Geräteauthentifizierung – der Komfort macht es!

Benutzername und Passwort als Authentifizierung sind tot! – Das Prophezeien wir schon seit einiger Zeit, doch heute wollen wir uns einen Authentifizierungsbereich anschauen, bei dem die Authentifizierung mit Passwort bereits überhaupt keine Rolle mehr spielt und warum, das so ist – Die Authentifizierung an Geräten. Die Vernetzung und Digitalisierung hält immer mehr Einzug -sowohl im geschäftlichen als auch im privaten Raum. Neben Smartphones und Laptops spielen so auch vernetzte Haushaltsgeräte oder Industrieanlagen eine wichtige Rolle. Im privaten Bereich nimmt, neben dem Komfort, auch das Onboarding neuer Nutzer oder Geräte sowie wechselnde Benutzer, z.B. eine Familie oder eine Gruppe von Freunden bei Streaming-Anbietern oder einem Fahrzeug, eine wichtige Rolle ein. In der Industrie fällt dabei oft auch das Stichwort Operation Technologies (OT). Dies beschreibt im Wesentlichen die IT in der Produktionsstraße. Probleme in Bezug auf die Geräteauthentifizierung sind dabei der alte Maschinenpark sowie Hindernisse, wie die Geräuschkulisse oder das Tragen von Schutzausrüstung, wie Masken oder Handschuhe.In diesem Zusammenhang stellt sich die Frage wie die Authentifizierung von Nutzern an diesen Geräten und zwischen den Geräten untereinander erfolgt? Denn auch für diese Geräte ist eine Authentifizierung und, darauf aufbauend, die Autorisierung essentiell, um autorisierten Zugriff auf bestimmte Ressourcen zu ermöglichen. (Lernen Sie den Unterschied zwischen Authentifizierung und Autorisierung!

Die Passwort-basierte Authentifizierung als Problem für die Geräteauthentifizierung

Wir haben schon einige Artikel über das Passwort geschrieben (Weltweit entstehen 4 von 5 Datenverstöße durch schwache oder gestohlene Passwörter oder Die Psychologie bei der Passwortvergabe), doch heute wollen wir uns speziell dem Problem der passwort-basierten Authentifizierung, im Kontext der Geräteauthentifizierung widmen und dabei aufzeigen, warum die passwortlose Authentifizierung am Gerät schon deutlich weiter fortgeschritten ist als in anderen Anwendungsfällen.

Die passwort-basierte Authentifizierung stellt insbesondere bei der Authentifizierung an Geräten, wie einem Smart TV, ein herausforderndes Problem dar. Beim Einloggen auf einem Smart TV über die traditionelle Passworteingabe gestaltet sich die Benutzererfahrung oft umständlich und zeitraubend, da die Fernbedienung nicht optimal für die Eingabe komplexer Passwörter geeignet ist. Dies führt nicht nur zu Frustration, sondern verleitet Nutzer auch dazu, einfachere Passwörter zu verwenden, was die Sicherheit des Nutzeraccounts und Gerätes sowie der damit verbundenen Ressourcen, wie z.B. persönlichen Daten, gefährdet. Außerdem sind Smart TVs mit dem Internet und Online-Services verbunden, wodurch sie anfälliger für Angriffe und Datenschutzverletzungen werden. Angesichts dieser Herausforderungen wird deutlich, dass die Entwicklung passwortloser Authentifizierungsmethoden für Smart TVs und ähnliche Geräte von großer Bedeutung ist, um die Sicherheit zu erhöhen und gleichzeitig eine komfortable Nutzung zu gewährleisten.

Der OAuth2 Device Code Flow – Authentifizierung über ein weiteres Gerät!

Der OAuth2 Device Code Flow ist ein im OAuth2 Protokoll spezifizierter Grant Type, der entwickelt wurde, um die Geräteauthentifizierung sicher und bequem zu gestalten. Der Prozess beginnt, indem das zu authentifizierende Gerät, z.B. ein Smart TV, dem Nutzer einen Code anzeigt, den der Nutzer auf einer Authentifizierungsseite eingibt oder über ein Smartphone scannt. Auf diese Weise wird die Authentifizierung und Autorisierung auf ein anderes Gerät übertragen, wo sich der Nutzer authentifiziert und anschließend das Gerät autorisiert. Das zu authentifizierende Gerät sendet dann diesen Code zusammen mit seinen Authentifizierungsanfragen an den Autorisierungsserver. Dieser verifiziert den Code und liefert dem Gerät daraufhin ein Access Token. Mit diesem Access Token kann das Gerät dann auf die Ressourcen zugreifen. Der OAuth2 Device Code Flow bietet somit eine effektive Lösung, um die Sicherheit zu erhöhen und gleichzeitig den Komfort bei der Geräteauthentifizierung zu verbessern, indem die Authentifizierung und Autorisierung von einem Gerät ohne Eingabemedium auf ein anderes Gerät wie z.B. ein Smartphone übertragen wird, auf dem die Authentifizierung und Autorisierung einfacher durchgeführt werden kann oder eventuell bereits schon besteht.

Login über WLAN, NFC oder Bluetooth!?

Mit dem OAuth2 Device Code Flow wurde eine gute Spezifikation geschaffen, die jedoch noch immer nicht alle Anwendungsfälle und Geräte abdeckt. Smart TVs oder auch Küchengeräte mit einem Display lassen sich so schnell und einfach autorisieren, es gibt jedoch auch im Haushalt viele Geräte ohne Display, und auch im Kontext von Industrieanlagen, eignet sich der OAuth2 Device Code Flow oft nicht.

Der OAuth2 Device Code Flow hat aber gezeigt, dass die Hinzunahme eines weiteren Gerätes wie z.B. ein Smartphone, bei dem im besten Fall der Nutzer bereits authentifiziert ist und das Gerät nur noch autorisieren muss, sehr nützlich ist. Diese Delegation der Authentifizierung und Autorisierung dient daher vielen weiteren Verfahren als Vorbild. Die Übertragung auf ein anderes Gerät erfolgt über verschiedenste technische Medien/Protokolle, wie z.B. Bluetooth, NFC oder WLAN. Der User Flow kann dabei je nach Use Case individuell gestaltet sein, von der Verbindung mit dem zu authentifizierenden Gerät über Bluetooth oder WLAN bis hin zur Übermittlung von Authentifizierungstokens in einem WLAN-Netzwerk, mit dem beide Geräte verbunden sind.

Authentifizierung an der Maschine ohne zusätzliches Gerät!

Aber auch die Authentifizierung an einem Gerät ohne ein weiteres zusätzliches Gerät, wie ein Smartphone, müssen wir im Blick behalten. Als Beispiel kann hier eine Maschine in der Produktion betrachtet werden. Mitarbeiter in der Produktion haben meistens kein Smartphone oder ein anderes Gerät, an welches die Authentifizierung und Autorisierung übertragen werden kann. Somit sind eine direkte Authentifizierung und Autorisierung an der Maschine dort notwendig, wo dem Mitarbeiter nur begrenzt weitere Geräte oder Gadgets zur Verfügung stehen. Neben einem Mitarbeiterausweis, der mittels RFID oder NFC für die Authentifizierung genutzt werden kann, sind insbesondere biometrische Verfahren, wie Gesichts- oder Stimmerkennung interessant, um eine komfortable und auch praktikable Authentifizierung zu ermöglichen.

cidaas bietet ein breiten Funktionsumfang für die Authentifizierung an Geräten, dazu zählen neben dem OAuth2 Device Code Flow auch die Authentifizierung direkt am Gerät, über z.B. auch biometrische Verfahren. Zudem ist mit der „Offline Access“ Funktionalität auch eine Authentifizierung ohne permanente Internetverbindung möglich.