IT Security
Die Identitätskrise kann gelöst werden

IT Security

Die Ineffizienz von Sicherheitsmaßnahmen, die auf User-Namen und Passwörtern beruhen, ist wohlbekannt. Passwörter sind entweder so kurz und einfach, dass sie leicht zu erraten sind, oder so lang und komplex, dass sie aufgeschrieben werden – und potentiell offenliegen, so dass jeder sie sehen kann.

Die Verwaltung von mehreren User-Namen und Passwörtern für eine Vielzahl von Websites ist für uns alle ein Alptraum. Es ist auch ein Sicherheitsrisiko, da User dazu neigen, dasselbe Passwort für mehr als eine Site zu verwenden, einschließlich derer, die relativ unwichtig und ungesichert sind.

Passwörter können von einer Person oder einer Kamera mitgelesen werden, sie können von Software gecrackt werden oder beim belauschen von Netzwerkverkehr gestohlen werden. Im Grunde muss man sagen, dass passwortbasierte Authentifizierung unsicher ist.

“Passwort-basierte Sichrheit hat ihr Verfallsdatum vor 10 Jahren überschritten, allerdings hat niemand bemerkt, dass sie tot ist”

Es ist außergewöhnlich, dass trotz dieser bekannten Defizite User-Namen und Passwörter immer noch bei Business-to-Business- und Business-to-Consumer-E-Commerce-Sites weithin gebräuchlich sind. Die jüngsten und weiterhin stattfindenden Phishing-Attacken, die die Großbanken erleiden mussten, zeigen, was für ein Fehler das ist. Laut Andrew Nash, Director of Technology bei RSA Security, hat die passwortbasierte Authentifizierung “ihr Verfallsdatum vor 10 Jahren überschritten, allerdings hat niemand bemerkt, dass sie tot ist”.

Im Prinzip ist strengere Authentifizierung relativ kostengünstig. Die einfachste Lösung ist etwas wie das SecurID-Token, ein kleines Gerät in Schlüsselanhängergröße, das alle 60 Sekunden ein neues Einmal-Passwort generiert. Der Vorteil von Tokens besteht darin, dass sie nicht an einen PC angeschlossen sein müssen, um zu funktionieren; sie generieren sogar ein Passwort für die Benutzung in einem Internet-Café.

Ausgefeiltere Systeme verwenden Smartcards. Ein Smartcard-Leser ist erforderlich, aber mit einem Adapter ist schon ein USB-Port ausreichend. Bei Smartcards müssen keine langen Passwörter eingetippt werden, wobei allerdings normalerweise ein PIN-Code verwendet wird, um die Karte für Diebe wertlos zu machen. Smartcards sind programmierbar, so dass sie weitreichend in Anwendungen integriert werden können. Java-Smartcards werden bereits in großem Umfang genutzt, und bei dem letzten IT Forum von Microsoft in Kopenhagen stellte der Smartcard-Spezialist Axalto seine dot-Net-Smartcard vor, die mit Visual Studio programmiert werden kann.

Da die Technologie vorhanden ist, stellt sich die Frage, weshalb es immer noch so viel passwortbasierte Authentifizierung gibt. Das Schlüsselproblem dabei ist, dass es zwar einerseits relativ leicht für Firmen ist, ihre eigenen Unternehmensnetzwerke mit Tokens und Smartcards zu schützen, das es andererseits aber schwieriger ist, sichere Authentifizierungsabkommen mit Dritten zu schließen. Niemand möchte ausgebeulte Hosentaschen haben von den ganzen verschiedenen Tokens oder Karten, die jeder Partner verteilt, mit dem man Online-Geschäfte betreibt.

Die Lösung liegt in der Kombination von leistungsstarker Authentifizierung mit gemeinsam genutzter Identität, was die Nutzung einer Vielzahl von Websites mit einmaligem Anmelden erlaubt. Es wurde bereits viel Arbeit geleistet, um dies zu ermöglichen. Firmen wie IBM und Microsoft haben gemeinsam genutzte Identitäten unter Verwendung sicherer XML-Web-Services gezeigt, und das Konsortium Liberty Alliance hat weitreichende Unterstützung durch die Industrie für seine Spezifikationen für gemeinsam genutzte Identität erhalten.

Ironisch, dass diejenigen Organisationen, die am meisten unter Identitätsdiebstahl leiden könnten, bereits die Infrastruktur haben, um dies zu vermeiden.

Wir sollten nicht länger lahm akzeptieren, dass ein passwortbasiertes Anmelden ausreichender Schutz für unsere digitale Identität sei. Vor allem die Banken haben wenig Entschuldigungsgründe, da sie bereits an die meisten Kunden Smartcards in Form von Kredit- und Geldkarten ausgegeben haben.

Es ist ironisch, dass diejenigen Organisationen, die am meisten unter Identitätsdiebstahl leiden könnten, bereits die Infrastruktur haben, um dies zu vermeiden.

Banken und andere Unternehmen müssen realisieren, dass die Möglichkeit, ihren Kunden leistungsfähige Authentifizierungstechnologien anzubieten, ein wichtiger Wettbewerbsvorteil ist.