Security: Wie risikobasierte Authentifizierung funktioniert
Mit RBA wird die Sicherheit von Benutzerkonten erhöht. Wir zeigen, wie RBA funktioniert, wie effektiv sie Accounts schützt und was Betreiber beachten müssen.
(Bild: Thorsten Hübner)
- Stephan Wiefling
- Florian Dehling
- Luigi Lo Iacono
Wenn es um die Absicherung von Online-Accounts geht, bläuen Fachleute gebetsmühlenartig dieses Mantra ein: "Nutze sichere Passwörter." Dabei übersehen aber selbst Experten häufig, dass auch ein sicheres Passwort keinen absoluten Schutz vor Cyberkriminellen gewährleistet. Denn: Wird es einmal gestohlen, können auch die Diebe Zugang zum betroffenen Account erlangen – und alle anderen, denen der Zugang verkauft wird.
In solchen Szenarien schützt risikobasierte Authentifizierung (Risk-Based Authentication, RBA). Das Verfahren versucht festzustellen, ob ein Login-Versuch tatsächlich vom legitimen Nutzer des Accounts ausgeht – oder ob Angreifer sich gerade mit erbeuteten Login-Daten anmelden wollen. Denn das ist eine sehr reale Gefahr: Täglich werden Webdienste im Internet gehackt und Login-Daten in großem Stil erbeutet. In der Praxis bekommen Nutzer davon oft nicht einmal etwas mit. Auch beim weit verbreiteten Phishing erlangen Kriminelle große Mengen Zugangsdaten, indem sie Personen durch Täuschung zur Preisgabe von Anmeldeinformationen bewegen.
Ergaunerte Logindaten können Kriminelle dann auch bei anderen Webdiensten eingeben, was man "Credential Stuffing" oder "Password Spraying" nennt. Die Erfolgsquote dabei ist hoch. Nutzer neigen dazu, Passwörter bei mehreren Diensten wiederzuverwenden, wie auch Umfragen immer wieder zeigen (PDF). Die Verwendung von Passwortmanagern würde helfen, ist jedoch nach wie vor nicht weit verbreitet. All das führt dazu, dass Passwortklau lukrativ bleibt. So registrierte der Internet-Infrastrukturanbieter Akamai im Jahr 2021 mehr als eine Milliarde Credential-Stuffing-Angriffe pro Tag (PDF). Ebenso bleibt Phishing laut dem FBI-Cybercrime-Report 2022 (PDF) die Nummer eins unter den Bedrohungen im Internet.
Das war die Leseprobe unseres heise-Plus-Artikels "Security: Wie risikobasierte Authentifizierung funktioniert". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.Immer mehr Wissen. Das digitale Abo für IT und Technik.
Selbstständig machen mit eigenem Softwareprojekt: GmbH oder UG gründen
Gefährdete Router: Verkehr mit dubiosen Internetdomains verhindern
Vier E-Reader mit Farbdisplay im Test: Entspannt im Freien lesen
DeutschlandCard, Miles & More, Payback: Welches Bonusprogramm sich lohnt
Kamerasensoren erklärt: So wird aus Licht ein Bild
Gehälter 2024: Das verdienen Admins in Deutschland
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Selbstständig machen mit eigenem Softwareprojekt: GmbH oder UG gründen
Gefährdete Router: Verkehr mit dubiosen Internetdomains verhindern
Vier E-Reader mit Farbdisplay im Test: Entspannt im Freien lesen
DeutschlandCard, Miles & More, Payback: Welches Bonusprogramm sich lohnt
Kamerasensoren erklärt: So wird aus Licht ein Bild