Sicherheits-Überprüfung bei ungewöhnlichen Vorgängen
Auch bekannt als: Handling Unusual Account Activities with Multiple Factors
Kurzinfo
Verhindern Sie verdächtige Zugriffe auf Nutzendendaten durch Warnmeldungen und authentifizieren Sie sich durch mehrere Faktoren bei einer möglichen Gefährdung eines Kontos.
STRATEGIEN: Informieren
Kontext
Dienstleistungen (oder Produkte), insbesondere online, neigen dazu, auf Namen und Passwörtern basierende Authentifizierung zu verwenden. Dieser Sicherheitsmechanismus erweist sich für Nutzende am bequemsten, da er im Vergleich zu den sichereren Alternativen alltäglich und einfach ist. Er weist jedoch auch allgemeine Unzulänglichkeiten auf. Passwörter werden weniger sicher, je länger sie unverändert bleiben, sind oft anfällig für Brute-Force-, Snooping- und Phishing-Angriffe und es kann nicht nachgewiesen werden, dass sie nur der nutzenden Person bekannt sind.
Dies erschwert die Sicherheit der Authentifizierung und damit die Authentizität jeder Entscheidung der Nutzenden, einschließlich der Zustimmung. Verarbeitende können jedoch auch zusätzliche Faktoren ableiten, wie z.B. geräte- oder zugriffsspezifische Informationen. Wenn z.B. der Standort angegeben wird, kann daraus abgeleitet werden, ob es sich um eine ungewöhnliche Aktivität handelt.
Problem
Die Authentifizierung von Name und Passwort allein hat variierende Zuverlässigkeit für den Nachweis der von Nutzenden getroffenen Entscheidungen, insbesondere bei sensibleren Aktionen. Verarbeitende müssen sicherstellen, dass jede erteilte Einwilligung legitim ist.
Kräfte und Bedenken
- Nutzende wollen sich einfach und schnell authentifizieren können, aber sie wollen auch nicht, dass Verarbeitende Entscheidungen von Imitatoren akzeptieren
- Nutzende wollen wissen, wenn ihr Passwort kompromittiert ist, damit sie es ändern können, insbesondere wenn sie an anderer Stelle Derivate dieses Passwortes verwenden.
- Für die Verarbeitung Verantwortliche wollen die Konten ihrer Nutzenden vor unberechtigten Zugriffen schützen
- Für die Verarbeitung Verantwortliche wollen keine Handlungen zulassen, denen Nutzende nicht wirklich zugestimmt haben
Lösung
Analysieren Sie die verfügbaren Informationen, für die eine Zustimmung zur Festlegung einer Zugangsnorm vorliegt. Testen Sie diese gegen den zukünftigen Zugang, um ungewöhnliche Aktivitäten zu identifizieren. Wenn dies geschieht, alarmieren Sie die betreffende Person und verwenden Sie eine Multi-Faktor-Authentifizierung, während Sie die Gewissheit über den erlaubten Zugriff wiederherstellen. Die authentifizierte Person sollte in der Lage sein, dies zu überprüfen und weitere Maßnahmen zu ergreifen.
Implementierung
Typischerweise erfolgt eine Anmeldung bei einer Website in Form einer HTTP-Anfrage, die viele selbstdefinierte Einstellungen des Browsers enthält, darunter den Typ des Browsers und des Betriebssystems sowie die Architektur (User-Agent-Header), das Cookie (Cookie-Header), die Sprachpräferenzen (Accept-Languages-Header). Abgesehen davon kann die Website die IP-Adresse des Nutzenden erhalten, die über GeoIP auf ein bestimmtes Land/Gebiet abgebildet werden kann. Diese Informationen können verwendet werden, um festzustellen, ob ein Browser auf der Website ’neu‘ ist. Die Website kann Regeln haben, um festzustellen, ob ein Zugriff „verdächtig“ ist, z.B. wird ein Zugriff aus einem neuen Land / Browser / Betriebssystem als verdächtig angesehen.
Durch Ausführen von nativem Code kann die Anwendung einvernehmlich einige Gerätekennungen sammeln, darunter die Einstellungen der Betriebssystemumgebung (z.B. die Liste der laufenden Prozesse), die Hardwareparameter (wie die ID der CPU) und Geräte-UUIDs (die von mobilen Betriebssystemen wie iOS bereitgestellt werden). Durch Ausfüllen einer Netzwerkanforderung ruft der Dienst auch die IP-Adresse des Geräts ab. Diese Informationen können verwendet werden, um festzustellen, ob ein Gerät für den Dienst „neu“ ist. Der Dienst kann Regeln haben, um festzustellen, ob eine Anmeldung „verdächtig“ ist, z.B. wird ein Zugriff aus einem neuen Land / Gerät / Betriebssystem als verdächtig angesehen.
Multi-Faktor-Authentifizierung erforderlich
Im Falle einer verdächtigen Aktivität kann die Multi-Faktor-Authentifizierung eine Möglichkeit sein, den legitimen Nutzenden anzumelden. Der Dienst kann weitere Authentifizierungen verlangen, wie z.B.:
- Ein Software-Token
Beispiele hierfür sind Google Authenticator, die auf Mobiltelefonen laufen und RFC6238 TOTP-Sicherheitstoken implementieren. - Ein Hardware-Token (nicht angeschlossen)
Ein Beispiel dafür ist ein von einer Bank ausgegebener Token, der Ziffern anzeigt, was einem Software-Token ähnelt. - Ein Hardware-Token (angeschlossen)
Das Token kann ein längeres sekundäres Passwort als der nicht angeschlossene Hardware-Token austauschen, was bedeutet, dass es sicherer ist. - Persönliche Daten wie Geburtsdatum, oder zivile Identifikation.
Offensichtlich keine gute Wahl hier, weil es nicht geändert werden kann. - Ein Einmal-Passwort (OTP), das an die registrierte E-Mail-Adresse/Mobiltelefon geschickt wird
Je nach Art des Dienstes können der Nutzende dasselbe Passwort für die E-Mail-Adresse verwenden oder ihr Mobiltelefon verlieren.
Die Verwendung der Multi-Faktor-Authentifizierung nur im Falle einer verdächtigen Aktivität ist bequemer als die ständige Nutzung, aber weniger sicher.
Benachrichtigung von Kontoinhabern über ungewöhnliche Aktivitäten
Wenn eine verdächtige Anmeldung entdeckt wird, kann dies ein Zeichen dafür sein, dass das Passwort bereits durchgesickert ist. Je nach Art des Dienstes kann er Nutzende per E-Mail, Telefon oder auf andere Weise über die verdächtige Anmeldung benachrichtigen. Hier kann die sofortige Benachrichtigung auch in der Multi-Faktor-Authentifizierung verwendet werden.
Bei Diensten, die von mehreren Geräten gleichzeitig angemeldet werden können, sollten Nutzende in der Lage sein, die Existenz anderer Sitzungen zu überprüfen und die jüngste Aktivität einzusehen.
Beispiele
Google Mail
- Google Mail zeigt Informationen über andere Sitzungen (falls vorhanden) in der Fußzeile an und verweist auf eine Seite mit dem Namen „Aktivitäten in diesem Konto“, auf der andere Sitzungen und die letzten Aktivitäten des Google Mail-Kontos aufgeführt sind. Nutzende haben die Möglichkeit, andere Sitzungen abzumelden.
- Im Falle von ärgerlichen Fehlalarmen können sich Nutzende dafür entscheiden, den Alarm für ungewöhnliche Aktivitäten zu deaktivieren.
Die Deaktivierung dauert etwa eine Woche, „um sicherzugehen, dass die Deaktivierung nicht von einer böswilligen Person durchgeführt wurde.
- Wenn Facebook eine ungewöhnliche Anmeldung erkennt, zeigt es eine „soziale Authentifizierung“ an, die einige Bilder der Freunde der betroffenen Person anzeigt und sie auffordert, die Personen auf diesen Fotos zu nennen.
Dropbox
- Die Registerkarte „Sicherheit“ der „Einstellungen“ der Dropbox-Website zeigt alle Webbrowser-Sitzungen an, bei denen das verwendete Konto angemeldet ist, und ermöglicht es Nutzenden, eine oder mehrere davon abzumelden. Der Name des Browsers, das Betriebssystem sowie die IP-Adresse und das entsprechende Land werden angezeigt, um Nutzenden die Auswahl zu erleichtern.
- Es werden auch alle Geräte angezeigt, die mit dem Konto verknüpft sind, und Nutzenden die Möglichkeit gegeben, eines oder mehrere davon abzumelden.
Auswirkungen
Nutzende werden in den meisten Szenarien eine einfachere, vertrautere Authentifizierungsmethode verwenden können und nur dann auf eine Multi-Faktor-Authentifizierung zurückgreifen müssen, wenn ein potenzieller Grund zur Besorgnis besteht.
Einschränkungen
Dieses Pattern hat einige Einschränkungen. Beispielsweise beruht es auf der genauen Identifizierung verdächtiger Aktivitäten auf der Grundlage von Metainformationen, wobei die Metainformationen einschließlich der IP-Adresse von einem erfahrenen Angreifenden gefälscht werden können.
Wenn die Fallback-Multi-Faktor-Authentifizierung von dem rechtmäßigen Kontoinhabenden nur gelegentlich genutzt werden muss, ist die Person möglicherweise nicht darauf vorbereitet, eine solche Authentifizierung zu handhaben, was die Nutzungsfreundlichkeit mindert.
Verwandte Patterns
Dieses Pattern ergänzt die Meldung von Datenlecks. Beide Pattern arbeiten in einem überlappenden Kontext. Während sich dieses Pattern auf die Erkennung und den Umgang mit unberechtigten Zugriffen konzentriert, liegt der Schwerpunkt der Meldung von Datenlecks auf der Information und Reaktion, wenn eine Datenverletzung aufgetreten ist. Die Pattern können zusammenwirken, um unberechtigten Zugriff auf persönliche Daten zu behandeln.
Dieses Pattern ergänzt auch bewusst sichere Passwörter. Während dieses Pattern Zugangsnormen für die Authentifizierung festlegt, konzentriert sich letzteres darauf, eine bessere Nutzung der passwortbasierten Authentifizierung zu fördern. Die Pattern können zusammenwirken, um die Erkennung und Reaktion auf kompromittierte Zugriffe zu erleichtern und Nutzende dabei zu unterstützen, aus diesen Fällen zu lernen.
Schließlich ergänzt dieses Pattern kontextbezogene Datenschutzwarnungen. Sicherheits-Überprüfung bei ungewöhnlichen Vorgängen liefert wichtige Informationen, die zusammen mit kontextbezogenen Datenschutzwarnungen genutzt werden können, um Nutzende besser zu informieren und es ihnen zu ermöglichen, ihre persönlichen Daten besser zu schützen.
Lizenz:
Die textuelle Pattern-Beschreibung auf dieser Seite steht unter der Lizenz Creative Commons Namensnennung Uported (CC BY 3.0). Wenn Sie diese Beschreibung teilen, weiterverbreiten oder bearbeiten, so müssen Sie die Lizenzbestimmungen beachten, und als Namensnennung angeben „Privacy Patterns basierend auf den Sammlungen unter PrivacybyDesign.Digital und Privacy Patterns.org“ mit jeweiliger Verlinkung.
Die vorliegende Pattern-Beschreibung entstand durch Übersetzung der auf privacypatterns.org veröffentlichten Privacy Patterns.
N. Doty, M. Gupta, and J. Zych, “privacypatterns.org – Privacy Patterns,” privacypatterns.org, 2017. [Online]. Available: http://privacypatterns.org/. [Accessed: 26-Feb-2015].
J. Polakis, M. Lancini, G. Kontaxis, F. Maggi, S. Ioannidis, A. Keromytis, and S. Zanero, “All Your Face Are Belong to Us: Breaking Facebook’s Social Authentication,” Proceedings of the Annual Computer Security Applications Conference (ACSAC), no. i, pp. 399–408, 2012.
