Auf Nummer sicher mit Authentifizierungsschlüssel - Tosibox Blog lesen
Kontaktieren Sie uns Abonnieren

Sicherheitsfragen, SMS und Iriserkennung – auf Nummer sicher mit Authentifizierungsschlüssel

Teijo Mustonen, R&D Director, Tosibox Oy

Verlassen Sie sich beim Schutz der eigenen Daten und der Daten Ihrer Kunden ausschließlich auf Passwörter? Egal, ob Sie diese Frage verneinen oder bejahen – Sie sollten auf jeden Fall weiterlesen. Sie werden feststellen, dass der Empfang von Sicherheitscodes über SMS fast so kritisch ist wie der vollständige Verzicht auf solche Codes.

In der Welt des Identitätsdiebstahls und der Industriespionage ist Sicherheit ein wertvolles Gut und die Erkennung der Benutzeridentität eine essenzielle Anforderung. 2FA, die Zwei-Faktor-Authentifizierung, wird oft mit der Zwei-Phasen-Authentifizierung verwechselt. Bei der Zwei-Phasen-Authentifizierung wird dieselbe Information in zwei Medien eingefügt, während der Benutzer für die Authentifizierung mit der 2FA selbst im Besitz von zwei Medien sein muss.

In den Anfangsjahren der Benutzerauthentifizierung wurde die Identität des Besitzers eines Kontos über Sicherheitsfragen wie “Wie lautet der Geburtsname Ihrer Mutter?” oder “Wie hieß Ihr erstes Haustier?” überprüft. Danach entwickelte sich die Authentifizierung über den Versand von Bestätigungs-Emails weiter zu Sicherheitscodes, die per SMS versandt wurden.

In den letzten Jahren haben sich die Möglichkeiten der Authentifizierung nochmals dramatisch weiterentwickelt. Hier die einzelnen Möglichkeiten im Detail.

SMS und Telefonanrufe

Dieser Ansatz wird allgemein als Mindestanforderung für die Benutzererkennung betrachtet. So können Sie beispielsweise kein Konto beim WhatsApp-Nachrichtendienst einrichten, wenn Sie keine Telefonnummer angeben, über die das Konto durch einen separat übermittelten Code authentifiziert wird. Da immer mehr Menschen das Smartphone für die Kommunikation und das Surfen im Internet verwendet, ist die Benutzeridentifizierung über SMS und Telefonanrufe eine sehr agile Methode.

Doch immer wieder liest man von Fällen, bei denen ein Angreifer die Kontrolle über die Telefonnummer eines Benutzers erlangt hat. Dabei wird in der Regel zunächst der Kundendienst des Telefonanbieters getäuscht. So erlangt der Angreifer Zugriff auf die Bestätigungscodes, die an den Benutzer gesendet werden, sowie auf die SMS-Nachrichten und telefonisch verifizierten Konten des Benutzers.

Identizierungs-Apps

Google beispielsweise bietet eine Identifizierungs-App an. In ähnlicher Weise setzen Banken wie Nordea auf die Authentifizierung über eine zusätzliche Applikation. In beiden Fällen ist ein Passwort oder – im Fall von Nordea – ein Benutzername erforderlich.

Die Identifizierungs-App bietet mehr Sicherheit als eine Bestätigung per SMS oder Telefonanruf. Der Nachteil dieser Lösung liegt jedoch darin, dass derartige Apps nach einem Upgrade des Telefons neu installiert werden müssen. Noch komplizierter wird die Sache nach einem Diebstahl des Telefons, da die App-Anbieter in diesen Fällen besondere Anforderungen stellen. So müssen Sie bei manchen Banken eine Bankfiliale aufsuchen und Ihre Identität nachweisen, damit Sie die App auf Ihr neues Handy herunterladen können.

Physische Authentifizierungsschlüssel

Vor nicht allzu langer Zeit, zu Beginn des Jahrtausends, war das SecurID-Token von RSA das bevorzugte Sicherheitsmerkmal einer verantwortungsvollen Organisation. Zu den Kunden von RSA zählte unter anderem das einstmals glorreiche finnische Unternehmen Nokia.

Später wurden physische Authentifizierungsschlüssel auch von anderen Unternehmen wie Google eingeführt. Allerdings ist der Titan-Schlüssel von Google bislang nur in den Vereinigten Staaten verfügbar.

Der Authentifizierungsschlüssel des Suchmaschinenanbieters muss am USB-Anschluss eines Computers eingesteckt werden. Ähnliche Lösungen werden beispielsweise von Yubico angeboten, die bei manchen ihrer Authentifizierungsschlüssel sogar auf die biometrische Erkennung setzen.

Der Vorteil der physischen Schlüssel ist, dass die Benutzer nicht auf ihr Handy angewiesen sind, bei dem die Nummer gekidnappt werden oder Akku leer sein könnte.

Biometrische Merkmale

Bei der Identifizierung über biometrische Merkmale ist der Abgleich des Fingerabdrucks am weitesten verbreitet, doch auch die Gesichts- und die Iriserkennung werden zunehmend eingesetzt. Verfahren der biometrischen Erkennung gelten allgemein als besonders sicher, auch wenn bei der Nutzung des Smartphones zur biometrischen Authentifizierung über Täuschungsversuche mithilfe von Fotos, Gummibärchen oder Kontaktlinsen berichtet wird.

Bei den neueren Verfahren auf der Basis biometrischer Merkmale ist noch keine eindeutige Basistechnologie erkennbar, und auch die Funktionalität ist aus Sicht privater Verbraucher nicht klar definiert. Als Identifizierungsmöglichkeit stellen sie jedoch eine hervorragende zusätzliche Stufe innerhalb eines mehrstufigen Authentifizierungsprozesses dar, der durch Integration verschiedener Verfahren zusätzliche Sicherheit bietet.

Mehr ist besser

Die TOSIBOX® Lösung ist durch die Zwei-Faktor-Authentifizierung (2FA) geschützt. Dabei erhalten die Benutzer den TOSIBOX® Key mit einer 2048-Bit-RSA-Verschlüsselung. Mit dem TOSIBOX® Key kann eine sichere Verbindung zu einem oder mehreren TOSIBOX® Locks hergestellt werden, um auf die Geräte zuzugreifen, die mit diesen Locks verbunden sind. Das Lock wiederum schützt die Außengrenzen Ihres Unternehmensnetzwerks durch einen VPN-Tunnel, da sich die Firewall über den Key mit dem VPN-Tunnel verbindet.

Mit dem TOSIBOX® Key können Zugriffsrechte einfach und sicher auf Software oder mobile Geräte ausgeweitet werden. Als zusätzliche Option können TOSIBOX® Mobile Client und TOSIBOX® SoftKey als nachgeordnete Schlüssel (Sub-Keys) des TOSIBOX® Key eingesetzt werden. Die Zwei-Faktor-Authentifizierung ist auch für Mobile Clients und SoftKeys verfügbar, beide sind gerätespezifisch und passwort-geschützt.

Die TOSIBOX® Lösung erfüllt die höchsten Sicherheitsanforderungen der Branche und schützt Ihre Daten auch gegen die einfallsreichsten Hacker.

 

Die TOSIBOX® Lösung ist durch die Zwei-Faktor-Authentifizierung (2FA) geschützt. Mehr erfahren

Hier finden Sie weitere Informationen zur Sicherheit dieser Lösung >

Teijo Mustonen

“Der Vorteil der physischen Schlüssel ist, dass die Benutzer nicht auf ihr Handy angewiesen sind, bei dem die Nummer gekidnappt werden oder Akku leer sein könnte.”

Teijo Mustonen, R&D Director, Tosibox Oy