© saicle/Shutterstock.com
PHP Magazin
Zwei-Faktor-Authentifizierung auf dem Prüfstand

User Experience vs. Security

Die Fehlermeldung „Der Benutzername bzw. das Kennwort ist falsch“ kennt wohl jeder. Solche vagen Fehlermeldungen sollen die Sicherheit verbessern, gehen aber meist zulasten der Benutzerfreundlichkeit. Der folgende Artikel stellt verschiedene Technologien der Zwei-Faktor-Authentifizierung vor und beleuchtet sie hinsichtlich ihrer Benutzerfreundlichkeit.

Dominic Adenuga, Christian Tacke


Jeder kennt die Situation: Morgens im Büro Rechner hochfahren, Benutzernamen und Passwort eingeben. Und dann kommt die Fehlermeldung: „Der Benutzername bzw. das Kennwort ist falsch“. Vielleicht hat man sich vertippt, vielleicht ist das Passwort im letzten Urlaub in Vergessenheit geraten. Die Fehlermeldung ist aus Sicherheitsgründen absichtlich vage gehalten und lässt offen, ob der Benutzername oder das Passwort falsch ist. Einem Angreifer sollen so keine Informationen darüber gegeben werden, welche der beiden Eingaben falsch und welche vielleicht richtig ist. Das geht oft zulasten der Benutzerfreundlichkeit, denn einem Nutzer wäre mit einer konkret formulierten Fehlermeldung mehr geholfen.

Geht Sicherheit denn immer zulasten der Benutzerfreundlichkeit? Und welche Maßnahme ist wirklich sinnvoll, um den Zugriff auf ein System abzusichern? Um diese Fragen zu beantworten, werden im Folgenden aktuelle Technologien der Zwei-Faktor-Authentifizierung beleuchtet und hinsichtlich der Merkmale Sicherheit und Benutzerfreundlichkeit geprüft.

Sicherheit hoch = Benutzerfreundlichkeit runter?

Man kann heute den Eindruck gewinnen, dass die Sicherheit beim Zugriff auf ein System nur dann erhöht wird, wenn der Nutzer Abstriche bei der Benutzerfreundlichkeit hinnehmen muss. Das BSI empfiehlt in seinen Basismaßnahmen der Cybersicherheit [1]:

„Eine Authentisierung allein mit Nutzername und Passwort ist nicht ausreichend. Schadprogramme wie Trojanische Pferde oder Keylogger greifen unmittelbar die Passwörter ab, sodass auch komplexe Passwörter oder ein häufiger Passwortwechsel keinen hinreichenden Schutz bieten. Wirksam abgewehrt werden solche Angriffe erst mittels eines zweiten, außerhalb des Systems liegenden Faktors, wie z. B. eines Hardwaretokens.“

Ein Aufruf zum Einsatz der Zwei-Faktor-Authentifizierung also. Doch auch hier stellt sich die Frage, wie es dabei mit der Benutzerfreundlichkeit aussieht und welcher Aufwand damit auf den Nutzer zukommt.

Wie benutzerfreundlich sind die aktuellen Technologien?

Ein erstes Beispiel: Der Einsatz einer Smartcard. Hinsichtlich der Sicherheitsaspekte ist dieses Verfahren als sehr gut zu bewerten, allerdings zieht die Umstellung auf ein solches Verfahren einige Konsequenzen nach sich. So muss zunächst ein Reader angeschafft werden. Wird dieser dann zum Beispiel an ein Tablet angeschlossen, ist das nur mit einer Vielzahl von Kabeln möglich, zudem bringt dieses Verfahren in der Administration hohe Kosten mit sich.

Technologien, die unter dem ...

PHP Magazin
Zwei-Faktor-Authentifizierung auf dem Prüfstand

User Experience vs. Security

Die Fehlermeldung „Der Benutzername bzw. das Kennwort ist falsch“ kennt wohl jeder. Solche vagen Fehlermeldungen sollen die Sicherheit verbessern, gehen aber meist zulasten der Benutzerfreundlichkeit. Der folgende Artikel stellt verschiedene Technologien der Zwei-Faktor-Authentifizierung vor und beleuchtet sie hinsichtlich ihrer Benutzerfreundlichkeit.

Dominic Adenuga, Christian Tacke


Jeder kennt die Situation: Morgens im Büro Rechner hochfahren, Benutzernamen und Passwort eingeben. Und dann kommt die Fehlermeldung: „Der Benutzername bzw. das Kennwort ist falsch“. Vielleicht hat man sich vertippt, vielleicht ist das Passwort im letzten Urlaub in Vergessenheit geraten. Die Fehlermeldung ist aus Sicherheitsgründen absichtlich vage gehalten und lässt offen, ob der Benutzername oder das Passwort falsch ist. Einem Angreifer sollen so keine Informationen darüber gegeben werden, welche der beiden Eingaben falsch und welche vielleicht richtig ist. Das geht oft zulasten der Benutzerfreundlichkeit, denn einem Nutzer wäre mit einer konkret formulierten Fehlermeldung mehr geholfen.

Geht Sicherheit denn immer zulasten der Benutzerfreundlichkeit? Und welche Maßnahme ist wirklich sinnvoll, um den Zugriff auf ein System abzusichern? Um diese Fragen zu beantworten, werden im Folgenden aktuelle Technologien der Zwei-Faktor-Authentifizierung beleuchtet und hinsichtlich der Merkmale Sicherheit und Benutzerfreundlichkeit geprüft.

Sicherheit hoch = Benutzerfreundlichkeit runter?

Man kann heute den Eindruck gewinnen, dass die Sicherheit beim Zugriff auf ein System nur dann erhöht wird, wenn der Nutzer Abstriche bei der Benutzerfreundlichkeit hinnehmen muss. Das BSI empfiehlt in seinen Basismaßnahmen der Cybersicherheit [1]:

„Eine Authentisierung allein mit Nutzername und Passwort ist nicht ausreichend. Schadprogramme wie Trojanische Pferde oder Keylogger greifen unmittelbar die Passwörter ab, sodass auch komplexe Passwörter oder ein häufiger Passwortwechsel keinen hinreichenden Schutz bieten. Wirksam abgewehrt werden solche Angriffe erst mittels eines zweiten, außerhalb des Systems liegenden Faktors, wie z. B. eines Hardwaretokens.“

Ein Aufruf zum Einsatz der Zwei-Faktor-Authentifizierung also. Doch auch hier stellt sich die Frage, wie es dabei mit der Benutzerfreundlichkeit aussieht und welcher Aufwand damit auf den Nutzer zukommt.

Wie benutzerfreundlich sind die aktuellen Technologien?

Ein erstes Beispiel: Der Einsatz einer Smartcard. Hinsichtlich der Sicherheitsaspekte ist dieses Verfahren als sehr gut zu bewerten, allerdings zieht die Umstellung auf ein solches Verfahren einige Konsequenzen nach sich. So muss zunächst ein Reader angeschafft werden. Wird dieser dann zum Beispiel an ein Tablet angeschlossen, ist das nur mit einer Vielzahl von Kabeln möglich, zudem bringt dieses Verfahren in der Administration hohe Kosten mit sich.

Technologien, die unter dem ...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang