Im Zeitalter von Smartphones gibt es eigentlich für alle Zwecke eine App. Nicht umsonst warb Apple im Jahr 2009 mit dem patentierten Slogan There is an App for that für das iPhone 3G. Viele Dienste bieten mittlerweile die mobile Möglichkeit, sie im Rahmen einer App zu nutzen. Dabei gibt es immer wieder die Diskussion, ob und inwiefern eine Authentisierung im Rahmen solcher Erweiterungen umzusetzen sind.

Sicherheit und Ergonomie

Eine Authentisierung wird eingesetzt, um eine Ressource vor unerlaubten Zugriffen zu schützen. Typischerweise wird dabei ein Benutzername und ein geheimes Passwort vorausgesetzt. Dies ist dann auch die klassische Variante, wie eine App daher kommt. Man sieht es bei vielen Apps zu Sozialen Netzwerken, alltäglich gebrauchten Diensten oder Spielen.

In manchen Fällen ist aber eine solch gesicherte Zugriffsmöglichkeit gar nicht erforderlich. Dann wird zwecks Erhöhung der Ergonomie auf eine gerätespezifsche Identifikation gesetzt. Anhand der eindeutigen Device-ID wird erkannt, welcher Benutzer sich verbinden will. Sieht er sich im Besitz des Geräts, geht man davon aus, dass er der legitime Benutzer dessen ist. Das Problem hierbei ist, dass der Verlust oder Diebstahl eines Geräts den unmittelbaren Missbrauch möglich macht. Dieser Ansatz ist deshalb nur für Lösungen mit sehr geringen Sicherheitsanforderungen vorzusehen.

Die nachfolgende Tabelle zeigt exemplarisch die Minimalanforderungen, wie sie an die Dienstkategorien gestellt werden sollten. Im Idealfall werden aus sicherheitstechnischer Sicht gar bessere Mechanismen eingesetzt, wobei halt eben Einbussen bezüglich Ergonomie in Kauf genommen werden müssten.

Dienste, bei denen eine verlässliche initiale Beglaubigung erforderlich wird, können bei der Registration des Benutzers eine erhöhte Authentisierung als Grundlage für eine zuverlässige Identifikation voraussetzen. Zum Beispiel mittels Benutzernamen und Passwort. Sobald dieser Prozess erfolgreich durchlaufen ist, kann auf einen transparenten Mechanismus (unter anderem Device-ID) gewechselt werden. Bei Webshop-Lösungen bietet sich dies beispielsweise an. Bei Apps mit hohen Sicherheitsanforderungen, namentlich E-Banking-Lösungen, ist dies nicht zulässig. Dort muss jeder Zugriff die zuverlässige Identifikation beinhalten.

Kurze Lebensdauer für hochsichere Umgebungen

Die durch einen Authentisierungsmechanismus gewährleistete Sicherheit erhöht sich unter anderem dadurch, dass die genutzte Information möglichst kurzlebig ist. Hier gelten die gleichen Grundsätze, wie sie im Artikel Sichere und ergonomische Timeouts beschrieben sind.

Stellt man die Mechanismen gegenüber, wird schnell ersichtlich, der in hochsicheren Umgebungen bevorzugt werden sollte.

Kurzlebige Token sind Pflicht in hochsicheren Umgebungen. Sie jedoch bei jedem Mail-Zugriff für private Nachrichten zu verwenden, erscheint hingegen sehr unpraktisch.

Kritik an biometrischen Merkmalen

Diskutiert man den Sachverhalt mit Fokus auf die Lebensdauer, zeichnet sich unmittelbar ab, dass biometrische Merkmale nicht für eine hochsichere Authentisierung geeignet sind. Biometrische Merkmale neigen dazu, unveränderbar zu sein. Ein Fingerabdruck oder Iris-Scan ist in dieser Hinsicht mit einer eindeutigen, aber statischen Device-ID zu vergleichen. Es handelt sich also in erster Linie um ein Identifikationsmerkmal und nicht um eine eigenständige Authentisierungsmöglichkeit. Biometrische Mechanismen erzwingen also nicht unmittelbar und auf allen Ebenen eine höhere Sicherheit.

Zusammenfassung

Mobile Apps erfordern oft eine Authentisierung, um Ressourcen vor unerlaubtem Zugriff zu schützen. Es gibt Mechanismen, die hierzu eingesetzt werden können. Je nach eingesetzter Lösung drängen sich andere Anforderungen auf. Möglichst kurzlebige Authentisierungsmerkmale erschweren das Herausfinden und Abgreifen selbiger. In Anbetracht dessen erscheint es nur logisch, dass biometrische Merkmale keine echten Authentisierungsmöglichkeiten bereitstellen, da sie naturbedingt nicht geändert werden.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• http://www.trademarkia.com/theres-an-app-for-that-77980556.html
• https://www.scip.ch/?labs.20130214