RBA sollte nicht für wichtige Accounts genutzt werden

RBA funktioniert nur bei Menschen gut, die immer das oder die gleichen Geräte mit der gleichen Software (vor allem Browser) nutzen, die zudem viele Trackinginformationen verraten muss. Ist das nicht der Fall, weil Nutzer immer wieder neue Geräte nutzen, auf Reisen sind oder einfach Datenschutz wichtig finden, gibt es Probleme. Denn dann kommt das RBA-System trotz aktivierter und durchgeführter Zwei-Faktor Authentifizierung zu dem Schluss, dass das zu gefährlich ist und der Nutzer draußen bleiben muss - manchmal auch gleich für länger.

Stellenmarkt
  1. Elektroniker für Informations- und Systemtechnik (m/w/d)
    SWB Bus und Bahn, Bonn
  2. IT Projektleiter SAP EWM - Fabrikautomatisierung (w/m/d)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
Detailsuche

Risk Based Authentication hat seine Daseinsberechtigung. Aber es muss entsprechend gut umgesetzt sein und dazu gehört eigentlich auch, dass Nutzer über den Einsatz eines solchen Tools informiert werden - schließlich findet hier völlig transparent im Hintergrund ein User-Profiling statt. Wer das nicht will, sollte die Möglichkeit bekommen, auf ein Zwei-Faktor-System umzustellen und den RBA-Ansatz gleich auszuschließen.

Für wirklich sicherheitsbedürftige Anwendungen kommt RBA in seiner öffentlichen Form - also als Entscheidung darüber, ob ein zweiter Faktor angefordert werden soll - ohnehin nicht in Frage. So setzen beispielsweise Systeme mit Online-Banking-Funktionen Zwei-Faktor-Authentifizierung sowieso voraus. Eine RBA ist da höchstens im Hintergrund sinnvoll, etwa um einem Bankkunden bei auffälligen Transaktionen eine E-Mail oder SMS zu schicken, er möge sich bitte beim Kundendienst melden, wenn er das nicht selbst war.

Durch die Weitergabe von Nutzerprofilen, die Dritte simulieren können, hat RBA sogar eine gefährliche Komponente. RBA erweckt für Nutzer den Eindruck, betroffene Accounts sind besser abgesichert, als sie es tatsächlich sind: Loggen sie sich von einem fremden Computer ein, werden sie aufgefordert, sich über einen zweiten Faktor zu authentifizieren.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Hacker haben aber die Möglichkeit, ihren Computer als den des Nutzers für das System erscheinen zu lassen. So ändert sich lediglich die IP-Adresse, was die Systeme aber normalerweise durchwinken müssen, damit sie nicht jeden einzelnen Tag den zweiten Faktor anfordern müssen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Für manche, nicht ganz so wichtige Accounts ist RBA zweifellos eine Alternative. Es hat sogar eine Daseinsberechtigung für Hochsicherheitssysteme. Aber als einfache, angeblich benutzerfreundliche Alternative, einen einfachen Username-Password-Login auf ein ganz anderes Niveau zu heben, taugt es nicht. In dieser Verwendung ist es eher als kontraproduktiv für die Verbreitung von Zwei-Faktor-Authorisierungen zu sehen. Und für den Datenschutz ist es ohnehin katastrophal.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Datenbewusste Nutzer haben ein Problem
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Aktuell auf der Startseite von Golem.de
Star Trek
Playmobil bringt 1 Meter langes Enterprise-Spielset

Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
Artikel
  1. World of Warcraft, Pokémon, Bitcoin: Moba Pokémon Unite startet schon bald
    World of Warcraft, Pokémon, Bitcoin
    Moba Pokémon Unite startet schon bald

    Sonst noch was? Was am 18. Juni 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

  3. Vergewaltigung und illegale Aufnahmen: 34 Frauen verklagen Pornhub-Mutterkonzern
    Vergewaltigung und illegale Aufnahmen
    34 Frauen verklagen Pornhub-Mutterkonzern

    Die Pornhub-Mutter Mindgeek soll an Aufnahmen Minderjähriger oder von sexueller Gewalt profitiert haben. Betroffene klagen nun.

mucpower 07. Jun 2021 / Themenstart

genau das ist das Problem. Deine Telefonnummer hat irgendjemand aus dem Bekanntenkreis...

tom.stein 26. Mai 2021 / Themenstart

Der Gedankenansatz, dass man für RBA irgendwelche weiteren dem Benutzer zugeordneten...

Cilli 26. Mai 2021 / Themenstart

Ich kann der Einschätzung des Autors nicht zustimmen. RBA kommt vor allem bei Diensten in...

Blaubeerchen 26. Mai 2021 / Themenstart

Artikulierung und Formatierung spielen nun mal auch ne Rolle, das sollte man gerade als...

Blaubeerchen 26. Mai 2021 / Themenstart

Ich z.B. nutze eine physische Zweit-SIM-Karte einfach als reinen Empfängerdienst für 2FA...

Kommentieren


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport: bis zu 70% Rabatt (u. a. WD Black SN750 1TB 109,90€) • Prime-Filme leihen für je 0,99€ • Weekend Deals (u. a. Seagate Expansion+ 4TB 89,90€) • 10% auf Gaming bei Ebay (u. a. AMD Ryzen 7 5800X 350,91€) • Apple Weekend bei MediaMarkt [Werbung]
    •  /