Sie wollen mehr?
Weitere Artikel im Archiv
Im Zeitalter von Smartphones gibt es eigentlich für alle Zwecke eine App. Nicht umsonst warb Apple im Jahr 2009 mit dem patentierten Slogan There is an App for that für das iPhone 3G. Viele Dienste bieten mittlerweile die mobile Möglichkeit, sie im Rahmen einer App zu nutzen. Dabei gibt es immer wieder die Diskussion, ob und inwiefern eine Authentisierung im Rahmen solcher Erweiterungen umzusetzen sind.
Eine Authentisierung wird eingesetzt, um eine Ressource vor unerlaubten Zugriffen zu schützen. Typischerweise wird dabei ein Benutzername und ein geheimes Passwort vorausgesetzt. Dies ist dann auch die klassische Variante, wie eine App daher kommt. Man sieht es bei vielen Apps zu Sozialen Netzwerken, alltäglich gebrauchten Diensten oder Spielen.
In manchen Fällen ist aber eine solch gesicherte Zugriffsmöglichkeit gar nicht erforderlich. Dann wird zwecks Erhöhung der Ergonomie auf eine gerätespezifsche Identifikation gesetzt. Anhand der eindeutigen Device-ID wird erkannt, welcher Benutzer sich verbinden will. Sieht er sich im Besitz des Geräts, geht man davon aus, dass er der legitime Benutzer dessen ist. Das Problem hierbei ist, dass der Verlust oder Diebstahl eines Geräts den unmittelbaren Missbrauch möglich macht. Dieser Ansatz ist deshalb nur für Lösungen mit sehr geringen Sicherheitsanforderungen vorzusehen.
Die nachfolgende Tabelle zeigt exemplarisch die Minimalanforderungen, wie sie an die Dienstkategorien gestellt werden sollten. Im Idealfall werden aus sicherheitstechnischer Sicht gar bessere Mechanismen eingesetzt, wobei halt eben Einbussen bezüglich Ergonomie in Kauf genommen werden müssten.
Dienst | Device-ID | Benutzername | Passwort | Token |
---|---|---|---|---|
Spiele | ja | nein | nein | nein |
Soziale Netze | nein | ja | ja | nein |
nein | ja | ja | nein | |
Webshop (Vorauskasse) | ja | ja | nein | nein |
Webshop (Rechnung) | nein | ja | ja | nein |
E-Banking (read-only) | nein | ja | ja | nein |
E-Banking (Transaktionen möglich) | nein | ja | ja | ja |
Dienste, bei denen eine verlässliche initiale Beglaubigung erforderlich wird, können bei der Registration des Benutzers eine erhöhte Authentisierung als Grundlage für eine zuverlässige Identifikation voraussetzen. Zum Beispiel mittels Benutzernamen und Passwort. Sobald dieser Prozess erfolgreich durchlaufen ist, kann auf einen transparenten Mechanismus (unter anderem Device-ID) gewechselt werden. Bei Webshop-Lösungen bietet sich dies beispielsweise an. Bei Apps mit hohen Sicherheitsanforderungen, namentlich E-Banking-Lösungen, ist dies nicht zulässig. Dort muss jeder Zugriff die zuverlässige Identifikation beinhalten.
Die durch einen Authentisierungsmechanismus gewährleistete Sicherheit erhöht sich unter anderem dadurch, dass die genutzte Information möglichst kurzlebig ist. Hier gelten die gleichen Grundsätze, wie sie im Artikel Sichere und ergonomische Timeouts beschrieben sind.
Stellt man die Mechanismen gegenüber, wird schnell ersichtlich, der in hochsicheren Umgebungen bevorzugt werden sollte.
Mechanismus | Lebensdauer | Änderbar |
---|---|---|
Device-ID | sehr lang | nie |
Benutzername | lang | selten |
Passwort | mittel | regelmässig |
Token | kurz | immer |
Kurzlebige Token sind Pflicht in hochsicheren Umgebungen. Sie jedoch bei jedem Mail-Zugriff für private Nachrichten zu verwenden, erscheint hingegen sehr unpraktisch.
Diskutiert man den Sachverhalt mit Fokus auf die Lebensdauer, zeichnet sich unmittelbar ab, dass biometrische Merkmale nicht für eine hochsichere Authentisierung geeignet sind. Biometrische Merkmale neigen dazu, unveränderbar zu sein. Ein Fingerabdruck oder Iris-Scan ist in dieser Hinsicht mit einer eindeutigen, aber statischen Device-ID zu vergleichen. Es handelt sich also in erster Linie um ein Identifikationsmerkmal und nicht um eine eigenständige Authentisierungsmöglichkeit. Biometrische Mechanismen erzwingen also nicht unmittelbar und auf allen Ebenen eine höhere Sicherheit.
Mobile Apps erfordern oft eine Authentisierung, um Ressourcen vor unerlaubtem Zugriff zu schützen. Es gibt Mechanismen, die hierzu eingesetzt werden können. Je nach eingesetzter Lösung drängen sich andere Anforderungen auf. Möglichst kurzlebige Authentisierungsmerkmale erschweren das Herausfinden und Abgreifen selbiger. In Anbetracht dessen erscheint es nur logisch, dass biometrische Merkmale keine echten Authentisierungsmöglichkeiten bereitstellen, da sie naturbedingt nicht geändert werden.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!