Vor- und Nachteile der verschiedenen Techniken zur Windows-Authentifizierung

Die verbreitete Kombination aus Benutzernamen und Passwort, um sich bei einem Betriebssystem oder einem Dienst anzumelden, bietet keine ausreichende Sicherheit vor Hackern, Trojanern und anderen Datenspionen. Gerade die Windows-Authentifizierung lässt sich mit der Zwei-Faktor-Authentifizierung erheblich sicherer gestalten.

Eine Authentifizierung dient dazu, sich gegenüber einem Betriebssystem wie Windows, einem Dienst oder einer Netzwerkressource zu legitimieren. Das Ziel jeder sicheren Anmeldung ist, sicherzustellen, dass es sich wirklich um die Person handelt, die sich anmeldet. Bei einer einfach gestrickten Anmeldung reicht dafür ein Passwort. Leistungsfähigere Sicherheitsmechanismen verwenden zusätzlich noch beispielsweise ein Token, ein Zertifikat oder auch biometrische Daten, um die Identität zu prüfen. Wenn zum Beispiel ein Hardware-Token, wie ihn CosmoKey entwickelt hat, zum Einsatz kommt, dann spricht man von einer sogenannten Zwei-Faktor-Authentifizierung.

Windows ist sowohl bei Privatanwendern als auch in Unternehmen das wichtigste Betriebssystem. Man kommt deswegen nicht umhin, sich mit der Windows-Authentifizierung zu beschäftigen. Microsoft hat eine erweiterbare Architektur implementiert, bei der unter anderem Protokolle wie Kerberos, NTLM (NT Lan Manager), Digest sowie das aus dem Internet bekannte Sicherheitsprotokoll SSL (Secure Sockets Layer) bzw. TLS (Transport Layer Security) zum Einsatz kommen können. Die darauf aufsetzende Windows-Authentifizierung ermöglicht Anwendern einen sicheren Zugriff auf alle freigegebenen Ressourcen in einem Unternehmen. Im Folgenden soll ein kurzer Überblick über die wichtigsten verwendeten Mechanismen zur Authentifizierung von Personen und Diensten gegeben werden.

Zum Authentifizieren innerhalb einer Active-Directory-Domäne kommt meist das bereits erwähnte Kerberos zum Einsatz. Dieser Authentifizierungs-Client wird in der Regel als Security Support Provider (SSP) implementiert und ist über die SSPI (Security Support Provider Interface) zugänglich. Zu beachten ist dabei, dass die Erstauthentifizierung von Benutzern direkt in die Windows-Anmeldearchitektur für einmaliges Anmelden integriert wird. Das hat den Vorteil, dass sich ein Anwender nicht mehrfach anmelden muss, wenn er verschiedene Dienste und Ressourcen in einer Domäne nutzen will. Kerberos verwaltet seine Anmeldeinformationen also in der gesamten Struktur. Das Key Distribution Center (KDC) von Kerberos ist deswegen auch in andere Sicherheitsdienste von Windows integriert.

Zu beachten ist folgendes: Eine Anmeldung über NTLMv2 gilt nicht mehr als sicher und sollte deswegen nicht mehr verwendet werden. Bereits vor einigen Jahren hat der Entwickler Marsh Ray auf mehrere Lücken in NTLMv2 in einem Vortrag auf der Usenix-Konferenz hingewiesen. So soll es Angreifern möglich sein, die übertragenen Anmeldedaten abzufangen und dann für eigene Logins zu missbrauchen. Dabei kommt ihnen zugute, dass NTLM die Daten zwar verschlüsselt, sie aber trotzdem nicht gegen sogenannte Reflection- und Replay-Attacken sicher sind.

Zur sicheren Authentifizierung über Web-Dienste wird häufig auch SSL/TLS verwendet. Dieses Protokoll kennt jeder Anwender, der im Internet über eine verschlüsselte HTTPS-Verbindung zum Beispiel die Webseite seiner Bank aufsucht. Mit dem Protokoll lassen sich aber nicht nur verschlüsselte Verbindungen nutzen, sondern auch der Client-Zugriff auf eine gesicherte Webseite realisieren. Es wird also auch für einen gesicherten Zugriff aus der Ferne auf zum Beispiel Datenbanken von Firmen genutzt. Bei TLS sollte man darauf achten, die neueste Version (derzeit 1.2) zu nutzen, Versionen vor 1.0 sind nicht mehr sicher. Falls ein Passwort geklaut wird, können aber auch die fortschrittlichsten Protokolle nicht davor schützen, dass Angreifer damit in fremde Systeme eindringen können. Besser ist es einen weiteren Faktor einzusetzen, der sich nicht so leicht ausspähen lässt.

Die Schilderungen zeigen, dass eine Anmeldung bei der nur der Login-Name und ein Passwort abgefragt werden, nicht mehr als wirklich sicher anzusehen sind. Benötigt wird stattdessen ein zweiter, außerhalb des Systems liegender Faktor, der den Zugriff weiter absichert. Das gilt nicht nur für ältere Windows-Systeme, sondern auch für das neue Windows 10 von Microsoft. So lässt sich auch Windows 10 mit einem Hardware-Token, wie ihn CosmoKey anbietet, deutlich sicherer betreiben. Diese moderne Zwei-Faktor-Authentifizierung ist nicht nur sicher, sondern auch benutzerfreundlich und wirtschaftlich. Aktuelle Token sind in etwa nur noch so groß wie ein Autoschlüssel und lassen sich mit einem Knopfdruck bedienen.

Bitte um den ersten Kommentar.

Mitdiskutieren

Sie können dieseHTML Schlagworte und Eigenschaften verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>