Was ist die wissensbasierte Authentifizierung (KBA)?

Beim Einrichten eines neuen Kontos werden Sie häufig aufgefordert, ein Passwort zu erstellen und eine Sicherheitsfrage und -antwort auszuwählen (z. B. „Wie lautet der Mädchenname Ihrer Mutter?“). Als wissensbasierte Authentifizierung (KBA) wird das Beantworten von Sicherheitsfragen im Rahmen der Anmeldung bei Apps oder Systemen bezeichnet, wenn diese Antworten auf personenbezogenen Informationen beruhen. Obwohl die KBA noch weit verbreitet ist, geben die Menschen ebendiese Informationen auf Social-Media-Seiten preis und verringern so ihren Sicherheitswert.

Zudem werden Passwörter weitergegeben, gestohlen oder mit Passwort-Cracking-Tools ermittelt. Eine Studie des Digital Shadows Photon Research Teams aus dem Jahr 2020 ergab, dass 15 Milliarden gestohlene Anmeldedaten im Dark Web angeboten werden, darunter auch Kombinationen aus Benutzernamen und Passwort. Da Cyberkriminelle sowohl an das Passwort eines Benutzers als auch an die KBA gelangen können, müssen Unternehmen, die sich auf diese schwachen Authentifizierungsverfahren stützen, diese durch Methoden verstärken, die mehr Sicherheit bieten. Dies ist vergleichbar mit dem Verstärken einer Fliegengittertür durch ein solides Tor mit Riegeln, um das eigene Heim zu schützen.

Lesen Sie weiter, um mehr über die KBA, ihre Einsatzmöglichkeiten, Grenzen und Verstärkungen zu erfahren.

Unternehmen nutzen die wissensbasierte Authentifizierung, um die Identität eines Benutzers unter Verwendung von Informationen zu überprüfen, die dem Benutzer bekannt sind. Diese Informationen können direkt vom Nutzer stammen (z. B. seine Telefonnummer, aktuelle Adresse oder Antworten auf Sicherheitsfragen, die er bei der Registrierung angibt), oder aber das Unternehmen bezieht sie von Datenmaklern und anderen Quellen.

Statische wissensbasierte Authentifizierung (SKBA)

Die meisten Menschen kennen die statische KBA bereits, die manchmal auch als „gemeinsames Geheimnis“ bezeichnet wird. Dieses geht über grundlegende Informationen wie beispielsweise eine Adresse oder Telefonnummer hinaus. Beim Erstellen eines Kontos werden Benutzer dazu aufgefordert, eine oder mehrere Sicherheitsfragen zu beantworten. Dabei können sie wahre Angaben machen oder sich Antworten ausdenken, solange sie sich später, wenn sie danach gefragt werden, an diese erinnern. Die Unternehmen müssen Art und Anzahl der Fragen mit Bedacht auswählen, da die Menschen aufdringliche oder zu viele Fragen als lästig empfinden.

Dynamische wissensbasierte Authentifizierung (DKBA)

Die dynamische KBA bietet zwar ein höheres Maß an Sicherheit, wird aber weniger häufig verwendet. Sie stützt sich auf Informationen, die aus verschiedenen Datenquellen gesammelt werden, um Echtzeit-Fragen zu stellen. Zum Beispiel kann ein Nutzer gefragt werden: „Für welches der folgenden Unternehmen haben Sie nicht gearbeitet?“, woraufhin eine Liste mit dreien seiner ehemaligen Arbeitgeber und einer falschen Antwort angezeigt wird. Möglicherweise sind Ihre Nutzer entrüstet, wenn ihnen das Ausmaß der Informationen bewusst wird, die Sie über sie einholen können. Die DKBA ist für Unternehmen auch teurer als die SKBA.

In vielen Fällen ist es möglich, die für die KBA verwendeten, personenbezogenen Daten durch Recherche herauszufinden oder durch Phishing und Social Engineering zu stehlen und für Online-Betrug zu missbrauchen. Übeltäter finden nicht nur personenbezogene Informationen, die in den Konten von Personen in sozialen Medien oder auf anderen Online-Sites veröffentlicht wurden, sondern können auch Social Engineering nutzen, um Quiz zu erstellen und Fragen zu posten, um an spezifische Informationen zu gelangen. Laut eines Berichts von Cyber Florida haben fast 40 Prozent der befragten Social-Media-Nutzer einmal in einer durchschnittlichen Woche ein Quiz ausgefüllt oder an einem Spiel teilgenommen, das in ihrem Feed eingeblendet wurde.

Manche Menschen antworten in den sozialen Medien auch auf scheinbar zufällig gestellte Fragen. Zum Beispiel könnte jemand auf Facebook Folgendes fragen: „Ich vermisse meine Katze so sehr, sie hieß Sir Fluffball. Wie war denn der Name von deinem Lieblingshaustier?“ Irgendein Twitter-Nutzer schreibt möglicherweise: „Wofür ist Ihre Heimatstadt bekannt?“ Die Menschen posten Antworten auf alles, was sie gefragt werden, ohne über die Konsequenzen nachzudenken. Betrüger, die bereits im Besitz kompromittierter Anmeldedaten sind (d. h. Kombinationen von Benutzernamen und Passwort), können die Social-Media-Profile von Personen durchsuchen, Fragen beantworten oder an Quiz-Spielen teilnehmen, um Übereinstimmungen zu finden und so eine betrügerische Kontoübernahme zu begehen. Die Nutzer sozialer Medien, die ihren vollständigen Namen gemeinsam mit ihrem Wohnort, der Telefonnummer, der weiterführenden Schule, Lieblingsband, Familienmitgliedern und anderen Einzelheiten aus ihrem Leben angeben, erleichtern den Cyberkriminellen das Hacken ihrer Konten.

Die Kunden wünschen sich eine reibungslose Online-Erfahrung. Deshalb finden sie es nervenaufreibend, wenn sie eine Auswahl aus einer Liste von Sicherheitsfragen treffen und Antworten geben müssen. Fragen über Familienmitglieder oder Haustiere können auch dann Schaden anrichten, wenn die jeweilige Person oder das Haustier krank oder verstorben ist. Es kann sein, dass Nutzer den Registrierungsvorgang abbrechen, bevor er abgeschlossen ist.

Bei den Nutzern, die den Vorgang abschließen, kann es Wochen oder Monate dauern, bis sie eine Sicherheitsfrage beantworten müssen. Jeder, der schon einmal ein Passwort oder die Antwort auf eine Sicherheitsfrage vergessen hat, weiß, wie ärgerlich das Nachfragen beim Helpdesk ist, wenn keine Selfservice-Funktionen zur Verfügung stehen. Verärgerte Kunden könnten sich zurückziehen und einen Mitbewerber in Anspruch nehmen.

Bei der Multi-Faktor-Authentifizierung (MFA) und der Zwei-Faktor-Authentifizierung (2FA) müssen die Benutzer ihre Identität mit zwei oder mehreren Authentifizierungsfaktoren nachweisen. Dies sind die Authentifizierungsfaktoren:

• Wissen – Etwas, das man weiß. Dazu gehören KBA, Passwörter, PINs und andere Arten von Informationen, die Kunden mit Unternehmen teilen.

• Besitz – Etwas, das man hat. Dies kann ein durch eine Transaktion oder eine Anwendung generiertes Token sein, wie z. B. ein Einmalpasswort, das an Ihr mobiles Gerät gesendet wird. Die Informationen können auch von einem Hard-Token stammen, z. B. einem USB-basierten Gerät oder einem separaten Code-Generator.

• Biometrie – Etwas, das man ist. Es handelt sich hierbei um ein genetisches Merkmal, das durch einen Scan z. B. eines Fingerabdrucks, des Gesichts oder der Netzhaut bestätigt wird. Für die Biometrie ist ein Scan-fähiges Gerät erforderlich, z. B. ein Smartphone.

   

Die Verwendung von zwei Authentifizierungsmethoden, die mit derselben Art von Faktor arbeiten, z. B. ein Passwort und die Antwort auf eine Sicherheitsfrage aus der Kategorie Wissen, sind weniger sicher als die Multi-Faktor-Authentifizierung und die Zwei-Faktor-Authentifizierung. Kriminelle, die an kompromittierte Passwörter und Antworten auf Sicherheitsfragen gelangen, haben selten auch Zugang zu Besitz- oder biometrischen Faktoren. Tatsächlich kann die MFA laut Microsoft 99,9% der Angriffe auf Ihre Konten vereiteln.

In diesem kurzen Video erfahren Sie, wie die Multi-Faktor-Authentifizierung (MFA) die wissensbasierte Authentifizierung (KBA) auf eine neue Stufe hebt, um durch eine verbesserte Sicherheitslage die Benutzerfreundlichkeit zu verbessern und Datenschutzverletzungen zu verhindern.

Weitere Informationen über die verschiedenen Formen der Authentifizierung, die eine KBA ergänzen oder ersetzen können, finden Sie in unserem ultimativen Leitfaden für die Authentifizierung.