Vor- und Nachteile der verschiedenen Techniken zur Windows-Authentifizierung

windows-829948_1920

Die verbreitete Kombination aus Benutzernamen und Passwort, um sich bei einem Betriebssystem oder einem Dienst anzumelden, bietet keine ausreichende Sicherheit vor Hackern, Trojanern und anderen Datenspionen. Gerade die Windows-Authentifizierung l├Ąsst sich mit der Zwei-Faktor-Authentifizierung erheblich sicherer gestalten.

Eine Authentifizierung dient dazu, sich gegen├╝ber einem Betriebssystem wie Windows, einem Dienst oder einer Netzwerkressource zu legitimieren. Das Ziel jeder sicheren Anmeldung ist, sicherzustellen, dass es sich wirklich um die Person handelt, die sich anmeldet. Bei einer einfach gestrickten Anmeldung reicht daf├╝r ein Passwort. Leistungsf├Ąhigere Sicherheitsmechanismen verwenden zus├Ątzlich noch beispielsweise ein Token, ein Zertifikat oder auch biometrische Daten, um die Identit├Ąt zu pr├╝fen. Wenn zum Beispiel ein Hardware-Token, wie ihn CosmoKey entwickelt hat, zum Einsatz kommt, dann spricht man von einer sogenannten Zwei-Faktor-Authentifizierung.

Windows ist sowohl bei Privatanwendern als auch in Unternehmen das wichtigste Betriebssystem. Man kommt deswegen nicht umhin, sich mit der Windows-Authentifizierung zu besch├Ąftigen. Microsoft hat eine erweiterbare Architektur implementiert, bei der unter anderem Protokolle wie Kerberos, NTLM (NT Lan Manager), Digest sowie das aus dem Internet bekannte Sicherheitsprotokoll SSL (Secure Sockets Layer) bzw. TLS (Transport Layer Security) zum Einsatz kommen k├Ânnen. Die darauf aufsetzende Windows-Authentifizierung erm├Âglicht Anwendern einen sicheren Zugriff auf alle freigegebenen Ressourcen in einem Unternehmen. Im Folgenden soll ein kurzer ├ťberblick ├╝ber die wichtigsten verwendeten Mechanismen zur Authentifizierung von Personen und Diensten gegeben werden.

Zum Authentifizieren innerhalb einer Active-Directory-Dom├Ąne kommt meist das bereits erw├Ąhnte Kerberos zum Einsatz. Dieser Authentifizierungs-Client wird in der Regel als Security Support Provider (SSP) implementiert und ist ├╝ber die SSPI (Security Support Provider Interface) zug├Ąnglich. Zu beachten ist dabei, dass die Erstauthentifizierung von Benutzern direkt in die Windows-Anmeldearchitektur f├╝r einmaliges Anmelden integriert wird. Das hat den Vorteil, dass sich ein Anwender nicht mehrfach anmelden muss, wenn er verschiedene Dienste und Ressourcen in einer Dom├Ąne nutzen will. Kerberos verwaltet seine Anmeldeinformationen also in der gesamten Struktur. Das Key Distribution Center (KDC) von Kerberos ist deswegen auch in andere Sicherheitsdienste von Windows integriert.

Zu beachten ist folgendes: Eine Anmeldung ├╝ber NTLMv2 gilt nicht mehr als sicher und sollte deswegen nicht mehr verwendet werden. Bereits vor einigen Jahren hat der Entwickler Marsh Ray auf mehrere L├╝cken in NTLMv2 in einem Vortrag auf der Usenix-Konferenz hingewiesen. So soll es Angreifern m├Âglich sein, die ├╝bertragenen Anmeldedaten abzufangen und dann f├╝r eigene Logins zu missbrauchen. Dabei kommt ihnen zugute, dass NTLM die Daten zwar verschl├╝sselt, sie aber trotzdem nicht gegen sogenannte Reflection- und Replay-Attacken sicher sind.

Zur sicheren Authentifizierung ├╝ber Web-Dienste wird h├Ąufig auch SSL/TLS verwendet. Dieses Protokoll kennt jeder Anwender, der im Internet ├╝ber eine verschl├╝sselte HTTPS-Verbindung zum Beispiel die Webseite seiner Bank aufsucht. Mit dem Protokoll lassen sich aber nicht nur verschl├╝sselte Verbindungen nutzen, sondern auch der Client-Zugriff auf eine gesicherte Webseite realisieren. Es wird also auch f├╝r einen gesicherten Zugriff aus der Ferne auf zum Beispiel Datenbanken von Firmen genutzt. Bei TLS sollte man darauf achten, die neueste Version (derzeit 1.2) zu nutzen, Versionen vor 1.0 sind nicht mehr sicher. Falls ein Passwort geklaut wird, k├Ânnen aber auch die fortschrittlichsten Protokolle nicht davor sch├╝tzen, dass Angreifer damit in fremde Systeme eindringen k├Ânnen. Besser ist es einen weiteren Faktor einzusetzen, der sich nicht so leicht aussp├Ąhen l├Ąsst.

Die Schilderungen zeigen, dass eine Anmeldung bei der nur der Login-Name und ein Passwort abgefragt werden, nicht mehr als wirklich sicher anzusehen sind. Ben├Âtigt wird stattdessen ein zweiter, au├čerhalb des Systems liegender Faktor, der den Zugriff weiter absichert. Das gilt nicht nur f├╝r ├Ąltere Windows-Systeme, sondern auch f├╝r das neue Windows 10 von Microsoft. So l├Ąsst sich auch Windows 10 mit einem Hardware-Token, wie ihn CosmoKey anbietet, deutlich sicherer betreiben. Diese moderne Zwei-Faktor-Authentifizierung ist nicht nur sicher, sondern auch benutzerfreundlich und wirtschaftlich. Aktuelle Token sind in etwa nur noch so gro├č wie ein Autoschl├╝ssel und lassen sich mit einem Knopfdruck bedienen.

Bitte um den ersten Kommentar.

Mitdiskutieren

Sie k├Ânnen dieseHTML Schlagworte und Eigenschaften verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

´╗┐