Mit der Authentifizierungsmethode RBA (risikobasierte Authentifizierung, risk-based authentication) akzeptiert ein Onlinedienst Nutzername und Passwort nur, solange dieser keine Auffälligkeiten erkennt. Ist RBA aufgrund des Verhaltens bzw. der situativen Gegebenheiten nicht sicher, ob sich der legitime User einloggen möchte, fragt es nach einer zusätzlichen Authentifizierung.
RBA wird nach wie vor fast ausschließlich von großen US-amerikanischen Online-Diensten wie Amazon, Facebook, Google oder LinkedIn eingesetzt. Dabei belegt eine neue Langzeit-Studie eines Forscher-Teams des Horst-Görtz-Instituts für IT-Sicherheit und der Hochschule Bonn-Rhein-Sieg, dass die Methode nicht nur nutzerfreundlicher ist als vergleichbare 2FA-Methoden, sondern auch eine hohe Sicherheit erreicht.
Für die Studie haben Stephan Wiefling, Markus Dürmuth und Luigi Lo Iacono knapp zwei Jahre lang das Nutzerverhalten von 780 Usern auf einem Onlinedienst beobachtet. In diesem realen Kontext haben sie zwei RBA-Algorithmen, die in der Praxis eingesetzt werden, auf ihre Sicherheits- und Usability-Eigenschaften untersucht.
Online-Dienste müssen nicht viele Merkmale sammeln
Ihre Ergebnisse zeigen, dass RBA in der Praxis sehr selten nach einer zusätzlichen Authentifizierung fragt. Laut den Forschern gelte dies selbst, wenn mehr als 99.45% intelligente Angriffe blockiert werden – damit gemeint sind Angriffe mit Kenntnis zu den Anmeldedaten des Opfers sowie dessen typischen Standort (Stadt, Land), Browser und Gerät. Die Forscher zeigten außerdem auf, dass nur wenige Merkmale für die Authentifizierungs-Methode sinnvoll sind. Das bedeutet, dass Online-Dienste nicht viele dieser Merkmale sammeln müssen, um gute RBA-Sicherheit und Usability zu erreichen. Hierdurch führen die Wissenschaftler auch erstmalig ein Maß ein, womit die Datensparsamkeit und Zweckgebundenheit der RBA-Merkmale nach Datenschutzgesichtspunkten bewertet werden können. Im Zuge ihrer Arbeit entwickelte das Team außerdem ein neues Merkmal, das bekannte Angriffe auf RBA erkennt und die Kosten für Angreifer weiter erhöht.
RBA schützt vor Angriffen mit gestohlenen Logindaten, wie z. B. Phishing oder Credential Stuffing. Tatsächlich nutzen trotz der vorliegenden erhöhten Usability und dem Sicherheitsgewinn aber nur wenige kleine und mittlere Websites die Technologie, obwohl diese von Behörden wie dem National Institute of Standards and Technology (NIST, USA) und dem National Cyber Security Centre (NCSC, UK) empfohlen wird. Die Wissenschaftler vermuten die Gründe dafür im mangelnden Kenntnisstand zu RBA und den damit verbundenen Schwierigkeiten bei der Implementierung. Die wissenschaftliche Arbeit des Forscher-Teams liefert hierfür wertvolle Erkenntnisse, die eine breitere Nutzung befördern sollten.
RBA als Alternative
Um auch in Deutschland eine stärkere Sichtbarkeit von RBA als effektive und sofortige Härtung Passwort-basierter Authentifizierungssysteme zu erreichen, wünschen sich die Wissenschaftler, dass einschlägige Organe RBA stärker als Interims-Sicherheitslösung diskutieren, die auf dem Weg zu einer passwortlosen Zukunft eine gewichtige Rolle einnimmt. Denn aus Sicht der Sicherheitsforscher ist es unverantwortlich, beim Warten auf einen flächendeckenden Einsatz von Mehrfaktor-Authentifizierung in Gebrauch befindliche passwortbasierte Authentifizierungssysteme im aktuellen Zustand zu belassen und RBA unberücksichtigt zu lassen.
Das Paper wird auf der diesjährigen „Financial Cryptography and Data Security“ Konferenz im März vorgestellt. Die technischen Details und das Paper zum Download finden Sier hier.
Pressekontakt
Stephan Wiefling
Data and Application Security Group
Hochschule Bonn-Rhein-Sieg
Tel.: +49 2241 865 9567
Web: https://das.h-brs.de
Mail: stephan.wiefling(at)h-brs.de
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.