Starke Authentifizierung beim AD

Single Sign-On und starke Authentifizierung

Im Zusammenhang mit der starken Authentifizierung wird oftmals auch das Thema Single Sign-On diskutiert. Single Sign-On und starke Authentifizierung sind aber zwei Themen, die getrennt voneinander betrachtet werden müssen.

Single Sign-On bedeutet zunächst nur, dass mit einer Authentifizierung auf mehrere Anwendungen, Systeme oder Dienste zugegriffen werden kann. Single Sign-On funktioniert auch mit schwacher Authentifizierung. Das zeigt sich schon im Windows-Umfeld. Kerberos als ein Verfahren für Single Sign-On ist unabhängig davon einsetzbar, ob mit schwachen Kennwörtern oder anderen, stärkeren Authentifizierungsmechanismen gearbeitet wird.

Da Single-Sign-On-Lösungen aber potenziell den Zugriff auf mehr Anwendungen gewähren, ist es unverzichtbar, dass man in Verbindung mit Single-Sign-On-Strategien auch solche für die starke Authentifizierung entwickelt, um die erreichbaren Anwendungen optimal zu schützen.

Strategien für die starke Authentifizierung im Windows-Umfeld

Der wachsende Reifegrad von Verfahren für die starke Authentifizierung und deren verbesserte Unterstützung mit Windows Vista/Longhorn sowie die wachsenden Anforderungen im Bereich der Sicherheit erhöhen den Druck, eine Strategie für die starke Authentifizierung zu entwickeln. Derzeit spricht viel dafür, den Fokus auf Smartcards zu legen, in der Regel in Verbindung mit PINs. Denkbar ist aber auch die Kombination mit biometrischen Verfahren. Smartcards haben den Vorteil, dass es sich um eine etablierte Technologie handelt, für deren Nutzung es inzwischen breite Erfahrungen gibt. Zudem werden die digitalen Zertifikate, die auf den Smartcards abgelegt werden, auch für andere Aufgaben im Bereich der Sicherheit wie die Verschlüsselung benötigt.

Als Übergangslösung empfiehlt es sich, die Nutzung von Kennwörtern so sicher wie möglich zu gestalten. Auf die Umsetzung von Richtlinien für starke Kennwörter wird im folgenden Artikel eingegangen.