Starke Authentifizierung beim AD

Zertifikatsbasierende Authentifizierung

Das derzeit am häufigsten verwendete Verfahren für die starke Authentifizierung ist die Nutzung von digitalen Zertifikaten auf Smartcards. Dabei ist zu beachten, dass digitale Zertifikate nicht per se ein Mechanismus der starken Authentifizierung sind. Sie sind zunächst nur eine spezielle Form des Nachweises einer digitalen Identität. Wenn sie aber beispielsweise lokal auf einem Rechner gehalten werden und der Zugriff darauf über eine normale Benutzername-/Kennwort-Authentifizierung erfolgen kann, sind sie noch nicht als sicher zu bezeichnen. Die starke Authentifizierung kommt erst in Verbindung mit den Smartcards ins Spiel, weil hier zwei Faktoren kombiniert werden.

Ebenso wäre es denkbar, dass man eine andere Form der starken Authentifizierung nutzt, um den Zugriff auf Zertifikatsspeicher auf den Computern der Benutzer zu ermöglichen. Wichtig ist aber, dass die Verwendung von digitalen Zertifikaten nach dem Standard X.509v3 noch nicht zwangsläufig bedeutet, dass auch mit starker Authentifizierung gearbeitet wird.

Microsoft unterstützt die zertifikatsbasierende Authentifizierung auf relativ breiter Basis. Zum einen gibt es die Zertifikatsdienste als Teil der Windows-Server, mit denen Zertifikate erstellt und, unter Nutzung der Gruppenrichtlinien, von Webschnittstellen oder MMC-Snap-Ins, auch verteilt werden können. Zum anderen gibt es die Unterstützung beim Client und bei Server-Anwendungen wie den IIS.

Microsoft hat zudem im September 2005 das Unternehmen Alacris (www.alacris.com) übernommen, um ein besseres Management von Smartcard-Infrastrukturen anbieten zu können. Im Rahmen von Windows Vista auf der Client-Seite und Longhorn auf der Serverseite soll der Einsatz von Smartcards deutlich vereinfacht werden – derzeit ist vor allem die Erstellung von Smartcards mit den Bordmitteln von Windows noch relativ aufwändig.

Externe Mechanismen

Daher werden die meisten größeren Smartcard-Infrastrukturen derzeit auch mit Hilfe von Werkzeugen von Drittanbietern oder im Zusammenspiel mit Dienstleistern betrieben. Neben Alacris sind im Windows-Umfeld beispielsweise ActivIdentity (www.actividentity.com) und Secude (www.secude.de) als Anbieter von Smartcard-Infrastrukturen zu nennen. Der Markt für externe Dienstleister ist noch wesentlich größer.

Neben den Smartcards gibt es aber auch eine Reihe anderer Ansätze für die starke Authentifizierung. Etabliert ist vor allem die Verwendung von Einmal-Kennwörtern. Insbesondere die RSA SecurID ist häufig zu finden. Diese Mechanismen erfordern zusätzliche Hard- und Software, die sich aber mit Windows integrieren lässt.

Auch hier wird in der Regel der Besitz mit Wissen kombiniert, weil zusätzlich zum Einmal-Kennwort – das ja letztlich nichts anderes als eine dynamisch generierte PIN ist – auch noch ein dauerhaftes Kennwort erforderlich ist.

Die biometrischen Verfahren haben dagegen bisher nur eine eingeschränkte Verbreitung erlangen können. Es gibt zwar auch von Anbietern wie Microsoft oder Logitech Tastaturen mit integriertem Fingerabdruckleser und beispielsweise von Microsoft auch USB-Fingerabdruckleser.

Bisher hat sich aber noch kein biometrisches Verfahren auf breiter Basis durchsetzen können. Das gilt auch für die Nutzung von Fingerabdrücken. Zudem ist es im Zuge der starken Authentifizierung sinnvoll, die biometrischen Verfahren mit anderen Ansätzen für die Authentifizierung zu kombinieren, was bei einigen der einfacheren Lösungsansätze gerade im Bereich der Fingerabdruckleser nicht der Fall ist.