RBA sollte nicht für wichtige Accounts genutzt werden

RBA funktioniert nur bei Menschen gut, die immer das oder die gleichen Geräte mit der gleichen Software (vor allem Browser) nutzen, die zudem viele Trackinginformationen verraten muss. Ist das nicht der Fall, weil Nutzer immer wieder neue Geräte nutzen, auf Reisen sind oder einfach Datenschutz wichtig finden, gibt es Probleme. Denn dann kommt das RBA-System trotz aktivierter und durchgeführter Zwei-Faktor Authentifizierung zu dem Schluss, dass das zu gefährlich ist und der Nutzer draußen bleiben muss - manchmal auch gleich für länger.

Stellenmarkt
  1. Key User Einkaufssysteme & Materialdisposition (m/w/d)
    DAIKIN Manufacturing Germany GmbH, Güglingen
  2. IT Field Service Agent (m/w/d) Servicecenter
    DAW SE, Enger
Detailsuche

Risk Based Authentication hat seine Daseinsberechtigung. Aber es muss entsprechend gut umgesetzt sein und dazu gehört eigentlich auch, dass Nutzer über den Einsatz eines solchen Tools informiert werden - schließlich findet hier völlig transparent im Hintergrund ein User-Profiling statt. Wer das nicht will, sollte die Möglichkeit bekommen, auf ein Zwei-Faktor-System umzustellen und den RBA-Ansatz gleich auszuschließen.

Für wirklich sicherheitsbedürftige Anwendungen kommt RBA in seiner öffentlichen Form - also als Entscheidung darüber, ob ein zweiter Faktor angefordert werden soll - ohnehin nicht in Frage. So setzen beispielsweise Systeme mit Online-Banking-Funktionen Zwei-Faktor-Authentifizierung sowieso voraus. Eine RBA ist da höchstens im Hintergrund sinnvoll, etwa um einem Bankkunden bei auffälligen Transaktionen eine E-Mail oder SMS zu schicken, er möge sich bitte beim Kundendienst melden, wenn er das nicht selbst war.

Durch die Weitergabe von Nutzerprofilen, die Dritte simulieren können, hat RBA sogar eine gefährliche Komponente. RBA erweckt für Nutzer den Eindruck, betroffene Accounts sind besser abgesichert, als sie es tatsächlich sind: Loggen sie sich von einem fremden Computer ein, werden sie aufgefordert, sich über einen zweiten Faktor zu authentifizieren.

Golem Akademie
  1. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    19./20.05.2022, virtuell
Weitere IT-Trainings

Hacker haben aber die Möglichkeit, ihren Computer als den des Nutzers für das System erscheinen zu lassen. So ändert sich lediglich die IP-Adresse, was die Systeme aber normalerweise durchwinken müssen, damit sie nicht jeden einzelnen Tag den zweiten Faktor anfordern müssen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Für manche, nicht ganz so wichtige Accounts ist RBA zweifellos eine Alternative. Es hat sogar eine Daseinsberechtigung für Hochsicherheitssysteme. Aber als einfache, angeblich benutzerfreundliche Alternative, einen einfachen Username-Password-Login auf ein ganz anderes Niveau zu heben, taugt es nicht. In dieser Verwendung ist es eher als kontraproduktiv für die Verbreitung von Zwei-Faktor-Authorisierungen zu sehen. Und für den Datenschutz ist es ohnehin katastrophal.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Datenbewusste Nutzer haben ein Problem
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


mucpower 07. Jun 2021

genau das ist das Problem. Deine Telefonnummer hat irgendjemand aus dem Bekanntenkreis...

tom.stein 26. Mai 2021

Der Gedankenansatz, dass man für RBA irgendwelche weiteren dem Benutzer zugeordneten...

Cilli 26. Mai 2021

Ich kann der Einschätzung des Autors nicht zustimmen. RBA kommt vor allem bei Diensten in...

Blaubeerchen 26. Mai 2021

Artikulierung und Formatierung spielen nun mal auch ne Rolle, das sollte man gerade als...



Aktuell auf der Startseite von Golem.de
Strange New Worlds Folge 1 bis 3
Star Trek - The Latest Generation

Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
Eine Rezension von Oliver Nickel

Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Flowcamper: Elektro-Wohnmobil Frieda Volt vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

  3. Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
    Cariad
    Aufsichtsrat greift bei VWs Softwareentwicklung durch

    Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /