Risk Based Authentication: Wir brauchen leider unbedingt Ihre Handynummer

Mehr Sicherheit ohne dauernde nervige Abfragen? Risk Based Authentication verspricht das, hält es aber nicht. Oft sammelt es einfach nur ganz viele Daten.

Artikel von veröffentlicht am
Risk Based Authentication wird für Logins aller Art verwendet.
Risk Based Authentication wird für Logins aller Art verwendet. (Bild: Pixabay)

Risk Based Authentication (RBA; deutsch: Risikobasierende Authentifizierung) verspricht den Schutz von Accounts bei Internetdiensten aller Art - und zwar, ohne Nutzer durch ständige aufwändige Authentifizierungsanfragen zu nerven. Das klingt nicht schlecht, nur geht das "weniger Nerven" leider auf Kosten der Sicherheit. Zudem gibt es Anbieter, die unter dem Feigenblatt der RBA ganz andere Ziele verfolgen, die mit Sicherheit für Nutzerkonten nichts zu tun haben.

Zu finden ist RBA im Internet quasi überall. Egal, ob soziale Medien, E-Mail-Anbieter oder andere Dienste - kaum einer verzichtet darauf. Dazu kommen Online-Shops und Banken - auch wenn sich die Umsetzung und die Anwendung der Systeme teilweise stark unterscheiden. Für Nutzer ist das nicht immer gleich erkennbar, sie können nur auf Anzeichen achten, dass RBA eingesetzt wird. Mit Glück findet sich auch ein Hinweis darauf in einer Datenschutzerklärung.

Was überhaupt ist Risk Based Authentication?

RBA ist ein Konzept und keine konkrete Implementierung. Das bedeutet unter anderem, dass sich die eingesetzten Mittel von System zu System stark unterscheiden. Vergleichbar ist das mit der Zwei-Faktoren-Authentifizierung. Bei der steht auch nicht fest, welche beiden Faktoren genau umgesetzt werden, sondern nur, dass Nutzer sich über zwei unabhängige Wege authentifizieren sollen. Für die RBA heißt das: Wie eine Risikobewertung durchgeführt wird und welches Ergebnis dabei welche Folgen hat, ist der konkreten Implementierung überlassen.

Grundsätzlich werden bei RBA Faktoren aus dem Kontext des Logins ausgewertet. Dazu kann die IP-Adresse gehören, von der aus der Login erfolgt, eine Geo-Location oder die für den Login verwendete Software. Es kann aber auch das verwendete Betriebssystem sowie dessen Version sein, die Bildschirmauflösung oder andere Informationen über die verwendete Hardware - wie zum Beispiel die CPU-Version, welche Grafikkarte in dem Gerät verbaut ist und wie viel Ladung der Akku des verwendeten Geräts hat.

Stellenmarkt
  1. Koordinator (m/w/d) Digitalisierungsprozesse
    Vereinigte Papierwarenfabriken GmbH, Feuchtwangen
  2. SAP Basis Administrator (m/w/d)
    MULTIVAC Sepp Haggenmüller SE & Co. KG, Wolfertschwenden
Detailsuche

Zusätzlich können individuelle Nutzereingaben für RBA verwendet werden, etwa wie die Mausbewegungen aussehen oder mit welchem Tippverhalten das Passwort eingegeben wird, so dies denn von Hand geschieht. Wird für einen Login ein Webbrowser verwendet, kommt im Prinzip jedes einzelne Header Field eines HTTP-Requests für die Auswertung in Frage - eine Liste mit allen Header-Feldern eines HTTP-Requests kann auf der Webseite der Internet Assigned Numbers Authority (IANA) eingesehen werden. Letztlich ist das wie Browser-Fingerprinting, das gerne beim Werbetracking eingesetzt wird. Ein einzelner Computer lässt sich damit schon sehr genau von einem anderen unterscheiden.

Serverseitig wird mit Hilfe dieser Informationen ein Abgleich gemacht, ob sie zu bisherigen Login-Vorgängen des Nutzers passen. Das Ergebnis ist eine Risikobewertung: Wie hoch ist die Wahrscheinlichkeit, dass sich hier gerade wirklich der Account-Inhaber anmelden möchte? Ist diese Wahrscheinlichkeit klein und damit das Risiko eines unbefugten Zugriffs hoch, können Maßnahmen getroffen werden, wie die Aufforderung, dass die Person sich über einen zweiten Faktor authentifiziert.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Verfeinert wird die Risikobewertung in der Praxis durch die Bewertung der Informationen, auf die Nutzer zugreifen wollen. Ein gutes Beispiel ist hier das Online-Shopping: Auf vielen Seiten wird ein zurückkehrender Kunde sofort erkannt und findet in der oberen Leiste den eigenen Namen statt einer Aufforderung zum Login. Es kann sofort begonnen werden, Produkte in den Einkaufswagen zu räumen und sich dessen Inhalt anzusehen. Erst wenn es ans Bezahlen geht oder persönliche Daten des Kunden angezeigt werden sollen, wird nach einem Login gefragt.

Im Hintergrund läuft RBA ab, bei dem ausgewertet wird, wie hoch das Risiko ist, dass der Authentifizierte nicht der Berechtigte ist. Da es aber für den Onlineshop-Betreiber nur ein geringes Risiko darstellt, wenn Waren bloß in einen Einkaufskorb geklickt werden, wird keine weitere Authentifizierung angefordert. Bei einer konkreten Bestellung allerdings ist die Risikobewertung, ob das Konto vielleicht doch jemand anderem gehört, wichtiger. An dieser Stelle ist RBA durchaus sinnvoll, solange es richtig eingesetzt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Bringt das denn etwas für die Sicherheit? 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Aktuell auf der Startseite von Golem.de
Hubble
Uralttechnik ohne Ersatz versagt im Orbit

Das Hubble-Teleskop ist außer Betrieb. Die Speicherbänke aus den 1980er Jahren lassen sich nicht mit der CPU von 1974 ansprechen, die auf einer Platine zusammengelötet wurde.
Von Frank Wunderlich-Pfeiffer

Hubble: Uralttechnik ohne Ersatz versagt im Orbit
Artikel
  1. Batteriezellfabrik: Porsche will Hochleistungsakkus mit Silizium-Anoden bauen
    Batteriezellfabrik
    Porsche will Hochleistungsakkus mit Silizium-Anoden bauen

    Akkus für nur 1.000 Elektroautos im Jahr will Porsche mit der neuen Tochterfirma Cellforce bauen. Vor allem für den Motorsport.

  2. Pornografie: Hostprovider soll Xhamster sperren
    Pornografie
    Hostprovider soll Xhamster sperren

    Medienwächter haben den Hostprovider von Xhamster ausfindig gemacht. Dieser soll das Pornoportal für deutsche Nutzer sperren.

  3. SSDs und Monitore zum Knallerpreis beim Amazon Prime Day
     
    SSDs und Monitore zum Knallerpreis beim Amazon Prime Day

    Wer auf der Suche nach neuer Hardware ist, sollte den Prime Day von Amazon nutzen. Hier warten Rabatte auf alle möglichen Artikel.
    Ausgewählte Angebote des E-Commerce-Teams

mucpower 07. Jun 2021 / Themenstart

genau das ist das Problem. Deine Telefonnummer hat irgendjemand aus dem Bekanntenkreis...

tom.stein 26. Mai 2021 / Themenstart

Der Gedankenansatz, dass man für RBA irgendwelche weiteren dem Benutzer zugeordneten...

Cilli 26. Mai 2021 / Themenstart

Ich kann der Einschätzung des Autors nicht zustimmen. RBA kommt vor allem bei Diensten in...

Blaubeerchen 26. Mai 2021 / Themenstart

Artikulierung und Formatierung spielen nun mal auch ne Rolle, das sollte man gerade als...

Blaubeerchen 26. Mai 2021 / Themenstart

Ich z.B. nutze eine physische Zweit-SIM-Karte einfach als reinen Empfängerdienst für 2FA...

Kommentieren


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€/Lite 18,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • Gaming-Chairs von Razer uvm. • HyperX Cloud II 51,29€ • iPhone 12 128GB 769€ • TV OLED & QLED [Werbung]
    •  /