Risk Based Authentication: Die Krücke für Passwörter und wie sie ausgenutzt wird

Mit der Risikoabschätzung RBA wollen Online-Dienste den Passwortmissbrauch bekämpfen. Doch Cybercrime macht daraus ein Geschäft: mit digitalen Doppelgängern.

In Pocket speichern vorlesen Druckansicht 364 Kommentare lesen
Lesezeit: 10 Min.
Inhaltsverzeichnis

Passwörter sind kaputt. Genauer: Sie taugen eigentlich nicht für eine sichere Feststellung, wer am anderen Ende einer Verbindung sitzt. Ist das wirklich der rechtmäßige Benutzer oder ein Betrüger? Der Hauptgrund: Passwörter lassen sich auf verschiedene Arten klauen und dann weiterverkaufen, was auch in großem Stil passiert. Und man weiß sogar, wie man das besser machen könnte. Doch die Einführung von Zweifaktor-Authentifizierung und FIDO2 zieht sich seit Jahren hin.

In der Praxis sind Passwörter deshalb nach wie vor das wichtigste Authentifizierungsverfahren. Um deren Schwächen und die damit verbundenen Gefahren halbwegs in den Griff zu bekommen, setzt sich eine Krücke immer mehr durch: Eine sogenannte Risk Based Authentication, kurz RBA, soll Betrüger erkennen, auch wenn sie im Besitz des richtigen Passworts sind.

Man kann sich das vorstellen wie Betrugserkennung bei Kreditkarten: Da machen die Banken vor jeder Transaktion eine Risikoanalyse. Kommt eine Kreditkarte, die bislang nur in Deutschland genutzt wurde, plötzlich in den USA oder in Russland zum Einsatz, ist die Gefahr hoch, dass es sich um einen Betrugsversuch handelt. Wer seine Bank nicht vorher über einen geplanten Auslandsurlaub informiert, dem kann es passieren, dass die Karte vorsichtshalber gesperrt wird, um vermeintlichen Betrug zu verhindern.

Risk Based Authentication (4 Bilder)

Die Analyse

Zunächst bewertet der Dienst die Gefahr eines Betrugs anhand der Merkmale des Nutzers.
(Bild: Stephan Wiefling / riskbasedauthentication.org )

Analog sammeln unter anderem Dienste wie Google, Twitter, Amazon oder LinkedIn die typischerweise genutzten IP-Adressen ihrer Benutzer und werten aus, zu welchem Provider die gehören und wo die sich befinden. Treten da krasse Abweichungen auf, schlägt RBA zu. Die Reaktion erfolgt dabei typischerweise abgestuft. So schickt etwa Google nur eine Warn-Mail an die registrierte E-Mail-Adresse, wenn sich der Provider ändert. Erfolgt der Login aber plötzlich aus einer anderen Stadt oder gar einem anderen Land, fordert der Dienst eine zusätzliche Authentifizierung an. Das kann dann etwa ein Code sein, den Google via SMS an eine hinterlegte Handy-Nummer sendet. Tatsächliche Sperrungen erfolgen nur in Ausnahmefällen – schon weil die deutlich erhöhten Support-Aufwand nach sich zögen.

Wie Forscher gezeigt haben, nutzen insbesondere Google, Amazon und LinkedIn neben IP-Adressen auch andere Merkmale, um den richtigen Benutzer wiederzuerkennen. Alle dem Dienstbetreiber zugänglichen Informationen wie Browser-Typ und -Version, Sprache, Bildschirmauflösung, installierte Fonts – ja sogar die Tippgeschwindigkeit des Benutzers können in einen solchen digitalen Fingerabdruck einfließen. Gibt der Benutzer zwar das richtige Passwort ein, weicht aber zu stark von den über ihn gespeicherten Charakteristika ab, schlägt RBA Alarm.

Google hat "ungewöhnliche Aktivitäten" entdeckt und verlangt eine Telefonnummer.

Es ist übrigens kein Zufall, dass all diese Informationen auch häufig von Werbe-Dienstleistern zum Tracken eingesetzt werden. Schließlich ist die Aufgabenstellung verwandt. Und das Sammeln all dieser Informationen wirft natürlich auch Fragen im Hinblick auf Datenschutz und Privatsphäre auf, die aber nicht Gegenstand dieses Artikels sind.

In Hinblick auf Sicherheit bezieht RBA seine Bedeutung daraus, dass es die Gefahr des Identitätsdiebstahls verringern kann, ohne dass man auf die Mithilfe der Anwender angewiesen wäre. So empfiehlt etwa das US-amerikanische National Institute of Standards and Technology (NIST) den Einsatz risikobasierter Authentifizierungs-Techniken. Aber wie man das genau umsetzen sollte, ist keineswegs scharf definiert. Im Gegenteil machen alle Dienstebetreiber ein Geheimnis aus der Tatsache, ob und wie genau sie RBA einsetzen. Wer sich jetzt überlegt, ob er vielleicht selber etwas in dieser Richtung unternehmen könnte, sollte erst den zweiten Teil des Artikels lesen.