Interview mit Thomas Greiner von der Eyeo GmbH zum Thema „Authentifizierung“
Wir haben ein Interview mit Thomas Greiner, Software Engineer bei der Eyeo GmbH, zum Thema „Authentifizierung“ geführt.
Sysbus: „Die letzten Monate haben gezeigt, dass klassische Authentifizierungsmethoden, die nur auf Passwörtern beruhen, überholt sind. Dazu wurden zu viele Passwörter gestohlen oder kompromittiert. Alternativen sind Authentifizierungen mit Hilfe von Tokens, dynamischen Passcodes und ähnlichem. Diese sind aber oftmals unbeliebt, da sie von den Anwendern zusätzlichen Aufwand verlangen. Was denken Sie, in welche Richtung wird sich die Benutzerauthentifizierung in den nächsten Monaten und Jahren entwickeln?
Greiner: „Grundsätzlich kann man jemanden durch etwas das man weiß (zum Beispiel ein Passwort), etwas das man hat (etwa ein Smartphone) oder etwas das man ist (beispielsweise einen Fingerabdruck) authentifizieren. Auf denselben Prinzipien basieren auch neuere Methoden zur Authentifizierung und es ist nicht absehbar, dass sich daran etwas ändern wird. Es wird wohl daher auf jene Methoden hinauslaufen, die eine einfache Bedienung und zugleich eine möglichst geringe Angriffsfläche bieten. Hierfür sprechen Entwicklungen wie etwa Apples Touch ID, Mozillas Persona oder das auf QR-Codes basierende SQRL. Auch in Zukunft wird es aber so sein, dass Angreifer verstärkt auf Social Engineering setzen, um an die Daten einer Person heranzukommen.“
Sysbus: „Sehen Sie einen Unterschied in Authentifizierungstechnologien für den Unternehmensbereich, wie zum Beispiel der Domänenanmeldung, und der Authentifizierung in offenen Netzen wie dem Internet, beispielsweise für das Online-Shopping?“
Greiner: „Im Internet sind andere, zusätzliche Parteien involviert als es im Unternehmenssektor der Fall ist: von ungeschulten Internetnutzern bis hin zu Internet Service Providern. Dadurch ergeben sich auch andere Anforderungen und Herausforderungen. ‚Trust no one‘ (TNO) zum Beispiel beschreibt Verfahren, bei der die Authentifizierung direkt am Client (etwa über das Smartphone des Benutzers) ausgeführt wird und nicht am Server, wie es derzeit üblich ist. Das ermöglicht es dem Anbieter, Daten zu speichern, ohne die Möglichkeit zu haben, selbst herausfinden zu können, um welche Daten es sich dabei handelt.“
Sysbus: „In welchen Bereichen wird sich in Zukunft trotz aller Probleme die reine Passwortauthentifizierung behaupten?“
Greiner: „Passwörter werden uns in voraussehbarer Zeit wohl noch erhalten bleiben, da sie bisher bei ziemlich allen Technologien verwendet werden – auch wenn sie womöglich nur als Möglichkeit zur Wiederherstellung dienen. Passwörter sind trotz allem noch immer sicher in Bereichen, wo man sicherstellen kann, dass Nutzer einzigartige, lange Passwörter mit großer Entropie verwenden und in welchen Passwörter unter Einsatz moderner Sicherheitstechniken gespeichert werden.“
Sysbus: „Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus neuen Ansätzen für die Authentifizierung ergeben?“
Greiner: „Wichtig ist es, eine Möglichkeit zu finden, die einem mehr Sicherheit bietet als Passwörter, ohne dabei zu viel Mehraufwand vom Anwender zu erfordern. Nichtsdestotrotz bleibt die Aufklärung von Nutzern ein integraler Bestandteil, um die Sicherheit dieser Technologien gewährleisten zu können.“
[subscribe2]