Die richtige Authentisierung für Mobile Apps

Die richtige Authentisierung für Mobile Apps

Marc Ruef
von Marc Ruef
Lesezeit: 7 Minuten

Im Zeitalter von Smartphones gibt es eigentlich für alle Zwecke eine App. Nicht umsonst warb Apple im Jahr 2009 mit dem patentierten Slogan There is an App for that für das iPhone 3G. Viele Dienste bieten mittlerweile die mobile Möglichkeit, sie im Rahmen einer App zu nutzen. Dabei gibt es immer wieder die Diskussion, ob und inwiefern eine Authentisierung im Rahmen solcher Erweiterungen umzusetzen sind.

There is an App for That

Sicherheit und Ergonomie

Eine Authentisierung wird eingesetzt, um eine Ressource vor unerlaubten Zugriffen zu schützen. Typischerweise wird dabei ein Benutzername und ein geheimes Passwort vorausgesetzt. Dies ist dann auch die klassische Variante, wie eine App daher kommt. Man sieht es bei vielen Apps zu Sozialen Netzwerken, alltäglich gebrauchten Diensten oder Spielen.

In manchen Fällen ist aber eine solch gesicherte Zugriffsmöglichkeit gar nicht erforderlich. Dann wird zwecks Erhöhung der Ergonomie auf eine gerätespezifsche Identifikation gesetzt. Anhand der eindeutigen Device-ID wird erkannt, welcher Benutzer sich verbinden will. Sieht er sich im Besitz des Geräts, geht man davon aus, dass er der legitime Benutzer dessen ist. Das Problem hierbei ist, dass der Verlust oder Diebstahl eines Geräts den unmittelbaren Missbrauch möglich macht. Dieser Ansatz ist deshalb nur für Lösungen mit sehr geringen Sicherheitsanforderungen vorzusehen.

Die nachfolgende Tabelle zeigt exemplarisch die Minimalanforderungen, wie sie an die Dienstkategorien gestellt werden sollten. Im Idealfall werden aus sicherheitstechnischer Sicht gar bessere Mechanismen eingesetzt, wobei halt eben Einbussen bezüglich Ergonomie in Kauf genommen werden müssten.

Dienst Device-ID Benutzername Passwort Token
Spiele ja nein nein nein
Soziale Netze nein ja ja nein
E-Mail nein ja ja nein
Webshop (Vorauskasse) ja ja nein nein
Webshop (Rechnung) nein ja ja nein
E-Banking (read-only) nein ja ja nein
E-Banking (Transaktionen möglich) nein ja ja ja

Dienste, bei denen eine verlässliche initiale Beglaubigung erforderlich wird, können bei der Registration des Benutzers eine erhöhte Authentisierung als Grundlage für eine zuverlässige Identifikation voraussetzen. Zum Beispiel mittels Benutzernamen und Passwort. Sobald dieser Prozess erfolgreich durchlaufen ist, kann auf einen transparenten Mechanismus (unter anderem Device-ID) gewechselt werden. Bei Webshop-Lösungen bietet sich dies beispielsweise an. Bei Apps mit hohen Sicherheitsanforderungen, namentlich E-Banking-Lösungen, ist dies nicht zulässig. Dort muss jeder Zugriff die zuverlässige Identifikation beinhalten.

Kurze Lebensdauer für hochsichere Umgebungen

Die durch einen Authentisierungsmechanismus gewährleistete Sicherheit erhöht sich unter anderem dadurch, dass die genutzte Information möglichst kurzlebig ist. Hier gelten die gleichen Grundsätze, wie sie im Artikel Sichere und ergonomische Timeouts beschrieben sind.

Stellt man die Mechanismen gegenüber, wird schnell ersichtlich, der in hochsicheren Umgebungen bevorzugt werden sollte.

Mechanismus Lebensdauer Änderbar
Device-ID sehr lang nie
Benutzername lang selten
Passwort mittel regelmässig
Token kurz immer

Kurzlebige Token sind Pflicht in hochsicheren Umgebungen. Sie jedoch bei jedem Mail-Zugriff für private Nachrichten zu verwenden, erscheint hingegen sehr unpraktisch.

Kritik an biometrischen Merkmalen

Diskutiert man den Sachverhalt mit Fokus auf die Lebensdauer, zeichnet sich unmittelbar ab, dass biometrische Merkmale nicht für eine hochsichere Authentisierung geeignet sind. Biometrische Merkmale neigen dazu, unveränderbar zu sein. Ein Fingerabdruck oder Iris-Scan ist in dieser Hinsicht mit einer eindeutigen, aber statischen Device-ID zu vergleichen. Es handelt sich also in erster Linie um ein Identifikationsmerkmal und nicht um eine eigenständige Authentisierungsmöglichkeit. Biometrische Mechanismen erzwingen also nicht unmittelbar und auf allen Ebenen eine höhere Sicherheit.

Zusammenfassung

Mobile Apps erfordern oft eine Authentisierung, um Ressourcen vor unerlaubtem Zugriff zu schützen. Es gibt Mechanismen, die hierzu eingesetzt werden können. Je nach eingesetzter Lösung drängen sich andere Anforderungen auf. Möglichst kurzlebige Authentisierungsmerkmale erschweren das Herausfinden und Abgreifen selbiger. In Anbetracht dessen erscheint es nur logisch, dass biometrische Merkmale keine echten Authentisierungsmöglichkeiten bereitstellen, da sie naturbedingt nicht geändert werden.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv