:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/51/b7/51b7a7d69e16959c4e7dbe416c279173/0115397256.jpeg "Frank Karlitschek (2. von links) spricht als Keynote Speaker der SFSCON im NOI Techpark in Bozen. (Bild: Daniele Fiorentino)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/f1/8a/f18a4e8a90cedb82ec157f48150c97c5/0115353158.jpeg "Der Kontrol Hub soll sicherstellen, dass die Funktionen Software-definierter Fahrzeuge immer den aktuellen regulatorischen Vorgaben entsprechen. (Bild: <a href=https://pixabay.com/users/ken19991210-333782/>ken19991210</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Doppelte App-Absicherung gegen ungewollte Zugriffe, Teil 1 Grundlagen der Zwei-Faktor-Authentifizierung
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Zwei-Faktor-Authentifizierung sollte für alle Anwendungen, die sensible Daten verarbeiten, zum Standard werden. Aus Sicht der Softwareentwicklung greift man am besten auf bewährte Lösungen und vorgefertigte Komponenten zurück.
Applikationen nutzen meist auf vielfältige Art Daten, Services und Funktionen. Dabei werden dem Nutzer teilweise sehr schützenswerte Daten zur Verfügung gestellt oder es werden Geschäftsvorgänge durchgeführt, deren Ausführung nur bei entsprechender Berechtigung zugelassen werden sollte.
Um dieses zu gewährleisten ist es i.d.R. notwendig, dass sich der Nutzer eindeutig gegenüber dem Dienst, der App oder Service authentifiziert. Natürlich muss er dann auch über die notwendigen Berechtigungen verfügen, um die gewünschten Aktionen auszuführen.
Rund um das Thema Benutzermanagement und Zugriffsberechtigungen gilt es die folgenden Begriffe zu trennen:
- Identifizierung: A informiert B über seine Identität.
- Authentisierung: A übergibt Informationen, die eine Verifizierung seiner Identität durch B erlauben.
- Authentifizierung: B überprüft, ob die vorgegebene Identität durch die Authentisierungsdaten bestätigt werden kann.
- Autorisierung: B lässt nach erfolgreicher Authentifizierung den Zugriff auf die angeforderte Ressource zu, d.h. der Zugriffsumfang bestimmt sich durch die eingeräumten Rechte.
Mit Blick auf die Paxis kann man das Procedere deutlich konkretisieren. Der Benutzer erhält nach dem Start der App eine oder mehrere Optionen, sich anzumelden. Sind die Daten korrekt, darf er mit der App arbeiten. In welchem Umfang er Daten verarbeiten kann, zum Beispiel ob er diese nur lesen darf oder auch Löschrechte besitzt, ist eine Frage der Berechtigungen.
Erweisen sich die Anmeldedaten als nicht korrekt, so wird der Benutzer abgewiesen. Meist hat er dann noch mehrfach die Möglichkeit, die Anmeldung wiederholend zu probieren. Wird der Zugriff mehrfach ohne Erfolg ausprobiert, dann wird man für eine bestimmte Zeit oder bis zur Rücksetzung des Accounts gesperrt.
Welcher Aufwand und welche Hürden für den Zugriff gerechtfertigt sind, das muss man individuell entscheiden. Sehr häufig wird heute eine Zwei-Faktor-Authentifizierung angewendet.
Zwei-Faktor-Authentifizierung
An vielen Stellen reden wir hier lediglich von der Authentifizierung der Nutzerdaten. Welches Verfahren dabei zum Einsatz kommt, wurde noch nicht erwähnt. Aus Gründen der Sicherheit empfiehlt es sich vielerorts, eine Zwei-Faktor-Authentifizierung (2FA) zu implementieren.
Die 2FA nutzt zum Identitätsnachweis eines Anwenders zwei unterschiedliche und unabhängige Komponenten, zum Beispiel den Fingerabdruck plus den Zugangscode beim Eingang ins Gebäude. Das Ziel ist die Erhöhung der Sicherheit. Es müssen daher immer zwei korrekte Faktoren vorhanden sein. Man kann die möglichen Faktoren in drei Arten klassifizieren:
- 1. Besitz: Es geht um einen Faktor, welcher jemandem persönlich gehört, beispielsweise eine Bank- oder Zugangskarte.
- 2. Wissen: Es geht um ein geheimes Wissen, welches nur dem Anwender bekannt ist, beispielsweise die Kombination aus Benutzername und Kennwort, die Antwort auf die Sicherheitsfrage, etc.
- 3. Merkmal bzw. biometrische Charakteristika: Es handelt sich um ein körperliches Merkmal der betreffenden Person, beispielsweise der Fingerabdruck.
Die 2FA funktioniert – dargestellt am Beispiel – wie folgt: Der Anwender gibt seinen Nutzernamen und das Passwort ein. Dieses führt jedoch noch nicht zu dem gewünschten Inhalt, sondern es muss eine weitere Hürde gemeistert werden. Viele Zwei-Faktor-Systeme greifen nach der Passwortabfrage auf ein externes System bzw. die Nutzung eines weiteren Geräts zurück. Das kann zum Beispiel ein Smartphone mit einem Bestätigungscode (Einmal-Passwort, OTP) oder Fingerabdruck sein.
Nur wenn beide Zugangsfaktoren korrekt sind, erhält der Anwender den gewünschten Zugriff auf den Inhalt. Diese Art der Authentifizierung bietet damit ein höheres Sicherheitsniveau als die bloße Eingabe von Nutzername und Passwort. Andererseits steigt auch der Aufwand für den Nutzer, d.h. es verursacht zusätzliche Tätigkeiten und der Zeitbedarf bis zur Gewährung des Zugriffs nimmt zu.
Das bedeutet, dass die Anwendung der 2FA auch gerechtfertigt sein muss. Beim Zugriff auf einfache Dienste, ohne sicherheitsrelevante persönliche Daten, ist die 2FA meist eine zu große Hürde, d.h. sie wird nicht oder nur schlecht durch die Anwender akzeptiert. Die Gründe für die Nutzung bzw. Umstellung auf eine 2FA lauten primär wie folgt.
- Erhöhte Sicherheit: Die 2FA fügt zur herkömmlichen Authentifizierungsmethode (normalerweise Benutzername und Passwort) eine zweite Sicherheitsebene hinzu. Selbst wenn ein Angreifer das Passwort kennt oder gestohlen hat, kann er sich ohne die zweite Authentifizierungsmethode nicht anmelden. Dies macht es für Angreifer erheblich schwieriger, auf das Konto und die Daten zuzugreifen. Auch wenn das Passwort durch Phishing, Keylogger oder Datenlecks kompromittiert wurde, muss der Angreifer noch eine zusätzliche Hürde überwinden, um Zugang zu erhalten.
- Compliance-Anforderungen: In einigen Branchen (zum Beispiel Bankdienstleistungen) und für bestimmte Dienste sind Unternehmen gesetzlich verpflichtet, zusätzliche Sicherheitsmaßnahmen wie die 2FA zu implementieren.
- Benutzerfreundlichkeit: Die 2FA kann sicherer sein als die ausschließliche Verwendung von komplexen Passwörtern, ohne die Notwendigkeit, sich sehr komplexe Passwörter zu merken. Benutzer können immer noch ihre bevorzugten Passwörter verwenden, aber die 2FA bietet eine zusätzliche Sicherheitsschicht.
Insgesamt ist die 2FA eine äußerst effektive Methode, um die Sicherheit von Konten und Diensten zu erhöhen und das Risiko von unbefugtem Zugriff und Datenverlust erheblich zu reduzieren.
Biometrischer Faktor
Bei der Identifikation sind biometrische Verfahren eine wichtige Authentifizierungsmethode. Dabei erfolgt eine Erfassung der aktuellen biometrischen Daten einer Person. Diese werden mit bereits bekannten biometrischen Referenzdaten, welche zum Beispiel in einer Datenbank gespeichert sind, verglichen. Es gibt eine Vielzahl biometrischer Verfahren. Diese unterscheiden sich in der Verwendung der verschiedenen biometrischen Merkmale.
Fingerabdrücke werden schon seit vielen Jahren zur Identifikation von Personen genutzt. Grund dafür ist die Einzigartigkeit eines Fingerabdrucks. Im Smartphone war der Fingerabdrucksensor vor einigen Jahren etwas Besonderes. Heutzutage ist dieser in zahlreichen Geräten vorhanden. Fingerabdrucksensoren dienen zur schnellen und bequemen Entsperrung der Geräte durch den Nutzer. Im Vergleich zu anderen Systemen, zum Beispiel PIN-, Passwort- oder Mustereingabe, ist das Verfahren viel einfacher und sicherer.
Man unterscheidet halb- und vollautomatische Fingerabdrucksensoren. Bei den halbautomatischen Sensoren muss der Finger über ein Sensorfeld gezogen werden, um die ganze Fingerkuppe aufzunehmen. Was wir heute von Smartphones kennen, sind vollautomatische Sensoren, bei denen die Fingerkuppe einfach aufgelegt werden kann. Zum Scan des Fingerabdrucks gibt es zwei gängige Methoden: optische und kapazitive.
Am meisten verbreitet bei Smartphones sind optische Fingerabdrucksensoren. Zur Identifizierung wird ein Finger auf die Glasplatte, welche als Prisma dient, gelegt. Die Papillarleisten (Erhebungen) des Fingerabdrucks kommen in Kontakt mit dem Glas. Die Täler (Rillen) dazwischen sind mit Luft gefüllt und berühren auf diese Weise die Glasplatte nicht. Eine Lichtquelle beleuchtet den Finger in der Art, dass das Prisma die Lichtstrahlen auf einen Bildsensor reflektiert. Da, wo die Strahlen auf die Erhebungen treffen, wird die Reflexion gestört. Der Bildsensor erzeugt ein zweidimensionales Foto des Abdrucks.
Beim Entsperren des Smartphones wird in Sekundenschnelle verglichen, ob das aufgelegte Muster mit den gespeicherten Daten übereinstimmt. Bei hochwertigen Sensoren wird zusätzlich zu den optischen Sensoren Ultraschall oder Infrarot verwendet. Somit wird es möglich zu erkennen, ob der Besitzer des Fingerabdrucks bei der Identifizierung lebt. Es werden die Eigenschaften, wie Puls, Blutzirkulation, Wärmebild zusätzlich untersucht.
Die kapazitiven Fingerprint-Sensoren basieren auf elektrischer Ladung. In diesem Fall befindet sich auf dem Fingerabdruckscanner eine leitende Siliziumschicht und darunter ein Netz aus winzigen Kondensatoren. Diese sitzen auf einem Sensorchip.
Wenn der Finger auf die Siliziumschicht gelegt wird, verändert sich die elektrische Ladung. Das passiert nur an den Stellen, an denen die Fingerrillen aufliegen. An den Stellen, wo keine Rillen sind, bleibt die Ladung gleich. Mit Hilfe von einen Operationsverstärker mit integriertem Schaltkreis und einen Analog-zu-Digital-Konverter wird das Ganze in ein digitales Bild umgewandelt.
Die Gesichtserkennung ist ein weiteres biometrisches Verfahren. Das Gesicht einer Person wird aufgenommen und mit bereits zuvor gespeicherten Aufnahmen verglichen. Dabei wird das Bild als erstes digitalisiert und danach werden die charakteristischen Eigenschaften berechnet. Verwendet werden diejenigen Merkmale des Gesichts, welche sich aufgrund der Mimik nicht ständig verändern, zum Beispiel die oberen Kanten der Augenhöhlen, die Gebiete um die Wangenknochen und die Seitenpartien des Mundes. Die Gesichtserkennung ist eine noch junge Wissenschaft mit viel Potenzial.
Die Iriserkennung basiert darauf, dass die Bindegewebestrukturen, die zwischen der Iris (Regenbogenhaut) und der Hornhaut des menschlichen Auges liegen, komplex und einzigartig (selbst bei eineiigen Zwillingen) sind. Bei Menschen mit dunklen Augenfarben sind die Strukturen schwerer zu erkennen. Im Gegensatz zu den anderen biometrischen Merkmalen hat die Iris einen hohen Grad an Symmetrie. Die aufgenommenen Bilder werden verarbeitet und mit speziell für diesen Zweck entwickelten mathematischen Methoden ein eindeutiger Datensatz gebildet. Ähnlich funktioniert die Handvenenerkennung, bei der das einzigartige Muster der Venen in den Händen und Handgelenken per Kamera erfasst wird.
Eine hundertprozentige Korrektheit bei der Authentifizierung kann bei den biometrischen Verfahren nicht garantiert werden. Die größten Fehler bei der Anwendung von biometrischen Verfahren sind die Falschakzeptanz und die Falschrückweisung. Die Falschakzeptanz (False Acceptance Rate, FAR) ist die Wahrscheinlichkeit, dass eine nicht berechtigte Person aufgrund ähnlicher biometrischer Charakteristika akzeptiert wird.
Die Falschrückweisung (False Rejectance Rate, FRR) ist die Wahrscheinlichkeit, einer berechtigten Person den Zugang zu verweigern, weil die Übereinstimmungserfordernisse biometrischer Charakteristika zu rigide gehandhabt werden. Das Ziel besteht darin, beide Parameter (FAR, FRR) in eine akzeptable Relation zum Sicherheitslevel zu bringen (siehe vorne). Im zweiten Teil dieser Kurzserie blicken wir auf ausgewählte Aspekte der technischen Realisierung einer 2FA mithilfe von RAD Studio.
(ID:49727035)
:quality(80)/p7i.vogel.de/wcms/59/77/597779910d2df7bf3494e71f1c9c8fa5/0114353155.jpeg "Die vollständige Eigen-Implementierung eines Fingerabdruck-Scans ist sehr aufwändig. (Bild: <a href=https://unsplash.com/de/@georgeprentzas>George Prentzas</a>)")
:quality(80)/p7i.vogel.de/wcms/1b/17/1b17fa29331010425221b444fedddc6f/0109775855.jpeg "Bei der Hardware-gestützten SSO-Authentifizierung fällt der Mensch der Unsicherheitsfaktor weg. (Bild: <a href=https://unsplash.com/de/@bhdebrito>Bruno Brito</a>)")