Was ist starke Authentisierung? Jens Bender Bundesamt für Sicherheit in der Informationstechnik

Transkript

1 Was ist starke Authentisierung? Jens Bender Bundesamt für Sicherheit in der Informationstechnik

2 Was ist Authentisierung? Eine Authentisierung ist das Versehen einer Identität oder anderer übermittelter Daten mit Metadaten, die es einer vertrauenden Entität ermöglichen, die Herkunft, Echtheit und Gültigkeit der Identität oder der Daten zu überprüfen. Für diesen Vortrag: Ich bin Inhaber des Accounts und kann dies nachweisen Jens Bender Was ist starke Authentisierung? Seite 2

3 Warum brauchen wir starke Authentisierung?

4 Mehr Sicherheit Der Inhaber des Accounts soll Zugriff erhalten, aber niemand sonst! Praxiserfahrung: Passwörter reichen nicht! Jens Bender Was ist starke Authentisierung? Seite 4

5 Regulative Anforderungen Starke Authentisierung wird in vielen Rechtsakten gefordert, z.b: Payment Service Directive II - Strong customer authentication bei Kontozugriff und Zahlungsauslösung eidas-verordnung - Als Anforderung entsprechend des Vertrauensniveaus für elektronische Identitäten - Elektronische Signaturschlüssel reliably protected against use by others Datenschutzgrundverordnung - Right of access by the data subject (und niemand anderes!) Jens Bender Was ist starke Authentisierung? Seite 5

6 Wir brauchen Starke Authentisierung um Internetdienste gegen Mißbrauch zu schützen den Anwender gegen Mißbrauch seiner Daten zu schützen dem Anwender Kontrolle über seine Daten zu ermöglichen Aber Was ist Starke Authentisierung?

7 Was ist starke Authentisierung? Einfache Antwort Starke Authentisierung = Zwei-Faktor-Authentisierung Aber: - Dürfen beide Faktoren vom gleichen Typ sein? - Ist jede Kombination erlaubt? - Wie verhalten sich die Faktoren zueinander? - Wie stark müssen die Faktoren sein? vielleicht ist die einfache Antwort zu einfach Jens Bender Was ist starke Authentisierung? Seite 7

8 Typen von Authentisierungsfaktoren Besitz Something you have Wissen Something you know Passwort12 Biometrie (oder inhärent ) Something you are Jens Bender Was ist starke Authentisierung? Seite 8

9 Faktor: Wissen Passwort12 Something you know - aber nur Du! Verifizierer speichert i.w. die gleichen Daten wie der Anwender - Dem Verifizierer muss vertraut werden, die Daten vor Kompromittierung zu schützen / nicht zu missbrauchen Wissen als Faktor ist symmetrisch Entfernt verifiziertes Wissen: Passwörter - Anfällig gegen Phishing, Lokal verifizierter Wissen: PINs für Chipkarten - Verifizierer (Karte) unter Nutzerkontrolle Jens Bender Was ist starke Authentisierung? Seite 9

10 Faktor: Biometrie Entfernt verifizierte Biometrie - Die biometrischen Daten / Template werden ähnlich wie Passwörter zu einem Server übermitttelt - Biometrische Datenbank Datenschutz? - Biometrische Daten, die zur Identifizierung geeignet sind, sind spezielle zu schützende Kategorie in Datenschutzgrundverodnung Lokal verifizierte Biometrie - Z.B. Fingerabdruck zum Entsperren eines Smartphones - Vertraut der Dienstanbieter dem Phone? Stärke typischerweise vergleichbar 3- bis 4-stellige PIN - Wesentlicher Vorteil: convenience Jens Bender Was ist starke Authentisierung? Seite 10

11 Faktor: Besitz Something you have ist etwas vereinfachend - Besser Something only you have Wodurch ist Besitz definiert? - Kann nicht dupliziert werden TAN-Liste ist kein Besitz - Muss unter Nutzerkontrolle sein (Kein entfernter Besitz ) Teil der Authentisierung: Besitznachweis - Chipkarte üblicherweise kryptographisch - smstan Besitznachweis der Telefonnummer - Preisfrage: Ist die Telefonnummer kopiergeschützt? Jens Bender Was ist starke Authentisierung? Seite 11

12 Kombination von Faktoren Mehrfaktorauthentisierung + Jeder Faktor hat seine Stärken und Schwächen Mehrfaktorauthentisierung Die Kombination sollte Stärken von Faktoren kombinieren - Passwort + (serverbasierte) Biometrie hilft nicht wirklich Kein einzelner Angriff gleichzeitig gegen beide Faktoren - Bsp: Passwort + TAN werden über gleichen Browser/SSL-Kanal eingegeben/übermittelt einmal Phishing reicht Jens Bender Was ist starke Authentisierung? Seite 12

13 Authentisierungsverfahren Beispiele smstan - Häufige Kombination: Besitz Telefonnummer + Wissen Passwort - smstan als Nachweis des Zugriffs auf die Telefonnummer - Probleme: - Zweite SIM-Karte zur gleichen Telefonnummer oft leicht erhältlich - Passwort + smstan werden im gleichen Browser eingegeben TAN-Generatoren - Besitz geheimer Seed auf Generator + Wissen Passwort - Wie gut ist Generator gegen Duplizieren geschützt? - (Siehe: Funkschlüssel für Autos...) Chipkarten / Kryptotoken - Besitz privater Schlüssel auf Chipkarte + Wissen PIN - Nachweis beider Faktoren in einem kryptographischen Protokoll Jens Bender Was ist starke Authentisierung? Seite 13

14 Rückruf? Rückruf / Sperre muss möglich sein! Symmetrische Verfahren (entferntes Wissen / Biometrie) - Sperre nur durch Suspendierung Account möglich - Reaktivierung: neues Passwort setzen / neue Biometrie registrieren Asymmetrische Verfahren - Anwendungsunabhängige Rückrufliste/Reaktivierung möglich Voraussetzung: Der Anwender muss erstmal merken, dass ein Rückruf notwendig ist! Jens Bender Was ist starke Authentisierung? Seite 14

15 Nutzerkontrolle Personenbindung Nutzerkontrolle Wissen Biometrie Besitz Nur dem Anwender bekannt Wissen wird nur für Authentisierung genutzt Einmaligkeit Lebenderkennung Biometrie wir nur für Authentisierung genutzt (?) Einmaligkeit Schutz gegen Duplizierung Alleiniger Besitzer ist Anwender Detektierung Kontrollverlust Rückruf Kompromittierung nicht direkt erkennbar, nur durch Erkennen von Missbrauch des zugehörigen Accounts Bei Verifikation durch Server: Suspendierung Account Besitzverlust Sperre des Tokens Jens Bender Was ist starke Authentisierung? Seite 15

16 Haben wir eine Antwort?

17 Was ist nun starke Authentisierung? Geschickte Kombination von Authentisierungsfaktoren - um verschiedene Angriffskategorien abzuwehren - um die Stärken verschiedener Faktoren zu kombinieren Die Faktoren müssen stark sein Asymmetrisches Authentisierungsverfahren - Keine Datenbank mit Daten, die selbst zur Authentisierung verwendet werden können Rückruf muss möglich sein - Vorzugsweise dienstanbieterunabhängig Nutzerkontrolle - Anwender muss in der Lage sein, Kontrollverlust zu erkennen Jens Bender Was ist starke Authentisierung? Seite 17

18 Was ist nun starke Authentisierung? Entfernt verifiziertes Wissen / Biometrie ist problematisch symmetrisch Datenbank mit Authentisierungsdaten notwendig Rückruf nur durch Accountsuspendierung Besser: Besitz mit kryptographischem Besitznachweis - Asymmetrisch keine Datenbank mit Auth.daten Lokale PIN / Biometrie direkt durch den Besitz verifiziert - Starke Verknüpfung der beiden Faktoren Direkte Authentisierung beim Dienst vermeidet Tracking Jens Bender Was ist starke Authentisierung? Seite 18

19 Regulative Anforderungen revisited Payment Service Directive II - Strong customer authentication detaillierte Anforderungen in RTS, zur Zeit in Erarbeitung eidas-verordnung - Vertrauensniveaus - Niedrig: z.b. Passwörter - Substantiell: Zwei Faktoren, z.b. Softwarezertifikate - Hoch: Zwei Faktoren + geschützt gegen Duplizierung effektiv Hardware notwendig Jens Bender Was ist starke Authentisierung? Seite 19

20 Was macht die Industrie? FIDO Fast IDentification Online - Industriekonsortium (und einige gov-partner) - Einheitliche Schnittstelle für FIDO-Authenticator, z.b.: - FIDO-Token (separates HW-Token) - Smartphone mit Trusted Execution Environment - Immer: Authentisierung über im Authenticator gespeicherten privaten kryptographischen Schlüssel Jens Bender Was ist starke Authentisierung? Seite 20

21 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Jens Bender Referatsleiter eid-technologien und Chipkarten Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik Jens Bender Was ist starke Authentisierung? Seite 21