Die Schwächen von klassischer passwortbasierter Authentifizierung sind hinlänglich bekannt: Menschen sind nicht nur schlecht darin sich einzigartige, sichere Passwörter auszudenken; sie sind auch schlecht darin sich diese zu merken. Dies resultiert darin, dass es viele Menschen gibt, die ein konkretes Passwort nicht nur für ein einzelnes Online-Konto verwenden, sondern bei einer Vielzahl von Konten auf dasselbe Passwort setzen. Somit bietet sich für Angreifende die Möglichkeit mit einem einzigen erbeuteten Passwort gleich mehrere Online-Konten der betroffenen Person zu kompromittieren.
Um diesem Problem entgegen zu wirken, setzen Online-Dienste vermehrt auf Zwei-Faktor-Authentifizierung, bei der neben einem Passwort auch ein zweiter Faktor für einen erfolgreichen Anmeldevorgang benötigt wird. Somit reicht den Angreifenden in der Theorie ein erbeutetes Passwort alleine nicht mehr aus, um Zugriff auf andere Online-Konten zu erhalten, die dasselbe Passwort verwenden. Die Praxis zeigt jedoch, dass bei den meisten Menschen die Bereitschaft Zwei-Faktor-Authentifizierung zu verwenden äußerst gering ist, da die zusätzliche Hürde während der Authentifizierung als relevante Beeinträchtigung der Benutzbarkeit wahrgenommen wird.
Um die Akzeptanz innerhalb der Bevölkerung zu erhöhen, besteht ein neuerer Ansatz darin anstelle von einer strikten Zwei-Faktor-Authentifizierung auf risikobasierte Authentifizierung zu setzen. Hierbei werden während eines Anmeldevorgangs neben dem Passwort auch weitere Metadaten überprüft. Zu diesen Metadaten kann beispielsweise das verwendete Betriebssystem und der verwendete Browser, aber auch die IP-Adresse und die aktuelle Tageszeit gehören. Durch einen Vergleich der aktuellen Metadaten mit den Metadaten von vergangenen, erfolgreichen Anmeldeversuchen des Nutzenden, ist es möglich ein Risiko zu berechnen. Dieses gibt darüber Aufschluss wie wahrscheinlich es ist, dass der aktuelle Anmeldeversuch vom Nutzenden selbst stammt und somit legitim ist. Im Vergleich zur klassischen Zwei-Faktor-Authentifizierung findet die Abfrage eines weiteren Faktors nur dann statt, wenn ein entsprechendes Risiko ermittelt wurde. Somit fällt bei einer nahezu gleichbleibenden Sicherheit des betreffenden Online-Kontos die Benutzbarkeit signifikant besser aus.
Vor dem Hintergrund der aktuellen Entwicklung von risikobasierter Authentifizierung beschäftigen wir uns mit den Fragen wie risikobasierte Authentifizierung von den Nutzenden wahrgenommen wird, wie zuverlässig ein passendes Risiko bestimmt werden kann, welche Metadaten dafür erforderlich sind und welche Datenschutzbedenken ggf. in die Auswahl geeigneter Metadaten einfließen sollten.
Projektleitung: Daniel Rotter
Zeitraum: 2024