Seit es das Internet gibt dienen Passwärter dazu, Nutzer zu "authentifizieren". Durch diese Art des Logins identifiziert das Gerät aber nicht zweifelsfrei den Nutzer, sondern registriert lediglich, dass irgendjemand die Zugangsrechte korrekt eingegeben hat. Vorfälle wie das "Collection #1"-Datenleck, bei dem über 773 Millionen Login-Datensätze im Internet veröffentlicht wurden, zeigen, wie anfällig diese Authentifizierungsmethode ist. Verwendet ein User einfache Passwörter - im schlimmsten Fall für jeden Account dasselbe - ist das für Hacker ein gefundenes Fressen. Auch Zahlen- und Sonderzeichen-Kombinationen schützen nicht unbedingt vor dem unrechtmäßigen Zugang Dritter, denn Betrüger werden raffinierter und ihre Späh-Algorithmen ausgefeilter.
Es gilt also, neue Wege zu finden, Nutzer zweifelsfrei zu identifizieren.
Foto: Andrea Danti - shutterstock.com
Biometrische Verfahren
Eine Lösung für dieses Problem lautet "Zero Login". Damit ist die Anmeldung ohne irgendeine aktive Eingabe gemeint. Smartphones ebnen seit einiger Zeit den Weg für derartige kennwortlose Authentifizierung mithilfe von biometrischen Daten. Der Fingerabdruck-Scanner, um das Gerät durch Berührung oder Drücken des Home-Buttons zu entsperren, ist bereits gängige Praxis
Neuere Modelle gehen noch einen Schritt weiter: Das Samsung S8 scannt die Iris des Nutzers, während das iPhone X das gesamte Gesicht abtastet. Dafür projiziert das Gerät Zehntausende von Lernpunkten auf das Gesicht. Eine Infrarotkamera liest das entstehende Punkteraster und rechnet es in ein dreidimensionales Modell um. Der Besitzer blickt also nur noch auf den Bildschirm und das Gerät wird freigegeben.
Auch Verhaltensanalysen dienen der Identifizierung
Im Identity- und Access-Management (IAM)-Umfeld ist Biometrie vielerorts bereits in Anwendung. Multi-Faktor-Authentifizierung (MFA) kann aber noch um einiges mehr. Vorausgesetzt die verwendeten Devices und verarbeitenden Systeme unterstützen die entsprechenden Identifizierungs-Verfahren, kann beim Entsperr- oder Login-Versuch die Rechtmäßigkeit der Anwender anhand kombinierter Kriterien festgestellt werden. Neben biometrischen Körpermerkmalen fließen dabei zum Beispiel Geo- und Bewegungsdaten, die Erkennung von anderen Geräten in der Nähe sowie Verhaltensanalysen etwa der Tippgeschwindigkeit in die Profil-Erstellung mit ein.
Amazon entwickelt beispielsweise in diese Richtung. Schon jetzt registriert der US-amerikanische Konzern, wenn sich ein Nutzer über ein fremdes Gerät oder von einem ungewöhnlichen Standort anmeldet, und stellt per Bestätigungs-Mail oder -Anruf die Identität sicher. Individuelle Verhaltensweisen wie der typische Finger-Druck beim Bedienen von Mobilgeräten können ebenfalls zur zweifelsfreien Identifizierung dienen.
Vorsicht vor isolierten Verfahren
Die neuen Verfahren wollen sicher und benutzerfreundlich sein. Entscheidend ist jedoch, dass nur mehrere Aspekte in bestimmter Übereinstimmung Zugangsrechte erlauben sollten. Werden einzelne Komponenten isoliert als Identifikations-Verfahren herangezogen, entstehen Risiken. Kritiker bemängeln zum Beispiel, dass die ausschließliche Abfrage eines einzigen biometrischen Merkmals weniger sicher sei als eine herkömmliche PIN. Es besteht also noch Handlungsbedarf, da bei manchen Geräten die Face-ID auch für Bezahlvorgänge als alleinige Authentifizierungsmethode einstellbar ist.
Auf der einen Seite eigenen sich personenbezogene Daten hervorragend, um komplexe IAM-Prozesse aufzusetzen. Sie ermöglichen ein hohes Maß an Unverwechselbarkeit und damit Sicherheit. Auf der anderen Seite sind solche Daten natürlich besonders sensibel und verdienen ihrerseits denselben Schutz, wie die Identität, deren Unversehrtheit sie gewährleisten sollen. Bei jedem neuen Faktor, der zur digitalen Authentifizierung herangezogen wird, ist daher auch immer die Frage berechtigt, wo Hersteller und Anwender einmal hinterlegte Identifikations-Merkmale speichern und wer Zugriff darauf hat.