Warum eine sichere(re) Authentifizierung? Impulsvortrag im Rahmen des ZKI Arbeitskreises Verzeichnisdienste 14./15. März 2016 in Marburg
Danksagung Der Impulsvortrag basiert auf einer gemeinsamen Idee von Kurt Ackermann, Justus-Liebig-Universität Gießen Anja Beyer-Peter, ehemals Universität Konstanz Guido Bunsen, RWTH Aachen Milan Burgdorf, Philipps-Universität Marburg Dietmar Dräger, Freie Universität Berlin Susanne Gutsche, ehemals HTW Berlin Klaus Mebus, Bauhaus-Universität Weimar Michael Sundermeyer, Universität Bielefeld 2
Authentifizierung Authentifizierung ist der Nachweis einer behaupteten Eigenschaft einer Entität (Mensch, Gerät, Dokument, Information) und die dabei durch ihren Beitrag ihre Authentisierung durchführt. Wege der Authentisierung: Nachweis der Kenntnis einer Information: ein Passwort Verwendung eines Besitztums: ein Schlüssel Gegenwart des Benutzers selbst: Form eines biometrischen Merkmals Quelle: https://de.wikipedia.org 3
Authentifizierung an Universitäten Flächendeckend ist regelmäßig eine Ein-Faktor-Authentifizierung etabliert. Ein-Faktor-Authentifizierung bedeutet den Nachweis einer Identität mittels Benutzername und Passwort: Vor der Benutzung eines IT-Dienstes hat sich der Nutzer gegenüber diesem auszuweisen. Der Prozess des Ausweisens erfolgt in zwei Schritten: der Nutzer authentisiert sich gegenüber dem Dienst durch das Behaupten von Merkmalen, der Dienst authentifiziert den Nutzer durch den Nachweis, dass die behaupteten mit gespeicherten Merkmalen des Nutzers übereinstimmt Mit einer Kombination aus Benutzername und Kennwort sollen eine Vielzahl von Diensten, z. B. E-Mail, PC-Arbeitsplatz, Lernplattform oder Campus-Management, erreicht werden. 4
Externe Rahmenbedingungen Der bestehende Markt, auf dem die Schwachstellen, Angriffsmethoden oder die Durchführung von Cyber-Angriffen offeriert werden, sorgt dafür, dass die Gefährdungslage unübersichtlicher wird. So bieten Organisationen ihre Fähigkeiten und Leistungen auch anderen interessierten Kreisen im Rahmen von Auftragsarbeiten an. Damit werden hochwertige Angriffe auch für Organisationen und Staaten verfügbar, die diese Expertise bisher nicht eigenständig bzw. aufgrund mangelnder Fähigkeiten grundsätzlich nicht aufbauen können (BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 36). CaaS = (Cyber-)Crime as a Service 5
Schwachstellen bei der Verwendung von Benutzername und Passwort Fehlende Komplexitätsanforderungen seitens der IT-Anwedungen. Sorglosigkeit des Nutzers: Einfache, weil gut zu merkende Passwörter. Seltene Passwort-Änderung. Eine Kombination von Benutzername und Passwort für alle oder eine Vielzahl von Diensten, z. B. bei der Universität, im sozialen Netzwerk, beim Freemailer. Speicherung von Passworten auf mobilen Endgeräten oder dem PC. Synchronisation von Passworten in Cloud-Dienste. Fehlerhafte Authentifizierungssoftware oder -protokolle, z. B. OpenSSL- Bug Heartbleed in 2014. Passwort-Phishing, z. B. mittels E-Mails, Keyloggern oder MitM-Attacken. Brute-Force-Angriffe auf 24/7 erreichbare Web-Dienste. Social Engineering über soziale Netzwerke. 6
Gewachsene Schutzbedürftigkeit der IT-Dienste An Universitäten sind Anwendungen mittlerweile vielfach als weltweit erreichbare 24/7-Webdienste eingerichtet oder im Aufbau (z. B. E-Mail, Lernplattform oder Campus-Management), um Forschung, Lehre und Verwaltung bestmöglich zu unterstützen. Typischerweise werden in den Anwendungen auch schutzbedürftige Daten gespeichert oder über diese erreichbar gemacht, z. B.: Telefon- oder E-Mail-Kontaktdaten Vorlesungsmaterialien Prüfungs- oder Modulanmeldungen Self-Service Dienste zur Verwaltung des persönlichen Accounts Über die Anwendungen wird Zugang zu internen oder geschützten Bereichen vermittelt, z. B.: VPN-Zugang zu Managementnetzen Single-Sign-On-Webdienst für eine Vielzahl von Online-Ressourcen 7
Empfehlungen des BSI im Authentisierungskontext Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfiehlt, dass Nutzern sicherere Authentisierungsmöglichkeiten angeboten werden, beispielsweise eine Zwei-Faktor-Authentisierung, die über die Standard-Anmeldung per Benutzername und Passwort hinausgehen. (Stellungnahme zum einem aus den USA gemeldeten milliardenfachen Identitätsdiebstahl vom 06.08.2014) Eine weitere Empfehlung spricht das BSI im Eckpunktepapier Mindestanforderungen zur Informationssicherheit bei ecommerce- Anbietern von 2011 aus, wonach insbesondere für Administratoren und andere extremely privileged users anzustreben [ist], dass sie nur nach einer Zwei-Faktor-Authentisierung Zugriff auf die Systeme [ ] erhalten. (Ebenso im Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter von 2012) 8
Fazit Die Gesamtschau Der externen Rahmenbedingungen, Der bekannten Probleme, Der gewachsenen Schutzbedürftigkeit von IT-Diensten sowie Der Empfehlungen des BSI zeigt, dass für eine Authentifizierung mittels Benutzername und Passwort an IT-Diensten, Die schutzbedürftige Daten speichern, Die 24/7 weltweit erreichbar sind oder Die Zugang zu geschützten Bereichen vermitteln im Rahmen einer Risikoanalyse zu bewerten ist, ob eine für den Schutzbedarf angemessene Authentifizierungsmethode gewählt wurde, die dem aktuellen Stand der Technik entspricht. 9
Beispiele für Authentifizierungen mit weiteren Merkmalen Eine zusätzlich abgesicherte Authentifizierung wird etwa beim Online Banking seit langem angeboten: Die Authentifizierung erfolgt mit Benutzername und Passwort, die Transaktionen werden dann mit TAN, itan, mtan, ChipTAN oder PhotoTAN autorisiert. Einige weltweite Angebote (z. B. E-Mail-, Bezahl- oder Wareneinkaufsdienste) bieten optional eine zusätzlich abgesicherte Authentifizierung an. 10
Verstärkung der Authentifizierung I Um den Angriff auf Authentisierungsmerkmale zu erschweren dient bei der Zwei-Faktor-Authentisierung (2FA) dem Identitätsnachweis eines Nutzers die Kombination zweier verschiedener und insbesondere unabhängiger Komponenten bzw. Faktoren. Diese können sein: Etwas, was der Nutzer besitzt: ein Token, eine Bankkarte, ein Schlüssel Etwas, was der Nutzer weiß: Benutzername, Passwort, PIN Etwas, was als körperliches Charakteristikum untrennbar zum Nutzer gehört: sein Fingerabdruck, das Muster der Regenbogenhaut (Iris) seines Auges, seine Stimme 11
Verstärkung der Authentifizierung II Eine 2FA ist schon bei der Benutzeranmeldung möglich. Der Nutzer wird neben Benutzername und Passwort mit einem zusätzlichen Passcode authentifiziert. Benutzeranmeldung mit 2FA: Benutzername: Passwort + Passcode: Vorteile: Dynamisch generierte Passcodes sind dank stetiger Veränderung sicherer als feststehende (statische) Login-Informationen Verwendete Passcodes werden automatisch ersetzt, dadurch steht jederzeit ein aktueller Code bereit 12
Ergänzende Sicherheitsmaßnahmen Hochsensible Passwörter, z. B. root-, lokaler Windows-Administrator- oder lokaler Geräte-Administrator-Account: Organisatorische Regelungen, z. B. 4-Augen-Prinzip, Rollentrennung, Passwort-Tresor IT-Dienste ohne Möglichkeit einer 2FA-Anbindung, z. B. WLAN, SMTP oder IMAP: Anwendungsspezifische Passwörter, z. B. getaggtes WLAN-Passwort oder IMAP-/SMTP-Passwort 13
Erfolgsfaktoren I Für Hochschule / Rechenzentrum: Aufbau einer wirtschaftlichen und angemessenen 2FA-Lösung. Ausreichend Ressourcen zum Betrieb der 2FA. Einfache Integration beliebiger IT-Dienste: Web-Anwendungen Benutzer-Arbeitsplätze Deutliche Verbesserung des Sicherheitsniveaus des IT-Dienstes. 14
Erfolgsfaktoren II Für die Nutzerinnen und Nutzer: Verständnis für die Notwendigkeit durch Information der Nutzer. Deutliche Verbesserung des Schutzes der persönlichen Daten. Beibehalten von Bekanntem (Benutzername und Passwort) und lediglich eine Ergänzung der Authentifizierung um einen weiteres Geheimnis. Anlehnung an Abläufe, an die die Nutzer in anderem Kontext sind bereits gewöhnt sind. Gute Usability (einfache Bedienung) und Flexibilität (mehrere Möglichkeiten). Hohe Verfügbarkeit. Funktionierende Rollout- und Support-Prozesse. Eingewöhnungsphase berücksichtigen: Wechsel von fakultativer zu obligatorischer Verwendung. 15
Vielen Dank für Ihre Aufmerksamkeit! 16