Authentifizierung durch Wissen: Man muss nachweisen, dass man Kenntnis von einem Geheimnis hat, das Dritten nicht bekannt sein sollte (z.B. Passwort oder die Antwort auf eine Sicherheitsfrage). Ein Angreifer sollte dieses Geheimnis nicht von einem Zettel ablesen, es nicht erraten oder durch Ausprobieren knacken können.
Anregungen zum Nachdenken:Unter den Bedingungen der zunehmenden Videoüberwachung öffentlicher Plätze muss man auch damit rechnen, dass die Passworteingabe bei Nutzung von Smartphones durch Dritte beobachtet werden kann.
Risiko-basierte Authentifizierung (RBA) soll die Sicherheit von Accounts verbessern, die nur mit einem Passwort geschützt sind. Bei einem Loginversuch wird anhand von Merkmalen ein Risikolevel berechnet, ob möglicherweise ein missbräuchlicher Login erfolgt. Übersteigt der Risikolevel einen Grenzwert, wird eine zusätzliche Verifikation gefordert. In der Regel muss der Nutzer ein zusätzliches Token eingeben, das per E-Mail, SMS o.ä. an eine vorher verifizierte Adresse gesendet wird.
Zur Berechnung des Risikolevels könnten die Zeit seit dem letzten Login, der Standort im Vergleich zum letzten Login, Uhrzeit, IP-Adresse, Browserversion, Tippverhalten bei der Eingabe des Passwortes oder andere Merkmale verwendet werden.
Die Akzeptanz von RBA ist bei den Nutzern wesentlich höher als bei 2-Faktor-Auth., da sie im Normalfall nur das Passwort eingeben müssen. 2-Faktor-Auth. wird in der Regel nur bei hohen Sicherheitsanforderungen akzeptiert.
RBA ist bei vielen großen Plattformen (Google, Amazon, PayPal, LinkedIn...) und auch bei Projekt wie Mastodon im Hintergrund aktiv, wenn man eine Verifikationsadresse angibt. Implikationen für die Privatsphäre muss man gegen den Sicherheitsgewinn abwägen. (Wenn man 2-Faktor-Auth. verwendet, wird RBA meist deaktiviert.)
RBA wird häufig "ein Art 2-Faktor-Authentifizierung" genannt, was aber nicht ganz korrekt ist. Man muss nicht den physischen Besitz eines Gerätes nachweisen, wie bei 2FA üblicherweise gefordert, sondern nur lesenden Zugriff auf eine Zieladresse, an die das Token gesendet wird. Die Sicherheit ist deutlich geringer als bei 2FA.
- Authentifizierung durch Besitz: Man muss nachweisen, dass man ein besonderes bzw. individuell konfiguriertes "Token" besitzt, das ein Angreifer nicht besitzen kann. Dabei unterscheidet man zwischen:
- "Harter Besitz" ist ein physisch vorhandenes, individuell konfiguriertes "Token", welches nicht kopierbar ist (Yubikey, U2F-Stick, ePA, NitroKey…)
- "Weicher Besitz" ist eine Anhäufung speziell konfigurierter Bits und Bytes, die evtl. auf einem anderen Gerät gespeichert sind aber prinzipiell kopierbar sind (z.B. OTP-Apps auf Smartphones oder X509 Zertifikate).
Im Consumer Bereich wird am häufigsten OTP (One-Time-Passwörter) mit Smartphone Apps oder Hardware Token angeboten. OTP schützt gegen Keylogger und gegen Mitleser unter den Bedingungen der Videoüberwachung. Es schützt nicht(!) bei Einbrüchen auf dem Server. Da bei OTP-Server und Client den gleichen Algorithmus ausführen, kann ein Angreifer beim Einbruch die Parameter auslesen und clonen.
Modernere Varianten sind FIDO/U2F und WebAuthn mit Public-Key Kryptografie. Es wird nur ein Public Key für die Authentifizierung auf dem Server gespeichert. Damit sind die Daten auch für einen Einbrecher wertlos. Allerdings werden U2F und WebAuthn nur von wenigen Anbietern unterstützt. Die breite Einführung dauert noch etwas.
Die Verwendung von Zertifikaten gibt es eher bei Business Anwendungen, Serveradministration (SSH Keys) oder für hoheitliche Aufgaben (ePA).
Biometrische Merkmale: (Fingerabdruck, Iris) sind für die Authentifizierung eher ungeeignet, weil man sie bei einer Kompromittierung nicht ändern kann.
Im privaten Bereich bieten viele moderne Smartphones inzwischen die Freigabe des Sperrbildschirm via Fingerabdruck Scan. In diesem Fall würde ich die Verwendung des Fingerabdruck gegenüber der oft üblichen Wischgeste bevorzugen, da man die Wischgeste leicht beobachten kann, während der Fingerabdruck komplizierter zu faken ist.
Prinzipiell ist es aber möglich, einen Fingerabdruck zu fälschen, wenn sich der Aufwand für ein High Value Target lohnt. Auf dem 31C3 demonstrierte Starbug, wie er den Fingerabdruck von Frau v.d. Leyen und den Iris Scan von Bundeskanzlerin Merkel mit einem hochauflösenden Kameraobjektiv während einer Pressekonferenz kompromittierte. Der Fingerabdruck von W. Schäuble wurde vom CCC ebenfalls kompromittiert und in einer PR Aktion publiziert, um die Schwächen biometrischer Merkmale für die Authentifizierung zu zeigen.