Interview mit ForgeRock zum Thema „Zukunft der Authentifizierung“
Wir haben ein Interview mit Markus Weber, Product Marketing bei ForgeRock, zum Thema „Zukunft der Authentifizierung“ geführt.
Sysbus: „Die letzten Monate haben gezeigt, dass klassische Authentifizierungsmethoden, die nur auf Passwörtern beruhen, überholt sind. Dazu wurden zu viele Passwörter gestohlen oder kompromittiert. Alternativen sind Authentifizierungen mit Hilfe von Tokens, dynamischen Passcodes und ähnlichem. Diese sind oftmals aber unbeliebt, da sie von den Anwendern zusätzlichen Aufwand verlangen. Was denken Sie, in welche Richtung wird sich die Benutzerauthentifizierung in den nächsten Monaten und Jahren entwickeln?“
Weber: „Im Gegensatz zum relativ eindimensionalen Ansatz des herkömmlichen Identity und Access Management (IAM), das auf das Management von (Mitarbeiter)-Identitäten ausgerichtet ist, richtet Identity Relationship Management (IRM) den Blick nach außen, direkt auf die Kunden. Sicheres Identitätsmanagement muss zwei komplementäre Ansätze verfolgen, um Authentifizierung zu verbessern. Einerseits eine starke Authentifizierung (’strong authentication‘) bei der man mehrere Methoden anwendet, um sicher zu gehen, dass der Benutzer auch der ist, den er vorgibt zu sein. Solche Methoden kann man über das, was man weiß (zum Beispiel ein Passwort), was man hat (zum Beispiel ein Smartphone), oder was man ist (zum Beispiel den Fingerabdruck) einrichten. Die andere Methode wird eine kontextabhängige oder risikobewusste Authentifizierung (‚contextual or risk-aware authentication‘) sein, bei der eine Reihe externer Faktoren dabei helfen können, die Größe des Risikos der Transaktion zu bestimmen. Beide Methoden können jeweils alleine oder zusammen angewendet werden. Unter anderem kann ein System den Kontext eines Zugriffs auf Unternehmensressourcen verstehen und darauf reagieren. In der Praxis kann das zum Beispiel heißen, dass das System im Falle eines Log-Ins von einem neuen Gerät oder von einem exotischen Land zusätzlich zum Passwort weitere Informationen zur Authentifizierung abfragt oder sich die Identität per SMS bestätigen lässt.“
Sysbus: „Sehen Sie einen Unterschied in Authentifizierungstechnologien für den Unternehmensbereich wie zum Beispiel der Domänenanmeldung und der Authentifizierung in offenen Netzen wie dem Internet, beispielsweise für das Online-Shopping?“
Weber: „Da gibt es große Unterschiede! Was Endgeräte betrifft, waren früher Sicherheitsszenarien eher auf Single Sign-On (SSO) konzipiert, weil man annehmen konnte, dass Endgeräte die geschäftseigenen Rechner waren. Heute muss man davon ausgehen, dass mit einer steigenden Vielzahl verschiedener Geräte und mobil von verschiedenen Orten zugegriffen wird. Auch muss eine leichte Integration in vorhandene Unternehmens-Software gewährleistet sein. Bezogen auf Protokolle wurden früher vor allem Enterprise SSO, und Cross-Domain SSO benutzt, als traditionell leistungsfähige, aber relativ komplexe Technologien beispielsweise SAML2. In der modernen und mobilen Welt sind eher moderne und einfachere Technologien wie OAuth2 und OpenID Connect im Einsatz. Auch die Geduld der Benutzer ist ein wichtiger Faktor. Denn innerhalb einer Firma kann man Angestellten relativ einfach vorschreiben, mit welcher Methode und mit welchen Geräten sie sich einloggen müssen. In der Welt der Konsumenten wird sich ein Kunde, oder potenzieller Kunde, relativ schnell abwenden, falls der Prozess des Einloggens oder der Authentifizierung zu lange dauert. Um es Benutzern leichter zu machen, kann man Social LogIn anbieten, sprich man kann sich mit einem existierenden Konto eines Sozialnetzwerkes problemlos und schnell anmelden.“
Sysbus: „In welchen Bereichen wird sich in Zukunft trotz aller Probleme die reine Passwortauthentifizierung behaupten?“
Weber: „Benutzername und Passwort bleiben sicherlich noch einige Zeit in Gebrauch. Benutzer haben sich einfach zu stark daran gewöhnt. Moderne Technologien, wie zum Beispiel TouchID, können auch eine Identifizierungs-Anmeldung einfacher machen. Aber es bleiben wohl vorerst Benutzername und Passwort erhalten. Dieses Vorgehen setzt sich allgemein zusammen mit Risk-Based Authentifizierung durch. Diese Methode kann im Bedarfsfall zusätzliche Checks durchführen, also eine ‚Multi-Faktor Authentifizierung‘.“
Sysbus: „Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus neuen Ansätzen für die Authentifizierung ergeben?“
Weber: „Kontextabhängige Identifizierung wird sehr wahrscheinlich zur Sicherheit von Passwort-basierten Systemen beitragen, und diese deshalb länger am Leben halten. Aber im Endeffekt wird – wie immer – der Benutzer den Markt diktieren. Es wird alles darauf hinauslaufen, Authentifizierung so einfach und so sicher wie möglich zu machen.“
[subscribe2]