Bevor man darüber diskutiert, welche Varianten der starken Authentifizierung beim Active Directory wie genutzt werden können, muss man sich zunächst damit beschäftigen, was starke Authentifizierung überhaupt ist. Es gibt leider keine einheitliche Meinung dazu, wann man von starker Authentifizierung sprechen kann und wann nicht. Das ergibt sich schon aus den unterschiedlichen Interessenslagen verschiedener Anbieter von Authentifizierungstechnologien und Betriebssystemen.
Außerdem ist zu berücksichtigen, dass – wie schon im ersten Artikel ausgeführt – eigentlich nicht das AD, sondern Windows selbst für die Authentifizierung zuständig ist. Das AD ist nur ein Verzeichnis für Authentifizierungsinformationen, in dem beispielsweise Kennwörter und digitale Zertifikate abgelegt sowie Informationen über die Zuordnung von Benutzerkonten und Zertifikaten gespeichert werden können.
Was ist starke Authentifizierung?
Authentifizierung bezeichnet die Verifizierung der Identität eines Benutzers. Die Bandbreite reicht von der Übergabe einfacher Informationen wie einem Rechnernamen ohne zusätzliche Daten wie Kennwörter bis hin zur Kombination von Smartcards mit biometrischen Faktoren. Bei der Authentifizierung werden die übergebenen Informationen geprüft und mit – typischerweise in einem Verzeichnisdienst – hinterlegten Informationen verglichen.
Starke Authentifizierung bedeutet also, dass die Verfahren für die Authentifizierung so ausgelegt sind, dass mehr und komplexere Informationen geliefert werden müssen.
Grundsätzlich lassen sich bei der Sicherheit von Authentifizierungsansätzen zwei Ebenen unterscheiden:
-
Wie sicher ist die Übertragung der Authentifizierungsinformationen?
-
Wie sicher sind die Authentifizierungsinformationen selbst – wie schwer ist es also, diese in irgendeiner Form zu manipulieren?
Der erste Aspekt hat bei der Weiterentwicklung von NTLM und bei der Entscheidung von Microsoft für die Wahl von Kerberos eine wichtige Rolle gespielt. Er ist eine notwendige, aber nicht hinreichende Bedingung für die starke Authentifizierung. Denn die sicherste Übertragung nutzt nichts, wenn sich zu einfache Kennwörter leicht erraten lassen.
Starke Authentifizierung setzt also voraus, dass auch die zweite Herausforderung adressiert wird.
Benutzernamen und Kennwörter
Es gibt einige Systeme und Anwendungsbereiche, in denen nur mit der Übergabe von Parametern wie Rechnernamen gearbeitet wird. Solche Verfahren sind ebenso wie die einfache Überprüfung von IP-Adressen grundsätzlich nicht sicher, weil sich die Informationen einfach manipulieren lassen (Spoofing).
Das gängigste Verfahren für die Authentifizierung ist die Kombination von Benutzernamen und Kennwörtern oder, bei Diensten und Systemen, auch von Dienst- oder Rechnernamen mit in irgendeiner Form hinterlegten Kennwörtern. Der Vorteil dieser Art von Authentifizierung ist, dass das Konzept gut beherrscht wird. Es gibt aber zwei gravierende Nachteile:
-
Es wird mit einer so genannten One-Factor-Authentication gearbeitet, bei der neben dem ohnehin erforderlichen Benutzernamen nur ein weiterer Faktor, das Kennwort, verwendet wird. Wer dieses hat, kann sich authentifizieren. Im Gegensatz dazu stehen Two-Factor-Authentications und weitergehende Konzepte, bei denen mehr Faktoren miteinander für eine erfolgreiche Authentifizierung kombiniert werden müssen.
-
Die Sicherheit hängt zudem von der Qualität der Kennwörter ab. Hier spielen Aspekte wie die Länge, Komplexität und Änderungshäufigkeit eine wichtige Rolle.
Letztlich ist eine Benutzername-/Kennwort-Authentifizierung zwar ein valider Mechanismus, für hohe Sicherheitsanforderungen aber nicht ausreichend. Denn auch die besten Kennwörter lassen sich über Ansätze wie das euphemistisch als „social engineering“ bezeichnete Erfragen von Kennwörtern, beispielsweise über Telefonanrufe, die von einem angeblichen IT-Administrator kommen, ermitteln.
Daher geht der Trend zu einer Mehr-Faktor-Authentifizierung. Das kann etwa der Einsatz einer Smartcard sein. Hier gibt es zwei Faktoren:
-
Den Besitz der Smartcard.
-
Das Wissen über eine PIN oder eine andere Information, um die Daten auf der Smartcard zu entsperren.
Wichtig ist, dass hier das Wissen und der Besitz kombiniert werden. Bei biometrischen Verfahren wird dagegen typischerweise das Sein mit einem Wissen oder Besitz kombiniert. Drei-Faktor-Verfahren kombinieren in der Regel Besitz, Wissen und Sein. Der Vorteil ist, dass es für einen Angreifer sehr viel schwieriger ist, an die Smartcard und das zugehörige Wissen zu gelangen als nur an ein Kennwort. Bei biometrischen Verfahren wird – trotz aller Schwächen, die beispielsweise Fingerabdruckleser heute noch haben – diese Hürde noch einmal erhöht.
Zertifikatsbasierende Authentifizierung
Das derzeit am häufigsten verwendete Verfahren für die starke Authentifizierung ist die Nutzung von digitalen Zertifikaten auf Smartcards. Dabei ist zu beachten, dass digitale Zertifikate nicht per se ein Mechanismus der starken Authentifizierung sind. Sie sind zunächst nur eine spezielle Form des Nachweises einer digitalen Identität. Wenn sie aber beispielsweise lokal auf einem Rechner gehalten werden und der Zugriff darauf über eine normale Benutzername-/Kennwort-Authentifizierung erfolgen kann, sind sie noch nicht als sicher zu bezeichnen. Die starke Authentifizierung kommt erst in Verbindung mit den Smartcards ins Spiel, weil hier zwei Faktoren kombiniert werden.
Ebenso wäre es denkbar, dass man eine andere Form der starken Authentifizierung nutzt, um den Zugriff auf Zertifikatsspeicher auf den Computern der Benutzer zu ermöglichen. Wichtig ist aber, dass die Verwendung von digitalen Zertifikaten nach dem Standard X.509v3 noch nicht zwangsläufig bedeutet, dass auch mit starker Authentifizierung gearbeitet wird.
Microsoft unterstützt die zertifikatsbasierende Authentifizierung auf relativ breiter Basis. Zum einen gibt es die Zertifikatsdienste als Teil der Windows-Server, mit denen Zertifikate erstellt und, unter Nutzung der Gruppenrichtlinien, von Webschnittstellen oder MMC-Snap-Ins, auch verteilt werden können. Zum anderen gibt es die Unterstützung beim Client und bei Server-Anwendungen wie den IIS.
Microsoft hat zudem im September 2005 das Unternehmen Alacris (www.alacris.com) übernommen, um ein besseres Management von Smartcard-Infrastrukturen anbieten zu können. Im Rahmen von Windows Vista auf der Client-Seite und Longhorn auf der Serverseite soll der Einsatz von Smartcards deutlich vereinfacht werden – derzeit ist vor allem die Erstellung von Smartcards mit den Bordmitteln von Windows noch relativ aufwändig.
Externe Mechanismen
Daher werden die meisten größeren Smartcard-Infrastrukturen derzeit auch mit Hilfe von Werkzeugen von Drittanbietern oder im Zusammenspiel mit Dienstleistern betrieben. Neben Alacris sind im Windows-Umfeld beispielsweise ActivIdentity (www.actividentity.com) und Secude (www.secude.de) als Anbieter von Smartcard-Infrastrukturen zu nennen. Der Markt für externe Dienstleister ist noch wesentlich größer.
Neben den Smartcards gibt es aber auch eine Reihe anderer Ansätze für die starke Authentifizierung. Etabliert ist vor allem die Verwendung von Einmal-Kennwörtern. Insbesondere die RSA SecurID ist häufig zu finden. Diese Mechanismen erfordern zusätzliche Hard- und Software, die sich aber mit Windows integrieren lässt.
Auch hier wird in der Regel der Besitz mit Wissen kombiniert, weil zusätzlich zum Einmal-Kennwort – das ja letztlich nichts anderes als eine dynamisch generierte PIN ist – auch noch ein dauerhaftes Kennwort erforderlich ist.
Die biometrischen Verfahren haben dagegen bisher nur eine eingeschränkte Verbreitung erlangen können. Es gibt zwar auch von Anbietern wie Microsoft oder Logitech Tastaturen mit integriertem Fingerabdruckleser und beispielsweise von Microsoft auch USB-Fingerabdruckleser.
Bisher hat sich aber noch kein biometrisches Verfahren auf breiter Basis durchsetzen können. Das gilt auch für die Nutzung von Fingerabdrücken. Zudem ist es im Zuge der starken Authentifizierung sinnvoll, die biometrischen Verfahren mit anderen Ansätzen für die Authentifizierung zu kombinieren, was bei einigen der einfacheren Lösungsansätze gerade im Bereich der Fingerabdruckleser nicht der Fall ist.
Single Sign-On und starke Authentifizierung
Im Zusammenhang mit der starken Authentifizierung wird oftmals auch das Thema Single Sign-On diskutiert. Single Sign-On und starke Authentifizierung sind aber zwei Themen, die getrennt voneinander betrachtet werden müssen.
Single Sign-On bedeutet zunächst nur, dass mit einer Authentifizierung auf mehrere Anwendungen, Systeme oder Dienste zugegriffen werden kann. Single Sign-On funktioniert auch mit schwacher Authentifizierung. Das zeigt sich schon im Windows-Umfeld. Kerberos als ein Verfahren für Single Sign-On ist unabhängig davon einsetzbar, ob mit schwachen Kennwörtern oder anderen, stärkeren Authentifizierungsmechanismen gearbeitet wird.
Da Single-Sign-On-Lösungen aber potenziell den Zugriff auf mehr Anwendungen gewähren, ist es unverzichtbar, dass man in Verbindung mit Single-Sign-On-Strategien auch solche für die starke Authentifizierung entwickelt, um die erreichbaren Anwendungen optimal zu schützen.
Strategien für die starke Authentifizierung im Windows-Umfeld
Der wachsende Reifegrad von Verfahren für die starke Authentifizierung und deren verbesserte Unterstützung mit Windows Vista/Longhorn sowie die wachsenden Anforderungen im Bereich der Sicherheit erhöhen den Druck, eine Strategie für die starke Authentifizierung zu entwickeln. Derzeit spricht viel dafür, den Fokus auf Smartcards zu legen, in der Regel in Verbindung mit PINs. Denkbar ist aber auch die Kombination mit biometrischen Verfahren. Smartcards haben den Vorteil, dass es sich um eine etablierte Technologie handelt, für deren Nutzung es inzwischen breite Erfahrungen gibt. Zudem werden die digitalen Zertifikate, die auf den Smartcards abgelegt werden, auch für andere Aufgaben im Bereich der Sicherheit wie die Verschlüsselung benötigt.
Als Übergangslösung empfiehlt es sich, die Nutzung von Kennwörtern so sicher wie möglich zu gestalten. Auf die Umsetzung von Richtlinien für starke Kennwörter wird im folgenden Artikel eingegangen.