Alle, die Online-Konten nutzen, wissen, wie chaotisch es sein kann, den Ort einer Menge von Benutzernamen und Passwörtern zu speichern und sich an diese zu erinnern. EU-finanzierte Forscher haben eine neue mobile Authentifizierungsplattform vorgestellt, die alle Online-Konten mit der Identität des Benutzers verbindet und dem Smartphone die gesamte Verantwortung überträgt.

Digitale Wirtschaft

Die meisten mobilen Geräte sind mit Hunderten Konten und Anwendungen, mit allen Arten von Sicherheitseinstellungen, Identitäten und Passwörtern verbunden. Das EU-finanzierte Projekt ReCRED hat fortschrittliche Softwarelösungen entwickelt, um das Problem der sogenannten Passwortüberlastung zu lösen, so dass Nutzerinnen und Nutzer sicher auf ihre Konten zugreifen können, ohne sich mehrere Passwörter merken zu müssen. Sich an nur ein Passwort erinnern müssen ReCRED überwindet die Ära der Passwörter und bietet eine zukunftsweisende und flexible Architektur. „Das Aufgreifen der gerätespezifischen Authentifizierungsarchitektur ist der Schlüssel, um von Passwörtern als Hauptauthentifizierungsmethode im Internet wegzukommen“, erklärt Projektkoordinator Christos Xenakis. Dieses Vorhaben verbessert die Internetsicherheit der Endnutzer, indem das Mobiltelefon als Autorisierungsvollmacht verwendet wird. Authentifizierung und Autorisierung erfordern den kombinierten Einsatz einer kurzen PIN, biometrische Informationen und anonymer Anmeldedaten. Nutzeridentität und Kontenverwaltung Die Mehrheit der Internetnutzer ist bei vielen Online-Diensten wie etwa E-Mail-Anbietern, in sozialen Medien, beim Online-Banking oder Unternehmensanwendungen registriert. Das erschwert den Nachweis der Miteigentümerschaft an Dienstleistungen. ReCRED bietet sicheren Zugriff auf diese Dienste sowie Kontenverwaltung von einem einzigen Gerät aus, unabhängig von der jeweils bei dem Dienst eingesetzten Authentifizierungsmethode. Das Modul Online Identity Acquisition ist für die horizontale Bindung der fragmentierten Online-Nutzeridentitäten verantwortlich. Die Dienstleistung ermöglicht es dem Nutzer, ReCRED ausdrücklich die Berechtigung zu erteilen, auf die Informationen aller dort geführten Online-Konten zuzugreifen. Die Forscher implementierten außerdem das Modul „Physical Identity Acquisition“ für Dienste, die einen höheren Attributsicherheitsgrad erfordern. Dieser Dienst verifiziert alle in der physischen Identität des Benutzers enthaltenen Identitätsattribute. Mit all diesen Diensten verbessert ReCRED die Identitätssicherung und verstärkt die Bindung zwischen physischen und Online-Identitäten. „Die Endnutzer können nun das Eigentum an verschiedenen Konten verschiedener Identitätsanbieter nachweisen, sie miteinander verknüpfen und ihre Identitätsattribute konsolidieren“, erklärt Projektkoordinator Xenakis. Technik mit besserem Datenschutz Ein typisches Szenario, das die gesamte Identitätssphäre der Nutzer aufdeckt, hat mit einigen Diensten zu tun, bei denen der Endnutzer sich anmelden muss, um Zugang zu erhalten. Die Implementierung einer attributbasierten Zugriffskontrolle, dem sogenannten Berechtigungsmodell der nächsten Generation, scheint eine der besten Lösungen für datenzentrierte Sicherheit zu sein. ReCRED kombinierte diese Zugriffskontrolle mit Multifaktor-Authentifizierungsverfahren, die einen höheren Grad an Sicherheit und Datenschutz gewährleisten. „Nutzermerkmale oder -attribute wie Alter, Nationalität oder Beruf bilden eine eindeutige Identität, die Authorisierungsvorrechte für den Zugriff auf Daten, Ressourcen oder Dienste verschaffen kann“, umreißt Projektkoordinator Xenakis die Sachlage. Er erklärt weiter: „Die attributbasierte Zugriffskontrolle gestattet es den Endnutzern, sich zu authentifizieren, indem nur die vom Dienst angeforderten notwendigen Attribute bereitgestellt werden. Anonyme Anmeldedaten ermöglichen den Zugang zu Diensten, ohne dass der Nutzer seine E-Mail validieren und somit seine gesamte Identität preisgeben muss.“ Sicherheit verdoppeln Auch ein Gerät, das zum primären Authentifizierungs-Gateway wird, hat seine Sicherheitsprobleme. Es kann bei Verlust oder Beschädigung entweder zu einer einzelnen Schwachstelle oder, nach Nutzerauthentifizierung, anfällig für Hijacking werden. ReCRED hat diese Probleme umschifft, indem zusätzliche Sicherheitsebenen mit Verriegelungs- und Wiederherstellungsfunktionen aufgebaut wurden. Insbesondere nutzten die Forscher eine Einheit mit der Bezeichnung Identity Consolidator (IDC) in Kombination mit verhaltensabhängigen und physiologischen Nutzersignaturen und Secure-SIM-Protokollen, um die Identität des Nutzers zu verifizieren. IDC gestattet die Konsolidierung und Verwaltung von Identitäten sowie eine effiziente Fehlerbeseitigung. „Für den Fall, dass ein Anwender sein Gerät verliert, kann er den Zugang zu den Dienstleistungen wiederherstellen, indem er eine Zwei-Faktor-Authentifizierung wie beispielsweise persönliche Attribute bereitstellt, die aus körperlichen Merkmalen oder verhaltensorientierten biometrischen Daten gewonnen werden“, merkt Projektkoordinator Xenakis an. Mit dem Wegfall der Notwendigkeit, separate Passwörter zu verwenden, werden internetgestützte Dienste im Endeffekt nutzerfreundlicher und sicherer werden. Neben den Endanwendern werden gleichermaßen Telekommunikationsanbieter, Web-Hosting-Unternehmen und Mobilgerätehersteller von dieser brandneuen offenen Plattform profitieren.

Schlüsselbegriffe

ReCRED, Authentifizierung, Konto, Mobilgerät, Benutzeridentität, attributbasierte Zugriffskontrolle, anonyme Zugangsdaten, Biometrie, gerätezentrierte Authentifizierung, Zwei-Faktor-Authentifizierung