Bringt das denn etwas für die Sicherheit?

Der Kryptoexperte Bruce Schneier fand Risk Based Authentication im Jahr 2013 einen guten Gedanken. Auf seinem Blog schrieb er: "Ich mag diese Idee, jedem einzelnen Anmeldeversuch eine Risikobewertung zu geben, die auf den Merkmalen des Versuchs basiert."

Stellenmarkt
  1. Ingenieur Validierung & Verifikation für mechatronische Fahrwerkaktuatoren (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. Consultant Agile Coach (m/w/d)
    Lidl Digital, Neckarsulm
Detailsuche

Dem ist nicht zu widersprechen, denn wenn ein RBA-System gut implementiert ist, können die für die Risikobewertung abgeglichenen Informationen durchaus als ein eigenständiger Faktor in der Authentifizierung gesehen werden. Nutzer geben die Credentials ihres Kontos ein, wenn dann auch noch der benutzte Computer zu diesem Konto passt, sind mehr Faktoren erfüllt als nur eine gültige Kombination von Username und Passwort.

Dass das Konzept als Sicherheitsmaßnahme brauchbar erscheint, ist jedoch nicht alles. Die Qualität der Implementierung ist ebenfalls wichtig, genauso wie die Kalibrierung der Sicherheitsschwellen mit der Konfiguration. Nicht zuletzt muss es auch eine Analyse der Angriffswege geben, um herauszufinden, ob da nicht ein paar unerwartete Schwachstellen warten.

Das für die Risikobewertung in einem RBA-System verantwortliche Modul ist oft ein Stück Software, das auf Machine-Learning-Konzepten basiert. So ein System kann mit den Daten aus den bisherigen Logins in das gleiche Konto trainiert werden oder mit den gleichen Daten anderer Konten, um Unterschieden zwischen verschiedenen Nutzern mehr Gewicht zu verschaffen.

Golem Akademie
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    07./08.06.2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    30.05.-03.06.2022, virtuell
Weitere IT-Trainings

Allerdings ist es auch wichtig, in ein System Erkenntnisse aus der Sicherheitslage für so ein System generell einfließen zu lassen. Denn neue Bedrohungen, Taktiken oder Werkzeuge können es Angreifern ermöglichen, veraltete Strategien mühelos auszuhebeln. Ein schlechtes System ist schwerlich in der Lage, eine fundierte Bewertung des Risikos abzugeben. Es ist damit praktisch wertlos, weil die Bewertung nur noch einem gewichteten Zufall entspricht.

Die Kalibrierung des Systems ist wichtig, weil hier Grenzwerte festgelegt werden. Ein RBA-System, das bei jedem Wechsel der WAN-IP-Adresse des heimischen Routers meldet, der Loginversuch könne kaum von der berechtigten Person sein, wird wahrscheinlich noch weniger von den Nutzern akzeptiert als eine Zwei-Faktor-Athentifizierung. Ein System, das sich sprichwörtlich zurücklehnt und alles durchwinkt, bietet wiederum keinerlei Sicherheitsvorteil gegenüber einer einfachen Authentifizierung.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auch die Authentifizierungsmethoden sind wichtig

Nicht zuletzt - das gilt aber nicht nur für RBA-Systeme - hängt die Sicherheit auch davon ab, welche zusätzlichen Authentifizierungsmethoden gefordert werden, wenn das System findet, das Risiko sei hoch. Als Negativbeispiel sei hier Facebook aus der Frühzeit der RBA-Systeme genannt: Hier mussten die auf Briefmarkenformat verkleinerten Profilfotos von in Facebook als Freunde markierten Personen identifiziert werden.

Was für manche Nutzer ein amüsantes Spielchen war, konnte für Menschen mit vielen Facebook-Freunden schnell zum Problem werden - ganz abgesehen von den Fällen, in denen mal wieder eine große Solidaritätsaktion lief, in der alle ein bestimmtes Bild als Profilbild nehmen sollten. Das Schlimmste an dem Ansatz jedoch war, dass viele Freundeslisten öffentlich waren - ein Angreifer, der sich ernsthaft Zugang zu einem Account verschaffen wollte, hätte also einfach auf einem anderen Gerät nachschauen können.

Aber auch heutzutage ist nicht alles gut. Neben Microsoft mit seinen Outlook-Accounts tritt auch hier wieder Facebook auf - diesmal in Form der Tochter Instagramm.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Risk Based Authentication: Wir brauchen leider unbedingt Ihre HandynummerManchen können schlechte Absichten unterstellt werden 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


mucpower 07. Jun 2021

genau das ist das Problem. Deine Telefonnummer hat irgendjemand aus dem Bekanntenkreis...

tom.stein 26. Mai 2021

Der Gedankenansatz, dass man für RBA irgendwelche weiteren dem Benutzer zugeordneten...

Cilli 26. Mai 2021

Ich kann der Einschätzung des Autors nicht zustimmen. RBA kommt vor allem bei Diensten in...

Blaubeerchen 26. Mai 2021

Artikulierung und Formatierung spielen nun mal auch ne Rolle, das sollte man gerade als...



Aktuell auf der Startseite von Golem.de
Heimkino und Hi-Fi
Onkyo meldet Konkurs an

Onkyo hat beim Bezirksgericht Osaka Konkurs angemeldet. Ob das überschuldete Unternehmen gerettet werden kann, ist ungewiss.

Heimkino und Hi-Fi: Onkyo meldet Konkurs an
Artikel
  1. Flughafen BER: Drohne über Teslas Gigafactory behindert Flugverkehr
    Flughafen BER
    Drohne über Teslas Gigafactory behindert Flugverkehr

    Über dem Gelände der Gigafactory Berlin ist es zu einem Zwischenfall mit einer Drohne und einem Passagierflugzeug gekommen.

  2. Mission USB Cable: Neues Apple-TV-Netzteil mit Akku ersetzt Stromkabel
    Mission USB Cable
    Neues Apple-TV-Netzteil mit Akku ersetzt Stromkabel

    Das Apple TV kann mit dem Mission USB Cable ohne eigenes Stromkabel betrieben werden. Im neuen Netzteil steckt ein Akku, der über USB geladen wird.

  3. DVB-T2: Telefónica will schnell an Spektrum des Antennenfernsehens
    DVB-T2
    Telefónica will schnell an Spektrum des Antennenfernsehens

    Auf der nächsten Weltfunkkonferenz sollten alle offen für Neues sein, fordert die Cheflobbyistin von Telefonica Deutschland. Was sie wirklich meint, wird in einem Positionspapier deutlicher.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Gaming-Monitore mit bis zu 400€ Rabatt • Jubiläumsangebote bei MediaMarkt • MSI Optix MAG342CQR ab 389,90€ • MindStar (u. a. AMD Ryzen 7 5700X 269€, AMD Ryzen 9 5950X 509€ und LC-Power LC-M35-UWQHD-120-C 339€) [Werbung]
    •  /