Starke Authentifizierung beim AD

Derzeit viel diskutiertes Thema der IT ist die starke Authentifizierung. Das Active Directory übernimmt die Authentifizierung für viele Anwendungen und deren Zahl wird durch die Verwendung von Federation-Technologien noch steigen. Der Artikel beleuchtet den Zusammenhang zwischen starker Authentifizierung und dem Active Directory.

Bevor man darüber diskutiert, welche Varianten der starken Authentifizierung beim Active Directory wie genutzt werden können, muss man sich zunächst damit beschäftigen, was starke Authentifizierung überhaupt ist. Es gibt leider keine einheitliche Meinung dazu, wann man von starker Authentifizierung sprechen kann und wann nicht. Das ergibt sich schon aus den unterschiedlichen Interessenslagen verschiedener Anbieter von Authentifizierungstechnologien und Betriebssystemen.

Außerdem ist zu berücksichtigen, dass – wie schon im ersten Artikel ausgeführt – eigentlich nicht das AD, sondern Windows selbst für die Authentifizierung zuständig ist. Das AD ist nur ein Verzeichnis für Authentifizierungsinformationen, in dem beispielsweise Kennwörter und digitale Zertifikate abgelegt sowie Informationen über die Zuordnung von Benutzerkonten und Zertifikaten gespeichert werden können.

Was ist starke Authentifizierung?

Authentifizierung bezeichnet die Verifizierung der Identität eines Benutzers. Die Bandbreite reicht von der Übergabe einfacher Informationen wie einem Rechnernamen ohne zusätzliche Daten wie Kennwörter bis hin zur Kombination von Smartcards mit biometrischen Faktoren. Bei der Authentifizierung werden die übergebenen Informationen geprüft und mit – typischerweise in einem Verzeichnisdienst – hinterlegten Informationen verglichen.

Starke Authentifizierung bedeutet also, dass die Verfahren für die Authentifizierung so ausgelegt sind, dass mehr und komplexere Informationen geliefert werden müssen.

Grundsätzlich lassen sich bei der Sicherheit von Authentifizierungsansätzen zwei Ebenen unterscheiden:

  • Wie sicher ist die Übertragung der Authentifizierungsinformationen?

  • Wie sicher sind die Authentifizierungsinformationen selbst – wie schwer ist es also, diese in irgendeiner Form zu manipulieren?

Der erste Aspekt hat bei der Weiterentwicklung von NTLM und bei der Entscheidung von Microsoft für die Wahl von Kerberos eine wichtige Rolle gespielt. Er ist eine notwendige, aber nicht hinreichende Bedingung für die starke Authentifizierung. Denn die sicherste Übertragung nutzt nichts, wenn sich zu einfache Kennwörter leicht erraten lassen.

Starke Authentifizierung setzt also voraus, dass auch die zweite Herausforderung adressiert wird.

Benutzernamen und Kennwörter

Es gibt einige Systeme und Anwendungsbereiche, in denen nur mit der Übergabe von Parametern wie Rechnernamen gearbeitet wird. Solche Verfahren sind ebenso wie die einfache Überprüfung von IP-Adressen grundsätzlich nicht sicher, weil sich die Informationen einfach manipulieren lassen (Spoofing).

Das gängigste Verfahren für die Authentifizierung ist die Kombination von Benutzernamen und Kennwörtern oder, bei Diensten und Systemen, auch von Dienst- oder Rechnernamen mit in irgendeiner Form hinterlegten Kennwörtern. Der Vorteil dieser Art von Authentifizierung ist, dass das Konzept gut beherrscht wird. Es gibt aber zwei gravierende Nachteile:

  • Es wird mit einer so genannten One-Factor-Authentication gearbeitet, bei der neben dem ohnehin erforderlichen Benutzernamen nur ein weiterer Faktor, das Kennwort, verwendet wird. Wer dieses hat, kann sich authentifizieren. Im Gegensatz dazu stehen Two-Factor-Authentications und weitergehende Konzepte, bei denen mehr Faktoren miteinander für eine erfolgreiche Authentifizierung kombiniert werden müssen.

  • Die Sicherheit hängt zudem von der Qualität der Kennwörter ab. Hier spielen Aspekte wie die Länge, Komplexität und Änderungshäufigkeit eine wichtige Rolle.

Letztlich ist eine Benutzername-/Kennwort-Authentifizierung zwar ein valider Mechanismus, für hohe Sicherheitsanforderungen aber nicht ausreichend. Denn auch die besten Kennwörter lassen sich über Ansätze wie das euphemistisch als „social engineering“ bezeichnete Erfragen von Kennwörtern, beispielsweise über Telefonanrufe, die von einem angeblichen IT-Administrator kommen, ermitteln.

Daher geht der Trend zu einer Mehr-Faktor-Authentifizierung. Das kann etwa der Einsatz einer Smartcard sein. Hier gibt es zwei Faktoren:

  • Den Besitz der Smartcard.

  • Das Wissen über eine PIN oder eine andere Information, um die Daten auf der Smartcard zu entsperren.

Wichtig ist, dass hier das Wissen und der Besitz kombiniert werden. Bei biometrischen Verfahren wird dagegen typischerweise das Sein mit einem Wissen oder Besitz kombiniert. Drei-Faktor-Verfahren kombinieren in der Regel Besitz, Wissen und Sein. Der Vorteil ist, dass es für einen Angreifer sehr viel schwieriger ist, an die Smartcard und das zugehörige Wissen zu gelangen als nur an ein Kennwort. Bei biometrischen Verfahren wird – trotz aller Schwächen, die beispielsweise Fingerabdruckleser heute noch haben – diese Hürde noch einmal erhöht.