Der ultimative Leitfaden zur tokenbasierten Authentifizierung

Identitätsmanagement-Themen können etwas abstrakt sein oder buchstäblich in den Wolken schweben. Vielleicht sind Sie ja bereits ein wenig mit der Thematik der Authentifizierung vertraut, die in einem vorangegangenen Blog behandelt wurde. Im Grunde genommen ist die Authentifizierung eine Methode, mit der überprüft wird, ob ein Benutzer auch wirklich derjenige ist, für den er sich ausgibt, und die Cyberkriminelle von Ihrem Netzwerk fernhält. Token bieten eine höhere Sicherheit im Vergleich zu Passwörtern, die leicht kompromittierbar sind und von Hackern für Datenschutzverletzungen verwendet werden können.

Das erfahren Sie, wenn Sie weiterlesen:

• Was ist ein Token?

• Wofür werden Token verwendet?

• Was ist die tokenbasierte Authentifizierung und wie funktioniert sie?

• Die Vorteile der tokenbasierten Authentifizierung

• Arten von Authentifizierungsprotokollen, einschließlich Verwendung und Einschränkungen

Die tokenbasierte Authentifizierung lässt sich leichter erklären, wenn wir zunächst einige Beispiele für „Token“ betrachten. Dabei handelt es sich im Grunde genommen um Versionen geheimer Passwörter, Klopfzeichen oder Phrasen, die der Verifizierung von Identitäten dienen.

Eine Zeichentrickfigur klopft an eine Tür, woraufhin sich ein Schiebefenster öffnet und ein Gesicht erscheint, das auf die geheime Parole („Joe schickt mich“) wartet. Dies soll unerwünschte Personen fernhalten, und erst nach der korrekten Antwort wird die Tür geöffnet. Statt einer geheimen Parole kann auch eine spezielle Reihe von Klopfzeichen (zweimal Klopfen, Pause, dreimal Klopfen) verwendet werden.

Vielleicht kennen Sie ja auch Spionagefilme, in denen zwei Charaktere auf unauffällige Weise Ihre Identität nachweisen müssen, wenn sie sich zum ersten Mal an einem öffentlichen Ort treffen. Der Geheimcode ist eine vereinbarte Nachricht. Der Spion, der in einer Bar nach seiner Kontaktperson Ausschau hält, lässt eine scheinbar zufällige Äußerung fallen, auf welche die Kontaktperson mit der richtigen Antwort reagiert, um ihre Identität zu erkennen zu geben. Erst dann kann das Gespräch oder die Weitergabe vertraulicher Informationen stattfinden.

Auth-Tokens sind nicht nur in Cartoons und Spielfilmen äußerst nützliche Hilfsmittel, sondern auch dann, wenn bei der Durchführung von Online-Transaktionen eine Identität bei Anmeldungen, Aktualisierungen, Kaufgeschäften und anderen Vorgängen überprüft werden muss. Sie haben den unschlagbaren Vorteil, dass sie unbemerkt bleiben, wie zum Beispiel bei der Anmeldung, oder – wie bereits in vorangegangenen Blogs erläutert wurde – zumindest nicht viel „Reibung“ erzeugen. Das heißt, sie erfordern keine zusätzlichen oder manuellen Eingaben, um Ihre Identität festzustellen und sicherzustellen, dass wirklich Sie diese oder jene bestimmte Aktion ausführen möchten.

Da Token nicht zwingend die personenbezogenen Daten eines Benutzers enthalten müssen und von Algorithmen bzw. einer Software generiert werden, bleiben diese Daten außerhalb der Reichweite von Hackern. Dies ist für Unternehmen wesentlich vorteilhafter als die Verwendung von Sozialversicherungsnummern oder vergleichbaren personenbezogenen bzw. privaten Daten von Personen (beispielsweise einer Kontonummer), die es Übeltätern erleichtern, an die Identitäten heranzukommen. Zudem können Benutzer, die personenbezogene Informationen für ihre Passwörter nutzen (z. B. die Namen ihrer Haustiere) von Cyberkriminellen problemlos mit einer schnellen Suche in den Benutzerkonten der Sozialen Medien entdeckt werden.

Die tokenbasierte Authentifizierung kann man sich als den Beginn einer Online-Konversation vorstellen. Anstatt dass zwei Personen miteinander kommunizieren, kommunizieren Code-Teile im Hintergrund miteinander und teilen das selbe geheime Passwort oder vereinbarte Symbole, um ein Token zu erzeugen, das den Authentifizierungsprozess abschließt. Die Überprüfung der Identität des Benutzers mit einem Token verhindert, dass unbefugte Benutzer auf Ihre Ressourcen zugreifen.

Token können in verschiedene Phasen des Authentifizierungsprozesses eingebunden werden, darunter auch in die Multifaktor-Authentifizierung (MFA), und nutzen Protokolle am Backend zwischen Anwendungen, APIs und/oder Websites.

Lassen Sie die Technologie einen Moment außer Acht und betrachten Sie das Problem, das Sie lösen möchten. Um die Cyberkriminellen von Ihrem Netzwerk fernzuhalten, damit sie keine Daten stehlen, Ransomware installieren und andere Aktionen durchführen können, bitten Sie die legitimen Benutzer, ihre Identitäten nachzuweisen. Durch die Verwendung eines Token, das von einer Anwendung stammt (wie z. B. von PingID), eines Schlüsselanhängers oder eines Dongle zum Anschließen an Ihren Computer, wird die Einflussnahme durch Akteure von außen verhindert, da das Token auf dem privaten Schlüssel des Geräts basiert. Wenn Sie es den Gaunern schwer genug machen, werden sie von Ihnen ablassen und sich einem Ihrer Mitbewerber zuwenden. Der springende Punkt ist die Wahl einer tokenbasierten Authentifizierungslösung, die Benutzer ohne zusätzliche Reibung oder Belästigung verifiziert. Ein reibungslos funktionierender Prozess sorgt für zufriedene Nutzer und sichere Daten.

Natürlich ist auch diese Technologie nicht narrensicher. Schlechte Planung und Umsetzung können die Situation noch verschlimmern, wie man es bei Unternehmen beobachten konnten, die Technologien zur Automatisierung und Rationalisierung von Abläufen einsetzen, um das Benutzererlebnis zu verbessern, während sie gleichzeitig Personal abbauen. Die Erwartungen der Kunden sind hoch, und wenn die Authentifizierung oder andere automatisierte Systeme versagen, sind die Mitarbeiter frustriert und verärgert. Stellen Sie sich vor, eine Fluggesellschaft hat einen Systemausfall, durch den Fluggäste daran gehindert werden, online auf ihre Konten zuzugreifen, um Tickets zu kaufen, einzuchecken oder umzubuchen. Die Fluggäste sind gezwungen, stundenlang zu warten oder am Flughafen in einer langen Schlange zu stehen, nachdem ihr Flug gestrichen wurde. Warum sollten sie wieder bei dieser Fluggesellschaft buchen?

Das erinnert mich an eine Geschichte. Meine Mutter flog ins Ausland zu einem Besuch. Ich werde die Fluggesellschaft nicht an den Pranger stellen, so verlockend das auch sein mag. Meine Mutter behauptet zwar, sie habe keine Ahnung von Technik, aber ganz so ist das nicht. Sie versuchte 30 Minuten lang, Ihre Reservierung online zu bestätigen, konnte sich aber nicht bei dem System anmelden. Schließlich musste sie anrufen und ein nette Mitarbeiterin half ihr. Als diese meine Mutter fragte, ob es noch etwas anderes gäbe, was man für sie tun könne, bat meine Mutter darum, ihr die 25 US-Dollar für die telefonische Unterstützung zu erlassen. Die Mitarbeiterin lehnte dies ab, bis meine Mutter darauf hinwies, dass eine Online-Bestätigung auf der Website der Fluggesellschaft nicht möglich gewesen sei. Die Mitarbeiterin willigte schließlich ein, die Gebühr zurückzunehmen. Unternehmen, die ihre Technologie nicht richtig skalieren oder die Erfahrungen der Benutzer nicht nachvollziehen können, sind dazu verdammt, ihre Kunden zu enttäuschen und zu verlieren.

Schauen Sie sich dieses kurze Video über die Kundenidentität an! Dann werden Sie erkennen, warum das Benutzererlebnis so wichtig ist.

Dabei ist es unerheblich, ob es sich um eine Fluggesellschaft, eine Bank oder um Dienstleistungen anderer Art handelt, denn das Verständnis für die Anwendungen, auf die Ihre Kunden und Mitarbeiter während einer Sitzung zugreifen müssen, ist einer der Faktoren bei der Festlegung der erforderlichen Token. Wo befinden sich die Anwendungen (in der Cloud oder am Standort) und wem gehören sie (Ihrem Unternehmen oder einem Partner)? Wenn Nutzer ihre Bankkonten aufrufen, möchten sie nicht mehrere Anmeldedialoge einrichten und absolvieren müssen, um ihre Rechnungen zu bezahlen und Schecks zu bestellen. Je einfacher sich eine starke Authentifizierung einführen lässt, desto breiter kann sie angewendet werden.

Die tokenbasierte Authentifizierung ist an sich schon sicherer als andere Formen der Authentifizierung – vor allem als die Nutzung von Passwörtern. Darauf läuft es im Grunde hinaus.

Dies sind die Vorteile:

• Zustandslos (autonom)

• Liefert eine fein abgestimmte Zugriffskontrolle

• Flexibel: Ablaufzeit (Sitzung oder länger), austauschbar und auffrischbar

• Ortsunabhängig generierbar

• Optimiert den Authentifizierungsprozess

Die Anwendungen sind nicht länger zwangsläufig auf unseren Computern basiert, sondern in der Cloud. Ihr Laptop kann mit den Cloud-Anwendungen Ihres Unternehmens und Ihrer Partner oder möglicherweise auch mit ungesicherten Websites kommunizieren. Die Kommunikation mit Cloud-Anwendungen über Anwendungsprogrammierschnittstellen (APIs), wie beispielsweise RESTful APIs, ist ein wachsender Trend. Diese Verbindungen müssen sicher sein, damit die personenbezogenen Daten geschützt bleiben.

Es gibt eine Vielzahl an Tools für die tokenbasierte Authentifizierung. Zunächst sollten wir die Definitionen der verschiedenen Authentifizierungsprotokolle betrachten.

Open Authorization (OAuth) ist aus dem Social Web hervorgegangen und ermöglicht den Nutzern das Erteilen von Genehmigungen, ohne ihre Anmeldedaten für soziale Medien preiszugeben. OAuth ist der Standard, der vorgibt, wie eine clientseitige Anwendung überhaupt ein Zugriffstoken erhält. OAuth definiert viele verschiedene Arten der Zugriffsgewährung, um unterschiedliche Abläufe und Benutzererfahrungen zu ermöglichen.

Security Assertion Markup Language (SAML) ist der Urvater der Authentifizierungsprotokolle und immer noch der Standard hinter dem webbasiertem Single Sign-on (SSO). Indem Sie eine Reihe von Ressourcen mit nur einem Satz von Anmeldedaten zugänglich machen, können Sie einen nahtlosen Zugang zu den Ressourcen bieten und die Verbreitung von unsicheren Passwörtern verhindern. SAML schreibt keine Authentifizierungsmethode in dem Sinne für die Seite des Identitätsanbieters vor.

OpenID Connect (OIDC), derzeit in der Version 2.0, eignet sich ideal für Verbindungen zwischen modernen Anwendungen im Web und verschiedenen Arten von Anwendungen, die RESTful APIs verwenden. Da Einzelseiten-Webanwendungen (Single-Page Apps, SPAs) immer beliebter werden, gewinnt OIDC zunehmend an Bedeutung.

Client Initiated Backchannel Authentication (CIBA) ist eine Erweiterung des OpenID Connect-Flows. CIBA entkoppelt die Client-Anwendung vom Authentifizierungsserver und vermeidet Umleitungen über den Browser des Benutzers.

JSON Web Token (JWT) ist ein offener Standard, der kodierte JSON-Objekte enthält, wie unter anderem eine Reihe von Angaben, die nach der Ausstellung eines Token nicht mehr geändert werden können. JWT wird häufig für Web-APIs verwendet (einschließlich RESTful-APIs), um einen Benutzer zu authentifizieren, der Zugang zur API wünscht.

Bei der Auswahl des passenden Protokolls für Ihr Unternehmen sollten Sie Ihre Bedürfnisse, Anwendungsfälle und den Identitätsrahmen bedenken. Hier ist zum Beispiel ein Vergleich von SAML mit OIDC:

• Jedes Mal, wenn Sie mit einer Einzelseiten-Webanwendung (SPA) arbeiten, wird diese nicht von SAML unterstützt.

• Neuere Anwendungen sind eher auf OIDC mit CIBA ausgelegt.

• Der wohl wichtigste Aspekt ist, dass sich SAML nur für Webanwendungen eignet, wohingegen OIDC auch für Apps (vor allem mobile Anwendungen) verwendet werden kann.

Die Wahl des besten Authentifizierungstokens hängt von der Situation ab. Die Entscheidung für OAuth, SAML, JWT oder ein anderes Auth-Token sollte auf der Grundlage Ihrer Anwendungen, Bedürfnisse und Anwendungsfälle getroffen werden.

Mein Kollege Lee Brewer hat im Folgenden eine kurze Übersicht über die Verwendung von Token zusammengestellt. Sie deckt zwar nicht alle möglichen Fälle ab, bietet aber einen guten Ausgangspunkt für Diskussionen und Entscheidungen über die Auswahl von Authentifizierungstoken.

Bei der tokenbasierten Authentifizierung für Web-APIs handelt es sich um den Prozess der Authentifizierung von Benutzern oder Prozessen für Anwendungen in der Cloud. Die Anwendung des Benutzers sendet eine Anfrage an den Authentifizierungsdienst, dieser bestätigt die Identität des Benutzers und stellt ein Token aus. Der Benutzer kann daraufhin auf die Anwendung zugreifen.

Die tokenbasierte Authentifizierung für RESTful-APIs ist bedienungsfreundlicher als Web-APIs auf niedrigerer Ebene. Häufig handelt es sich um ein JSON Web Token nach offenem Standard. Das Format sieht aus wie eine Webadresse mit einer langen Zeichenfolge, einem Verb (z. B. GET, PUT oder POST) und einem Endpunkt. Wenn Sie sich etwas eingehender damit beschäftigen möchten, wie RESTful APIs funktionieren, folgen Sie diesem Link.

Im Rahmen der Multifaktor-Authentifizierung fallen Hard- und Software-Token unter die Kategorie „Etwas, das man hat“ der Authentifizierungsfaktoren, die in der Regel im Anschluss an die Benutzername-Passwort-Kombination („Etwas, das man weiß“) verwendet wird, um die Identität eines Benutzers zu verifizieren.

Zu den Hard-Token, die auch als verbundene Token bezeichnet werden, gehören zum Beispiel Schlüssel, Dongles und andere Geräte, die Sie an Ihren Computer anschließen können. Zur Authentifizierung des Benutzers gegenüber dem Authentifizierungsserver wird ein Einmalpasswort oder -Passcode (OTP) generiert. Wer noch mehr Sicherheit benötigt, kann einen PIN-Code ergänzen. Dies kann zwar zu mehr Reibung führen, aktiviert aber die Authentifizierung mit mehreren Faktoren, indem es neben dem Dongle („Etwas, das man hat“) auch noch „Etwas, das man weiß“ einbezieht.

Bei Software-Token, die auch als nicht verbundene Token bezeichnet werden, handelt es sich um auf den eigenen Geräten der Benutzer (zum Beispiel Smartphones) generierte Software. Die Identität eines Benutzers kann mit OTPs ebenso wie mit biometrischen Merkmalen oder Touch-ID bestätigt werden.

Ich hoffe, ich konnte Ihnen in diesem Blog näherbringen, warum ein Unternehmen mit Token als Teil seiner allgemeinen Authentifizierungsziele arbeiten sollte. Authentifizierungstoken bieten eine stärkere Sicherheitslage für diesen Abschnitt der IAM-Planung. Weitere Informationen zu diesem Thema finden Sie in dem Artikel von Ping Identity mit dem Titel Buyer's Guide to Multi-factor Authentication (zu Deutsch: „Käuferleitfaden für die Multifaktor-Authentifizierung“). Dort erfahren Sie mehr darüber, wie Sie Token als Teil Ihrer Authentifizierungsstrategie einsetzen können.