Interview mit Bitdefender zum Thema “Zukunft der Authentifizierung”

Wir haben ein Interview mit Bogdan Botezatu, Senior E-Threat Analyst bei Bitdefender, zum Thema “Zukunft der Authentifizierung” geführt.

Sysbus: “Die letzten Monate haben gezeigt, dass klassische Authentifizierungsmethoden, die nur auf Passwörtern beruhen, überholt sind. Dazu wurden zu viele Passwörter gestohlen oder kompromittiert. Alternativen sind Authentifizierungen mit Hilfe von Tokens, dynamischen Passcodes und ähnlichem. Diese sind aber oftmals unbeliebt, da sie von den Anwendern zusätzlichen Aufwand verlangen. Was denken Sie, in welche Richtung wird sich die Benutzerauthentifizierung in den nächsten Monaten und Jahren entwickeln?”

Botezatu: “Passwörter bieten bekanntermaßen einen nur unzureichenden Schutz von Online-Konten. Sie wurden bereits in den Kindertagen des Internets eingeführt, als Vertrauen noch kein Thema war, und sind seitdem zum De-facto-Authentifizierungsstandard aufgestiegen, da sie kostengünstig und leicht umzusetzen sind. Durch die starke Verbreitung von Mobiltelefonen und die zunehmende Unterstützung durch Branchenriesen wie Google, Twitter und Finanzdienstleistern weltweit gewinnen sekundäre Authentifizierungsfaktoren wie Token oder Apps zur Generierung von Token bereits heute immer mehr an Boden. Aller Voraussicht nach werden biometrische Daten und Chipkarten bei zukünftigen Authentifizierungstechnologien eine wichtige Rolle spielen.”

Sysbus: “Sehen Sie einen Unterschied in Authentifizierungstechnologien für den Unternehmensbereich, wie zum Beispiel der Domänenanmeldung, und der Authentifizierung in offenen Netzen wie dem Internet, beispielsweise für das Online-Shopping?”

Botezatu: “Zwar setzen die meisten großen Unternehmen bereits auf die Authentifizierung durch Chipkarten oder zumindest auf den Einsatz von Digital Trust (digitale Zertifikate, die vom Domain-Administrator ausgegeben werden) oder auf Einschränkungen hinsichtlich der Quell-IP-Bereiche. Unglücklicherweise eignen sich diese in Unternehmen durchaus erfolgreichen Gegenmaßnahmen nicht zum Einsatz auf globaler Ebene oder wären hier zumindest zu kostspielig. So verfügen Computer in Unternehmen in der Regel über biometrische Geräte und Hardware zum Lesen von Chipkarten, diese finden sich jedoch in den wenigstens Laptops und PCs von Privatanwendern.”

Sysbus: “In welchen Bereichen wird sich in Zukunft trotz aller Probleme die reine Passwortauthentifizierung behaupten?”

Botezatu: “Unglücklicherweise ist eine schnelle Ablösung von Passwörtern durch andere Authentifizierungsmethoden nicht in Sicht. Einer der Hauptgrüne dafür ist die Tatsache, dass es immer eine Vielzahl von älteren Computern und Web-Diensten geben wird, die keine Migration auf eine neu einzuführende Authentifizierungstechnologie erlauben. Ein Beispiel dafür ist der WEP-Verschlüsselungsstandard für Drahtlosnetzwerke, der zur Gewährleistung von Abwärtskompatibilität standardmäßig mit Routern und Computern ausgeliefert wird, obwohl WEP Sicherheitslücken aufweist und die Mindestsicherheitsanforderungen für eine serienreife Technologie nicht erfüllt.”

Sysbus: “Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus neuen Ansätzen für die Authentifizierung ergeben?”

Botezatu: “Für mich sind Chipkarten eine praktikable Authentifizierungstechnologie, da sie allgemein akzeptiert sind (so sind biometrische Daten in vielen Länder ein rotes Tuch, da sie als Eingriff in die Privatsphäre empfunden werden) und immer mehr europäische Länder Chipkarten als Ausweisdokumente für ihre Bürger ausgeben. Ich gehe jedoch auch davon aus, dass viele Menschen nur widerwillig ihre offiziellen Ausweisdokumente zur Authentifizierung verwenden würden, da sie so ihre Anonymität im Netz aufgeben müssten. Es ist zwar oberflächlich, aber ich bin überzeugt, dass Internetnutzer derzeit noch nicht bereit sind, ihre Online-Aktivitäten mit ihrer wahren Identität zu verknüpfen.”

[subscribe2]