handhabbarkeit für die Anwender auch die effiziente Verwaltung sowie Einbindung in die gesamte Sicherheitskonzeption des Unternehmens nicht zu vernachlässigen.

Tipps & Tricks für ein gutes und sicheres Passwort finden Sie hier ->

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok