Interview mit Covisint zum Thema „Zukunft der Authentifizierung“
Wir haben ein Interview mit Dave Miller, Chief Security Officer bei Covisint, zum Thema „Zukunft der Authentifizierung“ geführt.
Sysbus: „Die letzten Monate haben gezeigt, dass klassische Authentifizierungsmethoden, die nur auf Passwörtern beruhen, überholt sind. Dazu wurden zu viele Passwörter gestohlen oder kompromittiert. Alternativen sind Authentifizierungen mit Hilfe von Tokens, dynamischen Passcodes und ähnlichem. Diese sind oftmals aber unbeliebt, da sie von den Anwendern zusätzlichen Aufwand verlangen. Was denken Sie, in welche Richtung wird sich die Benutzerauthentifizierung in den nächsten Monaten und Jahren entwickeln?“
Miller: „Vor dem Hintergrund immer häufiger auftretender Meldungen über Verletzungen der Datensicherheit dürfte die traditionelle Authentifizierungsmethode über einfache Passwortabfrage in vielen Bereichen schon bald aus der Mode kommen. Der Einsatz eines zusätzlichen Authentifizierungsfaktors ist heute notwendiger denn je. Früher mussten Anwender dazu eine zusätzliche Authentifizierungsmethode, beispielsweise einen Token-Generator, bei sich tragen. Dies erschien vielen zu aufwendig. Heute allerdings liegen die Dinge anders, denn durch den Siegeszug der Smartphones verfügen wir jetzt über ein Alltagsgerät, das sich als zweiter Faktor für die Anwenderauthentifizierung einsetzen lässt. Die Zwei-Faktor-Authentifizierung kann dabei entweder über das Eingeben eines Codes oder noch einfacher durch die Bestätigung einer entsprechenden Anfrage des Mobilgeräts erfolgen.“
Sysbus: „Sehen sie einen Unterschied in Authentifizierungstechnologien für den Unternehmensbereich wie zum Beispiel der Domänenanmeldung und der Authentifizierung in offenen Netzen wie dem Internet, beispielsweise für das Online-Shopping?“
Miller: „Ja, denn im Fall des Online-Einkaufs sind Privatnutzer in der Regel über die Kreditkarte gut abgesichert. Im B2B-Bereich hingegen kann das Verlustrisiko deutlich höher sein, etwa wenn geistiges Eigentum übertragen wird. Aus diesem Grund setzen viele Unternehmen für ihre Partner und Lieferanten stärkere Authentifizierungsmethoden voraus als für ihre Kunden.“
Sysbus: „In welchen Bereichen wird sich in Zukunft trotz aller Probleme die reine Passwortauthentifizierung behaupten?“
Miller: „Je schwieriger es für den Anwender ist, sich an einem System anzumelden, desto unwahrscheinlicher ist es, dass er es dauerhaft nutzt. Deshalb wird die reine Passwortabfrage als Schutzmaßnahme überall dort erhalten bleiben, wo der Zugriff auf ein System nur geringe Risiken mit sich bringt, etwa weil keine persönlichen Daten oder Kreditkarteninformationen ausgetauscht werden. Mit anderen Worten: Dort, wo der Registrierungsaufwand für den Anwender so klein wie möglich zu halten ist, werden Passwörter fortbestehen. Dies schließt Systeme ein, die sich kostenlos nutzen lassen oder möglichst viele Nutzer anziehen sollen und gleichzeitig nur ein geringes oder kein Risikopotenzial für den Anwender aufweisen.“
Sysbus: „Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus neuen Ansätzen für die Authentifizierung ergeben?“
Miller: „Durch die Verwendung eines Mobiltelefons oder einer IP-Adresse als Authentifizierungsfaktor wird das Authentifizierungsverfahren transparenter. Dies führt zu einer insgesamt höheren Sicherheit. Ich persönlich denke, dass wir uns zwangsläufig auf sicherere Zugriffsstrukturen zubewegen. Noch schlimmer als mit einfacher Passwortauthentifizierung für sensible Anwendungen wie in der Vergangenheit kann es nicht werden.“
[subscribe2]