In der heutigen digitalisierten Welt gibt es viele Mythen darüber, wie ein erfolgreiches und sicheres Passwort-Authentifizierungssystem aussehen sollte.
Die Geschäftsleitung erwartet in der Regel von ihrer Engineering-, IT- oder Tech-Abteilung, dass sie eine hochmoderne und sichere Zugriffsmanagementlösung als Teil der gesamten Produktentwicklung erstellt. Dabei wird jedoch häufig übersehen, dass die unternehmensinterne IT-Abteilung auf die Produktentwicklung ausgerichtet und auch auf diesen Bereich spezialisiert ist. Die Entwicklung von sicheren Zugriffssystemen ist nicht nur eine zusätzliche und belastende Aufgabe zu einer ohnehin schon hohen Arbeitsbelastung, sondern gehört auch nicht zu den Kernkompetenzen. So fehlt es hier oft sowohl an Know-how als auch an Ressourcen. Die Folge ist, dass eine Authentifizierungslösung irgendwie aufgebaut oder implementiert wird und dann oft vernachlässigt wird, weil andere Themen wichtiger zu sein scheinen. Außerdem üben Vertrieb, Marketing und Produktabteilungen oft Druck auf die technischen Teams aus, mehr Produktfunktionen zu implementieren, anstatt zu viel Zeit für eine sichere Zugriffsmanagementlösung zu "verschwenden". Das Verständnis für Sicherheit beginnt oft erst, nachdem eine Datenbank, eine Webseite oder ein Portal kompromittiert worden ist. Das muss aber nicht sein!
Obwohl bewährte Verfahren und Forschungsergebnisse klare Leitlinien für die Entwicklung einer modernen Zugriffsverwaltungslösung enthalten, können die nachstehenden Prüfungen nur eine erste und schnelle Einschätzung der Qualität der evaluierten Lösung liefern. Wenn einer der unten aufgeführten Faktoren nicht den höchsten Sicherheitsstandards entspricht, bedeutet das nicht unbedingt, dass die Lösung nicht sicher ist. Allerdings bedeuten mehr negative Antworten auf die folgenden Prüfungen in der Regel, dass sich die Wahrscheinlichkeit erhöht, dass eine Lösung nicht den neuesten Sicherheitsstandards entspricht. In einem solchen Fall sollte die Lösung von einem Sicherheitsexperten beurteilt werden, um zu entscheiden, ob Änderungen vorgenommen werden müssen. Das Ziel eines solchen Verfahrens sollte immer sein, eine schwer angreifbare und sichere Authentifizierungslösung zu haben, um es potenziellen Hackern und ihren Brute-Force-Angriffen so kompliziert wie möglich zu machen.
Wir bei Engity verfügen über langjährige Erfahrung in diesem Bereich und sind bereit, Sie bei solchen Sicherheitsprüfungen zu unterstützen. Im Folgenden finden Sie eine Auswahl von Schnelltestroutinen, mit denen Sie die Qualität eines Authentifizierungssystems in vier einfachen Schritten von außen beurteilen können.
Prüfen Sie die Login-Lösung bei der Registrierung
Die Anmeldung bei einer Webseite, einem Portal oder einer Datenbank kann Ihnen wertvolle Hinweise auf die Online-Sicherheit des Anbieters geben. Eine Reihe von Faktoren kann Ihnen dabei helfen zu beurteilen, ob es sich bei der Authentifizierungslösung eher um eine sichere Lösung handelt, die den neuesten Sicherheitsstandards entspricht, oder um eine selbst entwickelte oder schnell implementierte MVP-Lösung.
Implementierte Regeln für Passwortlängen, -komplexität oder -stärke
Mit der Professionalisierung der Online-Welt, mit der rasant steigenden Rechenleistung von Cloud-basierten Systemen und mit der Digitalisierung im Allgemeinen haben auch die Bösewichte (Hacker) ihre Techniken zur Kompromittierung von Datenbanken und Zugriffsmanagementsystemen erfolgreich weiterentwickelt. Während in den Anfängen des Internets ein einfaches Passwort einen recht guten Schutz bot, garantieren heute selbst 6-, 8- oder 10-stellige Passwörter allein nicht mehr die Integrität und Sicherheit eines geschützten Systems und somit Ihrer Daten. Während Experten immer noch darüber diskutieren, ob die Länge oder die Komplexität eines Passworts wichtiger ist, haben Forscher eindeutig herausgefunden, dass die Passwortstärke die derzeitige State-of-the-Art-Lösung für ein Passwort ist. Aber wie kann man herausfinden, ob eine Passwortauthentifizierung diesem Standard entspricht?
Eigentlich ist das ganz einfach! Wenn Sie auf dem Anmeldebildschirm nach einem 6-, 8-, 10-, 12- usw. stelligen Passwort gefragt werden, das häufig Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthält, deutet dies darauf hin, dass der Portalanbieter immer noch der alten Sicherheitslogik der Passwortlänge folgt, eventuell kombiniert mit einigen zusätzlichen Funktionen. Wenn das System jedoch nicht nach einer bestimmten Passwortsystematik fragt, sondern dem Nutzer einen sogenannten Passwortstärke-Checker zur Verfügung stellt, ist dies ein sehr gutes Zeichen dafür, dass der Anbieter auf dem neuesten Stand der Sicherheitsstandards ist. Bei der Eingabe eines neuen Passwortes unterstützt das System mit einem eingebauten Passwortstärkeprüfer den Nutzer bei der Suche nach einem guten und sicheren Passwort.
Allerdings machen Zugriffssysteme mit Passwortstärkeprüfer allein noch kein sicheres System, wenn andere Komponenten nicht berücksichtigt werden.
Implementierung weiterer Prüfungen, wenn gehackte Passwörter verwendet werden
Bei der Verwendung eines Passwortstärkeprüfers kann der Benutzer sicher sein, ein hochwertiges Passwort gewählt zu haben. Dennoch kann der Benutzer nicht wissen, ob dieses Passwort schon einmal kompromittiert wurde und daher auf Listen von "geleakten" (gehackten) Passwörtern irgendwo im Dark Web zu finden ist. Wenn dies der Fall ist, wird ein ehemals hochwertiges Passwort zu einem schwachen Passwort. Da die Rechenleistung immer billiger wird, können es sich Hacker leisten, ganze Listen mit gestohlenen Passwörtern zu verwenden und sie in Brute-Force-Angriffen auf Datenbanken zu testen.
Um auf Nummer sicher zu gehen und ihren Nutzern ein Maximum an Sicherheit zu bieten, sollten Portalbetreiber auch diese verfügbaren Listen mit geleakten Passwörtern ständig überprüfen und jedes eingegebene Passwort damit vergleichen. Gibt ein Nutzer ein Passwort ein, das kompromittiert wurde und auf einer solchen Liste zu finden ist, ist der Nutzer sofort zu warnen und aufzufordern, sein Passwort zu ändern.
Das Vorhandensein eines solchen Prüfmechanismus kann leicht überprüft werden, indem bei der Registrierung einfach Passwörter wie Password
, Password123
oder Password123$
eingegeben werden. Alternativ kann der Benutzer eine Passwortrücksetzung in einem bestehenden Konto erzwingen und eines der drei oben genannten Passwörter wählen. Sollte das System den Benutzer nicht über den kompromittierten Passwortstatus warnen, entspricht es nicht den neuesten Sicherheitsstandards. Um eine Vorstellung davon zu bekommen, wie eine solche Warnfunktion aussehen kann, laden wir Sie ein, einen Blick auf die Homepage von Engity oder die Demoversion von Engity zu werfen und während Sie sich registrieren, z.B. Password123
eingeben.
Prüfen Sie die Anmeldelösung beim Einloggen
Eine sorgfältige Analyse der Vorgänge beim Einloggen in eine Zutrittsmanagementlösung kann wertvolle Informationen über die Qualität und Sicherheit einer Authentifizierungslösung liefern.
Getrennter Anmeldebildschirm für Benutzernamen und Passwort
Die erste Beobachtung, die ein Benutzer bei der Anmeldung machen kann, ist, ob er seinen Benutzernamen und sein Kennwort auf der gleichen oder auf zwei aufeinander folgenden Anmeldeseiten eingeben muss. Auch wenn die Antwort aus der Sicherheitsperspektive weniger relevant ist, vermittelt sie doch einen Eindruck von der Erfahrung des Entwicklerteams mit Benutzeroberflächen für die Passwortanmeldung und der Benutzererfahrung. So können Experten einen ersten Rückschluss auf die Qualität eines Entwicklungsteams ziehen. Zweiseitige Zugriffssysteme bieten zumindest die Möglichkeit, intelligentere Authentifizierungsabläufe und verschiedene Zugriffsszenarien zu implementieren. Allein die Tatsache, dass die Entwickler mögliche künftige Anpassungen vorwegnehmen (sofern sie nicht bereits implementiert sind), spricht für ein höherwertiges System.
Automatische Sperrfunktion für zu oft falsch eingegebene Passwörter
Eine gute Zugriffslösung mit automatischer Sperr- oder „Lock-out“funktion erkennt, wenn ein Passwort nicht korrekt eingegeben wird und sperrt das System vorübergehend, um zu verhindern, dass sich Täter durch Brute-Force-Angriffe Zugang zum System verschaffen. Je nach Stärke der Lösung wird die Sperre nach dem 3., 5., x-ten (spätestens aber nach dem 10.) Versuch der Eingabe falscher Passwörter vorübergehend aktiviert. Oft wird das System bereits nach dem 3. Versuch das erste Mal gesperrt, z.B. für 10 Sekunden. Je mehr falsche Passwörter der Benutzer eingibt, desto länger wird die Sperrzeit. Nach dem 10. Anmeldeversuch innerhalb von Minuten ist es üblich, dass das System für etwa eine Stunde "schläft". Die Sperre soll verhindern, dass Hacker-Bots Millionen von verschiedenen Passwörtern gegen die Passwort-Login-Lösung testen können.
Eine solche Sperrfunktion ist eines der wichtigsten Sicherheitsmerkmale in jeder Lösung zur Passwortauthentifizierung. Interessanterweise wird sie jedoch von Website- oder Portalanbietern in der Regel nicht verwendet. Sie kann nur von einem Benutzer mit einem funktionierenden Benutzernamen und Passwort getestet werden. Das Testen einer Lösung auf die Sperrfunktion ermöglicht, ein besseres Verständnis der Sicherheitsstandards der Lösung zu erhalten.
Es gibt verschiedene Versionen von Sperrfunktionen, die sich auch in unterschiedlichen Sicherheitsstufen niederschlagen. Eine Sperrfunktion, die die Dauer der Sperre angibt, ist benutzerfreundlich und besser als eine Lösung, die überhaupt nicht funktioniert. Wenn jedoch der Benutzer (oder der Bot des Hackers) über das Vorhandensein einer Sperrfunktion und deren Dauer informiert wird, kann der Brute-Force-Angriff entsprechend aufgebaut und angepasst werden.
Die beste Vorgehensweise besteht daher darin, eine automatische, stille Sperre zu implementieren. Dies bedeutet, dass der Benutzer (oder Hacker) darüber informiert wird, dass eine falsche Kombination aus Benutzername und Kennwort eingegeben wurde. Die Logik hinter dieser Meldung ist, dass ein Benutzer sein Passwort normalerweise nach dem dritten oder vierten Versuch zurücksetzt. Der Bot des Hackers erhält jedoch nicht die Information, dass die Sperrfunktion aktiviert wurde, und versucht es immer wieder, wodurch die Zugriffslösung immer länger gesperrt wird.
Testroutine für das Vorhandensein der Sperrfunktion
Um das Vorhandensein der Sperrfunktion in Ihrem Authentifizierungssystem zu testen, geben Sie einfach zehnmal innerhalb von Sekunden oder Minuten ein falsches Kennwort ein. Wechseln Sie direkt nach diesen Versuchen zum richtigen Kennwort. Wenn Sie Zugang zum System erhalten, wissen Sie, dass keine Sperrfunktion implementiert wurde. Wenn Sie sich hingegen nicht mit den richtigen Anmeldedaten anmelden können, ist es sehr wahrscheinlich, dass eine Sperrfunktion implementiert wurde. Aber keine Sorge: In der Regel wird die Sperre spätestens nach 24 Stunden wieder geöffnet, und Sie können sich mit den korrekten Anmeldedaten erneut anmelden. Alternativ können Sie den Zugang sofort wiederherstellen, indem Sie die Funktion zum Zurücksetzen des Passworts nutzen.
Prüfen Sie die Login-Lösung mit einem wissentlich nichtexistierenden E-Mail-Konto
Sie können die Qualität eines Authentifizierungssystems überprüfen, indem Sie Eingaben machen, die für das System unerwartet sind. Durch die Eingabe solcher nicht offensichtlicher Einträge können Sie überprüfen, ob das IT-Team, das das Zugriffsverwaltungssystem entwickelt hat, Erfahrung mit dem Aufbau eines sicheren Systems hat oder nicht. Die Logik dahinter ist, dass erfahrene IT-Fachleute oder Entwickler, die bereits Authentifizierungslösungen implementiert haben, in der Regel an die so genannten unerwarteten Eingaben denken und daher eine Best-Practice-Lösung für solche Fälle einbauen.
Folglich lässt ein professionelles Zugriffssystem Sie nicht wissen, ob die eingegebenen Anmeldedaten existieren oder nicht. Wenn Sie also eine nicht existierende E-Mail und ein nicht existierendes Passwort eingeben und das System Ihnen mitteilt, dass der Benutzername nicht existiert oder das Passwort nicht korrekt ist, ist das kein gutes Zeichen.
Prüfen Sie die Login-Lösung beim Zurücksetzen eines Passworts
Der erste Schritt bei der Bewertung der Funktion zum Zurücksetzen des Kennworts ist die Suche nach der Funktion zum Zurücksetzen des Kennworts selbst. Wenn eine solche Funktion nicht vorhanden ist, bedeutet dies in der Regel, dass die Authentifizierung in einem unfertigen Zustand implementiert wurde. Infolgedessen ist ein solches System in der Regel auch nicht ordnungsgemäß getestet und meist auch nicht qualitätsgeprüft.
Falls eine Funktion zum Zurücksetzen des Kennworts vorhanden ist, können Sie das Verhalten der Lösung mit einer nicht existierenden E-Mail-Adresse (z. B. abc@xyz.de) testen. Wenn das System die Information zurückgibt, dass das Benutzerkonto nicht in der Datenbank existiert, ist das kein gutes Zeichen. Stattdessen sollte die Rückmeldung lauten, dass die Anforderung zum Zurücksetzen des Kennworts eingegangen ist und dass eine E-Mail mit Anweisungen an die angegebene E-Mail-Adresse (falls vorhanden) gesendet wurde.
Im Gegensatz dazu ist das Durchsickern von Benutzernamen bei einigen Lösungen von Apple, Google und Microsoft nicht per se kritisch, da die meisten Benutzer ohnehin ein Konto bei diesen Anbietern haben und das Verbergen der Existenz nicht viel ändert. Aufgrund dieses nicht veränderbaren Risikos investieren die genannten Akteure Milliarden in Sicherheitsmaßnahmen, um die allgemeinen Sicherheitsherausforderungen und Schwachstellen ihrer Lösungen so weit wie möglich zu verringern. Für kleinere Anbieter mit weniger finanziellen und IT-Ressourcen ist es sehr sinnvoll, Nutzer oder Benutzernamen nicht offen zu legen. Sie sind sicherheits- und datenschutzrelevant, wenn sie in bestimmten Kontexten verwendet werden. Um ein Beispiel zu nennen: Die Möglichkeit, Benutzernamen auf Unterhaltungsseiten für Erwachsene (z. B. Casinos, Hardcore-Gaming, Sex- oder pornografische Seiten) zu testen, kann den Ruf und die Datenschutzrechte der Nutzer schädigen. In einem anderen Blog-Beitrag erklären wir, wie bekannte Benutzernamen verwendet werden können, um Benutzerkonten und die damit verbundenen Benutzerdaten zu kompromittieren.
Gesamtbewertung der implementierten Authentifizierungslösung
Oben haben wir verschiedene Punkte erörtert, die bei der Entscheidung, ob eine Anmeldelösung wahrscheinlich sicher ist oder nicht, zu berücksichtigen sind. Es gibt jedoch noch allgemeinere Überlegungen.
Besteht die Zugriffslösung aus mehreren Authentifizierungsmethoden (z.B. Passwort, passwortlos, Social Login, Single Sign-On) oder mehreren Faktoren, ist dies in der Regel ein positives Zeichen und ein Hinweis auf eine gewisse Erfahrung des Anbieters mit Zugriffsmanagementsystemen. Andererseits kann ein solch breiter Sicherheitsansatz auch eine IT-Abteilung bei der Einführung der Technologien oder später im täglichen Betrieb überfordern.
Zusammenfassend lässt sich sagen, dass es keine schnelle und einfache Antwort auf die Frage gibt, ob eine evaluierte Lösung sicher ist. Wenn die meisten der oben genannten Prüfungen positiv beantwortet werden können, ist dies ein gutes Zeichen. Generell kann aus Sicherheitsgesichtspunkten immer empfohlen werden, eine Zwei-Faktor-Authentifizierungslösung anzubieten, um die Daten der Nutzer bestmöglich zu schützen.