Bringt das denn etwas für die Sicherheit?

Der Kryptoexperte Bruce Schneier fand Risk Based Authentication im Jahr 2013 einen guten Gedanken. Auf seinem Blog schrieb er: "Ich mag diese Idee, jedem einzelnen Anmeldeversuch eine Risikobewertung zu geben, die auf den Merkmalen des Versuchs basiert."

Stellenmarkt
  1. IT-Serviceverantwortliche*r für den Bereich Netzwerk
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e. V., München
  2. Referent_in Datenschutz
    Diözesan-Caritasverband für das Erzbistum Köln e.V., Köln
Detailsuche

Dem ist nicht zu widersprechen, denn wenn ein RBA-System gut implementiert ist, können die für die Risikobewertung abgeglichenen Informationen durchaus als ein eigenständiger Faktor in der Authentifizierung gesehen werden. Nutzer geben die Credentials ihres Kontos ein, wenn dann auch noch der benutzte Computer zu diesem Konto passt, sind mehr Faktoren erfüllt als nur eine gültige Kombination von Username und Passwort.

Dass das Konzept als Sicherheitsmaßnahme brauchbar erscheint, ist jedoch nicht alles. Die Qualität der Implementierung ist ebenfalls wichtig, genauso wie die Kalibrierung der Sicherheitsschwellen mit der Konfiguration. Nicht zuletzt muss es auch eine Analyse der Angriffswege geben, um herauszufinden, ob da nicht ein paar unerwartete Schwachstellen warten.

Das für die Risikobewertung in einem RBA-System verantwortliche Modul ist oft ein Stück Software, das auf Machine-Learning-Konzepten basiert. So ein System kann mit den Daten aus den bisherigen Logins in das gleiche Konto trainiert werden oder mit den gleichen Daten anderer Konten, um Unterschieden zwischen verschiedenen Nutzern mehr Gewicht zu verschaffen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Allerdings ist es auch wichtig, in ein System Erkenntnisse aus der Sicherheitslage für so ein System generell einfließen zu lassen. Denn neue Bedrohungen, Taktiken oder Werkzeuge können es Angreifern ermöglichen, veraltete Strategien mühelos auszuhebeln. Ein schlechtes System ist schwerlich in der Lage, eine fundierte Bewertung des Risikos abzugeben. Es ist damit praktisch wertlos, weil die Bewertung nur noch einem gewichteten Zufall entspricht.

Die Kalibrierung des Systems ist wichtig, weil hier Grenzwerte festgelegt werden. Ein RBA-System, das bei jedem Wechsel der WAN-IP-Adresse des heimischen Routers meldet, der Loginversuch könne kaum von der berechtigten Person sein, wird wahrscheinlich noch weniger von den Nutzern akzeptiert als eine Zwei-Faktor-Athentifizierung. Ein System, das sich sprichwörtlich zurücklehnt und alles durchwinkt, bietet wiederum keinerlei Sicherheitsvorteil gegenüber einer einfachen Authentifizierung.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auch die Authentifizierungsmethoden sind wichtig

Nicht zuletzt - das gilt aber nicht nur für RBA-Systeme - hängt die Sicherheit auch davon ab, welche zusätzlichen Authentifizierungsmethoden gefordert werden, wenn das System findet, das Risiko sei hoch. Als Negativbeispiel sei hier Facebook aus der Frühzeit der RBA-Systeme genannt: Hier mussten die auf Briefmarkenformat verkleinerten Profilfotos von in Facebook als Freunde markierten Personen identifiziert werden.

Was für manche Nutzer ein amüsantes Spielchen war, konnte für Menschen mit vielen Facebook-Freunden schnell zum Problem werden - ganz abgesehen von den Fällen, in denen mal wieder eine große Solidaritätsaktion lief, in der alle ein bestimmtes Bild als Profilbild nehmen sollten. Das Schlimmste an dem Ansatz jedoch war, dass viele Freundeslisten öffentlich waren - ein Angreifer, der sich ernsthaft Zugang zu einem Account verschaffen wollte, hätte also einfach auf einem anderen Gerät nachschauen können.

Aber auch heutzutage ist nicht alles gut. Neben Microsoft mit seinen Outlook-Accounts tritt auch hier wieder Facebook auf - diesmal in Form der Tochter Instagramm.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Risk Based Authentication: Wir brauchen leider unbedingt Ihre HandynummerManchen können schlechte Absichten unterstellt werden 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Aktuell auf der Startseite von Golem.de
PC-Hardware
Grafikkarten werden günstiger und besser verfügbar

Die Preise für Grafikkarten sind zuletzt gesunken, es gibt mehr Pixelbeschleuniger auf Lager. Das hat mehrere Gründe.

PC-Hardware: Grafikkarten werden günstiger und besser verfügbar
Artikel
  1. Prime Day 2021 bei Amazon - das sind die Highlights
     
    Prime Day 2021 bei Amazon - das sind die Highlights

    Lange haben wir gewartet, jetzt ist es so weit: Der Prime Day 2021 ist gestartet und bietet millionenfache Angebote aus allen Kategorien.
    Ausgewählte Angebote des E-Commerce-Teams

  2. Sea of Thieves: Rund zehn Stunden Abenteuer unter der Piratenflagge
    Sea of Thieves
    Rund zehn Stunden Abenteuer unter der Piratenflagge

    Die solo spielbare Kampagne Sea of Thieves: A Pirate's Life schickt Freibeuter in den Fluch der Karibik mit Jack Sparrow und Davy Jones.
    Von Peter Steinlechner

  3. Verdi: Streik am Amazon-Prime-Day an sieben Standorten
    Verdi
    Streik am Amazon-Prime-Day an sieben Standorten

    Seit über acht Jahren wollen die Verdi-Mitglieder bei Amazon einen Tarifvertrag. Und kein Ende ist abzusehen.

mucpower 07. Jun 2021 / Themenstart

genau das ist das Problem. Deine Telefonnummer hat irgendjemand aus dem Bekanntenkreis...

tom.stein 26. Mai 2021 / Themenstart

Der Gedankenansatz, dass man für RBA irgendwelche weiteren dem Benutzer zugeordneten...

Cilli 26. Mai 2021 / Themenstart

Ich kann der Einschätzung des Autors nicht zustimmen. RBA kommt vor allem bei Diensten in...

Blaubeerchen 26. Mai 2021 / Themenstart

Artikulierung und Formatierung spielen nun mal auch ne Rolle, das sollte man gerade als...

Blaubeerchen 26. Mai 2021 / Themenstart

Ich z.B. nutze eine physische Zweit-SIM-Karte einfach als reinen Empfängerdienst für 2FA...

Kommentieren


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Creative SB Z 69,99€ • SanDisk microSDXC 400 GB 39€ • Battlefield 4 Premium PC Code 7,49€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals [Werbung]
    •  /