Authentifizierung
Vor der Diskussion darüber, welche Varianten der starken Authentifizierung
beim Active Directory wie genutzt werden können, muss man sich zunächst
damit beschäftigen, was starke Authentifizierung überhaupt ist. Leider gibt es
dazu keine einheitliche Meinung, durch die unterschiedlichen Interessen von
Anbietern unterschiedlichster Authentifizierungstechnologien und
Betriebssystemen.
Eigentlich ist nicht das AD, sondern Windows
selbst für die
Authentifizierung zuständig. Das AD ist nur ein Verzeichnis für
Authentifizierungsinformationen, in dem beispielsweise Kennwörter und digitale
Zertifikate abgelegt sowie Informationen über die Zuordnung von Benutzerkonten
und Zertifikaten gespeichert werden können.
Was ist starke Authentifizierung?
Authentifizierung bezeichnet die Verifizierung der Identität eines Benutzers. Die
Bandbreite reicht von der Übergabe einfacher Informationen wie einem
Rechnernamen ohne zusätzliche Daten wie Kennwörter bis hin zur Kombination
von Smartcards/One Time Password Tokens mit biometrischen Faktoren. Bei
der Authentifizierung werden die übergebenen Informationen geprüft und mit
hinterlegten Informationen verglichen.
Starke Authentifizierung bedeutet also, dass die Verfahren für die
Authentifizierung so ausgelegt sind, dass mehr und komplexere Informationen
geliefert werden müssen.
Grundsätzlich lassen sich bei der Sicherheit von Authentifizierungsansätzen
zwei Ebenen unterscheiden:
- Wie sicher ist die Übertragung der Authentifizierungs-
Informationen?
- Wie sicher sind die Authentifizierungsinformationenselbst – wie schwer ist es also,
diese in irgendeiner Form zu manipulieren?
Der erste Aspekt hat bei der Weiterentwicklung von NTLM und bei der
Entscheidung von Microsoft für die Wahl von Kerberos eine wichtige Rolle
gespielt. Er ist eine notwendige, aber nicht hinreichende Bedingung für die
starke Authentifizierung. Denn die sicherste Übertragung nutzt nichts, wenn
sich zu einfache Kennwörter leicht erraten lassen.
Starke Authentifizierung setzt also voraus, dass auch die zweite
Herausforderung adressiert wird.
Benutzernamen und Kennwörter
Es gibt einige Systeme und Anwendungsbereiche, in denen nur mit der
Übergabe von Parametern wie Rechnernamen gearbeitet wird. Solche Verfahren
sind ebenso wie die einfache Überprüfung von IP-Adressen grundsätzlich nicht
sicher, weil sich die Informationen einfach manipulieren lassen.
Das gängigste Verfahren für die Authentifizierung ist die Kombination von
Benutzernamen und Kennwörtern oder, bei Diensten und Systemen, auch von
Dienst- oder Rechnernamen mit in irgendeiner Form hinterlegten Kennwörtern.
Der Vorteil dieser Art von Authentifizierung ist, dass das Konzept gut beherrscht
wird. Es gibt aber zwei gravierende Nachteile:
-
Es wird mit einer so genannten Ein-Faktor-Authentifizierung gearbeitet, bei der
neben dem ohnehin erforderlichen Benutzernamen nur ein weiterer Faktor, das
Kennwort, verwendet wird. Wer dieses hat, kann sich authentifizieren. Im Gegen-
satz dazu stehen Zwei-Faktoren-Authentifizierung und weitergehende Konzepte, bei
denen mehr Faktoren miteinander für eine erfolgreiche Authentifizierung kombiniert
werden müssen.
- Die Sicherheit hängt zudem von der Qualität der Kennwörter
ab. Hier spielen
Aspekte wie die Länge, Komplexität und
Änderungshäufigkeit eine wichtige Rolle.
Letztlich ist eine Benutzername-/Kennwort-Authentifizierung zwar ein valider
Mechanismus, für hohe Sicherheitsanforderungen aber nicht ausreichend. Denn
auch die besten Kennwörter lassen sich über Ansätze wie das Erfragen von
Kennwörtern, beispielsweise über Telefonanrufe, die von einem angeblichen IT-
Administrator kommen, ermitteln.
Daher geht der Trend zu einer Mehr-Faktor-Authentifizierung. Das kann etwa der
Einsatz von zusätzlicher Hardware, wie z.B. einer Smartcard, Token oder
ähnlichem sein. Hier gibt es zwei Faktoren:
- Den Besitz der Hardware.
- Das Wissen über eine PIN oder ein Passwort.
Wichtig ist, dass hier das Wissen und der Besitz kombiniert werden. Bei
biometrischen Verfahren wird dagegen typischerweise das Sein mit einem
Wissen oder Besitz kombiniert. Drei-Faktor-Verfahren kombinieren in der Regel
Besitz, Wissen und Sein. Der Vorteil ist, dass es für einen Angreifer sehr viel
schwieriger ist, an die Smartcard z.B. und das zugehörige Wissen zu gelangen
als nur an ein Kennwort. Bei biometrischen Verfahren wird – trotz aller
Schwächen, die beispielsweise Fingerabdruckleser heute noch haben – diese
Hürde noch einmal erhöht.
Unsere Lösungen vereinen die angesprochenen Faktoren miteinander
und sind teilweise in komplette Identity Management Lösungen
integriert oder weisen entsprechende Schnittstellen auf.