Risk Based Authentication: Die Krücke für Passwörter und wie sie ausgenutzt wird


Mit der Risikoabschätzung RBA wollen Online-Dienste den Passwortmissbrauch bekämpfen. Doch Cybercrime macht daraus ein Geschäft: mit digitalen Doppelgängern.

Jürgen Schmidt | heise online

Passwörter sind kaputt. Genauer: Sie taugen eigentlich nicht für eine sichere Feststellung, wer am anderen Ende einer Verbindung sitzt. Ist das wirklich der rechtmäßige Benutzer oder ein Betrüger? Der Hauptgrund: Passwörter lassen sich auf verschiedene Arten klauen und dann weiterverkaufen, was auch in großem Stil passiert. Und man weiß sogar, wie man das besser machen könnte. Doch die Einführung von Zweifaktor-Authentifizierung und FIDO2 zieht sich seit Jahren hin.

In der Praxis sind Passwörter deshalb nach wie vor das wichtigste Authentifizierungsverfahren. Um deren Schwächen und die damit verbundenen Gefahren halbwegs in den Griff zu bekommen, setzt sich eine Krücke immer mehr durch: Eine sogenannte Risk Based Authentication, kurz RBA, soll Betrüger erkennen, auch wenn sie im Besitz des richtigen Passworts sind.

Man kann sich das vorstellen wie Betrugserkennung bei Kreditkarten: Da machen die Banken vor jeder Transaktion eine Risikoanalyse. Kommt eine Kreditkarte, die bislang nur in Deutschland genutzt wurde, plötzlich in den USA oder in Russland zum Einsatz, ist die Gefahr hoch, dass es sich um einen Betrugsversuch handelt. Wer seine Bank nicht vorher über einen geplanten Auslandsurlaub informiert, dem kann es passieren, dass die Karte vorsichtshalber gesperrt wird, um vermeintlichen Betrug zu verhindern.

weiterlesen