Dürfen wir Ihnen ein einfacheres Verfahren zur starken Authentifizierung mit einem einmaligen SMS-Passwort (One-time Passcode, OTP) vorstellen:
- Schritt 1: Passwort
Der Anwender erstellt und merkt sich eine Zeichenfolge aus Zahlen und Buchstaben, die für den Zugang zum System verwendet wird.
- Schritt 2: Besitz
Nach der Eingabe des richtigen Passworts wird eine sekundäre Zeichenfolge aus Buchstaben und Zahlen an das registrierte Smartphone des Nutzers gesendet.
- Schritt 3: Zugriff
Nach Eingabe der sekundären Zeichenfolge erhält der Nutzer Zugriff auf das System.
Der Log-In mit diesem Verfahren dauert länger und erfordert einige zusätzliche Schritte. Allerdings leben wir in einer Welt, in der Apps vertrauliche, personenbezogene Informationen enthalten, die es zu schützen gilt.
Passwörter allein reichen dafür nicht aus – der einzige Schutz, der den unbefugten Zugriff auf unsere Daten verhindert, wäre dann eine Folge eingegebener Zeichen. Die Threats von heute erfordern robustere Schutzmaßnahmen.
Welchen Risiken sind wir ausgesetzt?
Manche Unternehmen nutzen starke Authentifizierungsverfahren, um den Login zu verifizieren. Andere verlassen sich auf risikobasierte Authentifizierungsverfahren, um verdächtige Login-Anfragen besonders streng zu verifizieren.
Dabei prüft das System während einer Login-Anfrage folgendes:
- Standort. Von wo aus wird die Anfrage gesendet?
- Zeitstempel. Wann sendet der Nutzer eine Login-Anfrage?
- Häufigkeit. Wie oft hat der Nutzer bereits eine Login-Anfrage gesendet?
All diese Fragen können auf potenzielle Risiken hinweisen. So kann ein Unternehmen beispielsweise feststellen, dass zu einer ungewöhnlichen Tageszeit multiple Login-Anfragen aus dem Ausland gesendet wurden. Oder das System erkennt multiple Requests von jemand, der sich immer zur gleichen Zeit von diesem Ort aus anmelden möchte.
Wird ein solches Risiko identifiziert, kann das System zusätzliche Authentifizierungsfaktoren anfordern, beispielsweise neue Passwörter oder die Überprüfung biometrischer Daten. Wird kein Risiko erkannt, kann der Nutzer ohne weitere Störung mit dem Login fortfahren.
Lohnt sich eine starke Authentifizierung?
Wahrscheinlich gehen Sie davon aus, dass Ihre Daten bereits gut geschützt sind, oder dass Ihr Unternehmen alle erforderlichen Maßnahmen implementiert hat, um unautorisierte Zugriffe zu verhindern. Tatsächlich droht Ihren Daten aber nach wie vor von vielen Seiten Gefahr. Und manchmal stehen Unternehmen in der Pflicht, nachzuweisen, dass sie starke Authentifizierungsverfahren einsetzen.
Die FIDO Alliance setzt sich für universelle, starke Authentifizierungsverfahren ein und präsentiert erstaunliche Statistiken, um Wichtigkeit der Einhaltung zu unterstreichen:
- Passwortmissbrauch ist die Ursache für mehr als 80 % aller Data Breaches.
- 51 % aller Passwörter werden wiederverwendet.
Ein Data Breach kann zu Umsatzeinbußen führen, und Sie das Vertrauen und den Respekt Ihrer Kunden kosten. Wenn sich Ihre Kunden nicht sicher sind, dass Sie ihre Daten sorgsam schützen, warden sie womöglich zu ihren Wettbewerbern wechseln.
Arbeiten Sie im Finanzsektor oder akzeptieren Zahlungen von Personen aus der Europäischen Union, ist die starke Authentifizierung sogar verpflichtend vorgeschrieben. Die Bestimmungen zur starken Kundenauthentifizierung (Strong Customer Authentication, SCA) sind seit 2019 in Kraft und fordern starke Verifizierungen für In-App-Zahlungen im Europäischen Wirtschaftsraum (EWR).
7 Arten starker Authentifizierung
Sie können aus einer Vielzahl von Optionen wählen. Aber Faktor ist nicht gleich Faktor. Verschiedene Faktoren bieten einen unterschiedlichen Grad an Sicherheit und Bedienkomfort.
Hier sind die meistgenutzten sekundären Faktoren:
- Sicherheitsfragen: Sicherheitsfragen werden traditionell zum Zurücksetzen von Passwörtern verwendet. Aber es spricht nichts dagegen, sie als zusätzlichen Authentifizierungsfaktor zu verwenden.
Sie sind leicht einzurichten, können aber auch einfach gehackt oder gestohlen werden.
- Einmalpasswort (One-Time Password, OTP): OTP´s sind sicherer als Sicherheitsfragen, da sie eine sekundäre Athentifizierungskategorie verwenden. Der Nutzer muss zusätzlich zu seinem bekannten Passwort auch über ein entsprechendes Gerät (Mobiltelefon oder Tablet) verfügen.
Verfizierungscodes oder OTP´s per SMS zu versenden, ist eine weitere gute Option, auch wenn traditionelle OTP´s in der Vergangenheit bereits abgefangen und kompromittiert wurden.
- App-generierte Codes: Software-basierte OTP verwenden den gleichen Algorithmus wie zeitbasierte Einmalpasswörter (Time-Based One-Time Password Algorithm, TOTP), der über die App eines Drittanbieters bereitgestellt wird.
App-generierte OTP´s sind auf maximale Sicherheit ausgelegt. Allerdings sind potenzielle Angriffe auf Smartphones ein möglicher Nachteil.
- Dedizierte Authentifizierungs-Apps: Statt dem Nutzer ein OTP zur Verfügung zu stellen, müssen die Anwender ihre Identität durch Interaktion mit der App auf ihrem Smartphone verifizieren, wie dies etwa bei unserer App „Verify by Push“ der Fall ist.
Das Authentifizierungstoken wird dann direkt an den Dienst gesendet, was die Sicherheit zusätzlich erhöht, weil kein vom Nutzer eingegebenes OTP mehr erforderlich ist.
- Physische Authentifizierungsschlüssel: Dieses Authentifizierungsverfahren ist durch einen asymmetrischen Verschlüsselungsalgorithmus geschützt, bei dem private Schlüssel dauerhaft auf dem Mobilgerät gespeichert wird. Beispiele hierfür sind USB-Geräte, die nach Aufforderung eingesteckt werden, oder Smartcards, die der Nutzer einliest.
U2F ist ein Standard, der von der FIDO Alliance gepflegt und von Chrome, Firefox und Opera unterstützt wird.
- Biometrische Daten: Die Authentifizierung wird durch etwas geschützt, das Sie sind – nicht nur durch etwas, das Sie wissen oder haben. Biometrische Daten sind zwar schwer zu hacken. Allerdings ist keine Methode perfekt – und auch der Einsatz von Biometrie birgt Herausforderungen und Probleme, nicht zuletzt im Datenschutz.
Wie Passwörter müssen auch biometrische Daten in einer Datenbank gespeichert werden, die von Hackern kompromittiert werden könnte. Im Gegensatz zu einem Passwort können Sie Ihren Fingerabdruck, Ihre Iris oder Ihre Netzhaut nicht mehr ändern, sobald dies geschehen ist. Hinzu kommt, dass die Implementierung dieses MFA-Faktors Investitionen in spezielle biometrische Hardware erfordert.
- Kryptographisches Challenge-Response-Protokoll: Hierbei sendet eine Datenbank eine Challenge an eine andere Datenbank, und der Empfänger muss die entsprechende Antwort bereitstellen. Die gesamte Kommunikation wird während der Übertragung verschlüsselt, so dass sie nicht gehackt oder manipuliert werden kann. Diese Systeme wirken auf den ersten Blick sehr kompliziert, aber in Wirklichkeit schließen Absender und Empfänger die Kommunikation innerhalb von Sekunden ab.
Alle hier vorgestellten Verfahren könnten für Sie und Ihr Unternehmen geeignet sein. Ziehen Sie dabei auch in Betracht, mehrere Verfahren zu kombinieren.
Okta hilft Ihnen gerne weiter
Es ist nicht immer einfach, das richtige starke Authentifizierungsverfahren zu finden und sicherzustellen, dass es die Sicherheit bietet, die Ihr Unternehmen benötigt. Wir können Ihnen dabei helfen.
Aufsetzend auf unsere jahrelange Erfahrung unterstützen wir Unternehmen bei der Implementierung der am besten geeigneten Authentifizierungsverfahren. Kontaktieren Sie uns, um mehr zu erfahren.
Referenzen
What Is FIDO? The FIDO Alliance.
Strong Customer Authentication. (August 2019). Financial Conduit Authority.
Challenge Response Authentication Protocol. (November 2018). Medium.