Nicht nur für große Fische – Diskriminierungsfreie risikobasierte Authentifizierung

Pump Up Password Security - Abbildung Mobiltelefon mit Log In

In Zusammenarbeit mit dem multinationalen Telekommunikationsanbieter Telenor hat Stephan Wiefling, Doktorand am Institut für Cyber Security & Privacy (ICSP) der Hochschule Bonn-Rhein-Sieg, mit Professor Luigi Lo Iacono untersucht, wie sich risikobasierte Authentifizierung (RBA) bei einem groß angelegten Online-Dienst mit 3,3 Millionen Nutzerinnen und Nutzern und mehr als 30 Millionen Anmeldeversuchen pro Jahr verhält. Die Ergebnisse dieser Studie wurden in der Zeitschrift ACM Transactions on Privacy and Security veröffentlicht.

RBA ist ein datenbasierter Ansatz zur Verbesserung der Online-Kontensicherheit im Internet. Diese Technologie gewinnt immer mehr an Bedeutung und wird neben nationalen IT-Sicherheitsbehörden (etwa NIST (USA), NCSC (UK)) auch durch einen Erlass von US-Präsident Biden zur Verwendung empfohlen. Aktuell ist die Forschung und Anwendung zu RBA stark eingeschränkt und im Wesentlichen nur für große Internetkonzerne wie z.B. Google, Amazon und Meta möglich, die über die notwendigen Ressourcen und vor allem über die erforderlichen Daten verfügen.

Um diese Lücke zu schließen, haben Wiefling und Lo Iacono den in ihrer Forschungsarbeit verwendeten Datensatz in synthetisierter Form auf den frei zugänglichen Plattformen GitHub, Kaggle und Zenodo veröffentlicht. Damit ermöglichen sie der Forschungscommunity erstmalig eine diskriminierungsfreie Erforschung und Nutzung von RBA. Dieser Datensatz, der auf realen Daten basiert, kann zur Verbesserung und zum Testen von RBA-Implementierungen verwendet werden.

Die Ergebnisse und der zur Verfügung gestellte Datensatz verbessern die Benutzerfreundlichkeit, die Sicherheit und den Datenschutz von bestehenden RBA-Lösungen erheblich.

Stephan Wiefling

Bonn-Rhein-Sieg University of Applied Sciences

Wissenschaftlicher Mitarbeiter, Doktorand, Forschungsgebiet Usable Security, Authentifizierung

Prof. Dr. Luigi Lo Iacono

Bonn-Rhein-Sieg University of Applied Sciences

Professor für Informationssicherheit, Daten- und Anwendungssicherheit

Stephan Wiefling
“Ich forsche an risikobasierter Authentifizierung. Damit können wir die Sicherheit von passwortbasierter Authentifizierung erhöhen, ohne dass Nutzerinnen und Nutzer sie dabei als störend empfinden.”