Interview mit Juniper Networks zum Thema „Zukunft der Authentifizierung“
Wir haben ein Interview mit Steve Jacques, Consultant Engineer, Security bei Juniper Networks EMEA, zum Thema „Zukunft der Authentifizierung“ geführt.
Sysbus: „Die letzten Monate haben gezeigt, dass klassische Authentifizierungsmethoden, die nur auf Passwörtern beruhen, überholt sind. Dazu wurden zu viele Passwörter gestohlen oder kompromittiert. Alternativen sind Authentifizierungen mit Hilfe von Tokens, dynamischen Passcodes und ähnlichem. Diese sind oftmals aber unbeliebt, da sie von den Anwendern zusätzlichen Aufwand verlangen. Was denken Sie, in welche Richtung wird sich die Benutzerauthentifizierung in den nächsten Monaten und Jahren entwickeln?“
Jacques: „Die Häufigkeit und Menge an Passwort-Leaks in der letzten Zeit haben deutlich gemacht, dass zusätzliche Anstrengungen unternommen werden müssen, um persönliche Daten von Internetnutzern zu schützen. Dynamische Authentifizierungen sind bereits innerhalb der Geschäftswelt weit verbreitet und viele Web-Applikationen nutzen diese ebenfalls – zum Beispiel beim Online-Banking, bei dem Banken Hardware- oder Software-RSA-Token für Kunden bereitstellen. Allerdings werden Unternehmen oft zwischen Sicherheit und Kosten abwägen müssen: Es ist beispielsweise schwer vorstellbar, dass Online-Shops dynamische Passwörter für die Anmeldung verwenden. Gerade deshalb sind für Firmen Sicherheitslösungen auf Ebene des Netzwerks so wichtig, um Passwort-Datenbanken besser vor Angriffen zu schützen.“
Sysbus: „Sehen sie einen Unterschied in Authentifizierungstechnologien für den Unternehmensbereich wie zum Beispiel der Domänenanmeldung und der Authentifizierung in offenen Netzen wie dem Internet, beispielsweise für das Online-Shopping?“
Jacques: „Ja, denn für offene Netzwerkdienste bieten diese Technologien kaum Vorteile, sondern bedeuten oftmals nur höhere Kosten und einen größeren logistischen Aufwand. Daher werden statische Passwörter wohl auch weiterhin die Authentifizierungsmethode der Wahl für viele bleiben. Wie in der vorherigen Antwort bereits kurz angesprochen, ist es für solche Unternehmen ökonomisch sinnvoller, in den Schutz der Passwort-Datenbanken mittels fortschrittlichen Technologien zu investieren, als auf dynamische Authentifizierungsmethoden umzustellen.“
Sysbus: „In welchen Bereichen wird sich in Zukunft trotz aller Probleme die reine Passwortauthentifizierung behaupten?“
Jacques: „Online-Handel könnte ein solcher Bereich sein. Schnelle Veränderungen in der Kundenbasis, Unsicherheit über die Kundenloyalität (und dementsprechend auch über einen möglichen ROI durch die Nutzung dynamischer Authentifizierungsmethoden) sowie logistische Herausforderungen bei der Einführung dynamischer Authentifizierung angesichts der Größe der Kundenbasis legen nahe, dass statische Passwörter weiterhin Industriestandard bleiben werden. Das zeigt auch ein Blick in die Vergangenheit: Es gibt heutzutage zahlreiche Online-Dienste, die viele von uns nutzen und bei denen unsere persönlichen Daten nur durch statische Passwörter geschützt sind. Diese Webseiten und Dienste wurden bereits in der Vergangenheit kompromittiert. Doch anstatt einer Veränderung der Authentifizierungsmethoden, versprachen die Webseiten-Betreiber typischerweise, die Sicherheit der Back-End-Komponenten zu verbessern.“
Sysbus: „Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus neuen Ansätzen für die Authentifizierung ergeben?“
Jacques: „Authentifizierungsmethoden und im besonderen Sicherheitslücken sowie Enthüllungen persönlicher Daten werden weiterhin Thema sein, da der Trend, mehr und mehr Aspekte unseres täglichen Lebens online zu verwalten, weiter an Fahrt aufnimmt. Allerdings scheint es eher unwahrscheinlich, dass es große Veränderungen der Authentifizierungstechnologien geben wird, da es in den letzten Jahren nur kleine, beziehungsweise keine offensichtlichen Entwicklungen in diesem Bereich gegeben hat – trotz bekannter Sicherheitslücken bei Passwortdatenbanken. Stattdessen haben und werden sich Sicherheitsmaßnahmen, die den Zugang zu diesen Datenbanken schützen, weiterentwickeln. Und dort wird auch investiert – zum Beispiel in dynamische Netzwerksicherheitskonzepte, um Denial-of-Service- und Anwendungsangriffe zu verhindern.“
[subscribe2]