von Timm Lotter, Senior Presales Consultant, APIIDA AG
Mit Hilfe eines zweiten Faktors lässt sich die Anmeldung an Webseiten, Anwendungen und am PC viel sicherer gestalten. Der erste Faktor, das Passwort, ist in der heutigen Zeit längst nicht mehr ausreichend. Ein potenzieller Angreifer kann dank üblicher Sicherheitslücken, gefälschter Webseiten oder veröffentlichter Benutzerdaten denkbar einfach an das persönliche Passwort gelangen und im Anschluss großen Schaden anrichten. Damit dies nicht gelingt – oder zumindest maximal erschwert wird – gehen immer mehr Organisationen dazu über, einen zweiten Faktor einzusetzen. Dabei gibt es mehrere Arten, die jeweils Vor- und Nachteile aufweisen.
Eine der einfachsten Methoden ist eine Push-Nachricht auf das Smartphone. Bei der Anmeldung bekommt der Benutzer auf sein Smartphone, sei es Android oder iPhone, eine Nachricht. In dieser werden zur Sicherheit Kontext-Informationen wie Browser, Ort und Betriebssystem angezeigt. Der Nutzer hat nun drei Möglichkeiten:
Der klare Vorteil liegt in der Einfachheit dieser Methode. Der Benutzer bestätigt mit nur einem Klick die Anmeldung.
Doch es gibt auch Nachteile: Immerhin ist eine Internetverbindung notwendig, um die Push-Nachricht zu empfangen. Kombiniert mit dem One-Time Passwort (OTP) in derselben App lässt sich dieser Nachteil jedoch aus der Welt schaffen.
Abbildung 1: Screenshot Push Nachricht auf dem Smartphone (Quelle: APIIDA AG)
Der Benutzer generiert auf seinem Smartphone ein One-Time Passwort (OTP). Dieses besteht aus einer zufälligen Kombination mehrerer Zahlen, die in einem bestimmten Zeitfenster, wie beispielsweise alle 30 Sekunden, rein zufällig generiert werden. Dieses Passwort gibt der Nutzer nun beispielsweise in die Anmeldemaske einer Anwendung oder auf einer Webseite ein. Der Passworterstellung liegt ein intelligenter Algorithmus zugrunde. Die Überprüfung der Richtigkeit kann man sich vorstellen, dass die Webseite denselben OTP generiert und beide vergleicht.
Der Vorteil liegt vor allem darin, dass für die Generierung kein Internet notwendig ist. Der Benutzer muss das auf dem Smartphone erstellte OTP manuell in der entsprechenden Anmeldemaske eingeben. Der zusätzliche Kanal und das Abtippen machen einen Angriff schwieriger.
Allerdings ist die OTP-Variante im Vergleich zur Push-Nachricht deutlich unbequemer. Insbesondere Nutzer mit wenig IT-Berührungspunkten benötigen länger für die Eingabe und eine Überschreitung der Gültigkeitsdauer vom OTP ist möglich. Und: Es fehlen die Kontext-Informationen (wie bei der Push-Nachricht).
Abbildung 2: Screenshot von einem generierten OTP mit dem Smartphone (Quelle: APIIDA AG)
Bei dieser Variante erhält der Benutzer ein One-Time Passwort (OTP) via E-Mail. Es ist nur für eine bestimmte Zeit gültig und kann danach in die gewünschte Anmeldemaske eingegeben werden.
Der Vorteil: Der Anwender muss nur die E-Mail, sei es auf dem PC, Laptop, Smartphone oder einem anderen Gerät empfangen. Ein Smartphone ist nicht notwendig.
Auf der anderen Seite ist die Methode deutlich einfacher angreifbar, denn: Zum Empfangen vom OTP braucht ein Angreifer die Anmeldedaten für den E-Mail-Account. Noch einfacher ist es, wenn der gesamte Mail-Server übernommen wurde, damit ein Angreifer alle E-Mails lesen kann.
OTP via SMS
Das OTP kann der Benutzer auch via SMS auf sein Mobiltelefon erhalten. Auch hier ist das Passwort nur für eine bestimmte Zeit gültig und kann im Rahmen seiner „Haltbarkeitsdauer“ in die gewünschte Anmeldemaske eingegeben werden.
Positiv hervorzuheben wäre hier, dass diese Variante auch alte Geräte oder Smartphones ohne Android und iPhone einschließt.
Der Nachteil: Für das Versenden der SMS entstehen Kosten. Außerdem kann ein Angreifer die Telekommunikationssysteme übernehmen, um das OTP abzufangen.
Grid Card
Der Benutzer erhält eine Grid Card – ob nun ausgedruckt in Papierform oder als digitale Datei. Sie besteht aus einem Grid: Die Spalten haben Buchstaben wie A, B, C und die Zeilen haben Zahlen wie 1, 2, 3. Für jede Spalten-Zeilen-Kombination gibt es einen Wert. Beim Anmeldeprozess muss der Anwender mehrere Werte eingeben. Als Beispiel werden A2, C3 und E5 abgefragt, die Werte dazu wären gemäß Abbildung 3 CF, R0 und 0J.
Der Vorteil liegt unbestritten darin, dass für die Grid Card kein digitales Gerät notwendig ist. Dies ist insbesondere für Hochsicherheitsbereichen praktisch, in denen Smartphones und Co. verboten sind. Diese Methode ist kostengünstig, da die Grid Card letztlich einfach ausgedruckt und immer wieder verwendet werden kann.
Der entscheidende Nachteil: Sie ist einfach kopierbar und stellt die „geheimen“ Wertkombinationen sichtbar dar.
Abbildung 3: Screenshot von einer Grid Card (Quelle: APIIDA AG)
Die Lösung APIIDA Mobile Authentication ist zweifelsohne eine Innovation für die sichere Anmeldung am Windows-Betriebssystem. Der Anwender gibt dabei nicht mehr seinen Benutzernamen und sein Passwort am PC ein, sondern verwendet stattdessen sein Smartphone. Die Anmeldung wird mit dem Fingerabdruck oder Passwort auf dem Smartphone durchgeführt. Der PC und das Smartphone sind mit einer verschlüsselten Bluetooth Verbindung gekoppelt.
Die Vorteile überwiegen hier deutlich: Für die Windows-Anmeldung ist ein „zweiter Faktor“ in Form von einem zusätzlichen Gerät, dem Smartphone und dem Fingerabdruck notwendig. Die Abmeldung erfolgt automatisch, wenn sich der Benutzer mit dem Smartphone vom PC entfernt.
Der Nachteil liegt darin, dass der PC über eine Bluetooth-Schnittstelle verfügen muss. Dies lässt sich jedoch mit einem Bluetooth-Dongle (USB-Stick) beheben.
Abbildung 4: Screenshots APIIDA Mobile Authentication auf dem Smartphone (Source: APIIDA AG)
Es gibt unterschiedliche Wege und Möglichkeiten, einen zweiten Faktor zu generieren. Alle Varianten haben Vor- und Nachteile. Um die aktuellen und zukünftigen Anforderungen umzusetzen, ist allerdings eine MFA-Lösung notwendig, die methodenübergreifend wirkt. Das ist jedoch nur der erste Schritt. Um das Sicherheitslevel anzuheben ist zusätzlich die Verhaltensanalyse der Benutzer notwendig, um die „starren Regeln“ zu erweitern. Hinzukommt, dass ein komplexer Anmeldevorgang die Nutzer schnell überfordert. Die Kunst muss also darin liegen, im Anmeldeprozess möglichst hohe Sicherheit bei gleichzeitiger Nutzerakzeptanz zu schaffen. Die Nase vorn haben hier bislang die beiden Methoden „Push-Nachricht via Smartphone“ und das „Smartphone für die PC Anmeldung“.
AMA ist so leicht bedienbar, dass Sie innerhalb weniger Minuten die Einrichtung mit nur wenigen Klicks abschließen können. Die 2 faktorbasierte Anmeldung erfolgt mithilfe des Smartphones innerhalb von Sekunden.
<script>(function(t,e,s,n){var o,a,c;t.SMCX=t.SMCX||[],e.getElementById(n)||(o=e.getElementsByTagName(s),a=o[o.length-1],c=e.createElement(s),c.type=“text/javascript“,c.async=!0,c.id=n,c.src=[„https:“===location.protocol?“https://“:“http://“,“widget.surveymonkey.com/collect/website/js/tRaiETqnLgj758hTBazgd54_2Bs_2F1hO_2BSEM61LjHc_2FumOgop_2F_2FzoNypuJbSiCJD_2FTz.js“].join(„“),a.parentNode.insertBefore(c,a))})(window,document,“script“,“smcx-sdk“);</script><a style=“font: 12px Helvetica, sans-serif; color: #999; text-decoration: none;“ href=“https://de.surveymonkey.com“> Erstellen Sie Ihre eigene Umfrage zu Nutzerfeedback. </a>
APIIDA Mobile Authentication ist zu 100% „MADE IN GERMANY“ und wird komplett an unserem Standort in Groß-Bieberau in Deutschland entwickelt, programmiert und optimiert. Die kompletten Prozesse und Informationen kommen aus unserem Hause.
Wir als APIIDA AG haben uns bewusst zum Standort Groß-Bieberau am nördlichen Rand des Odenwaldes entschieden und möchten in dieser Region wachsen. Unser Team arbeitet hier täglich daran, die bestmögliche Lösung für Ihre jeweiligen Aufgabenstellungen anbieten zu können.
APIIDA Mobile Authentication is 100% „MADE IN GERMANY“ and completely developed, programmed and optimized at our location in Groß-Bieberau, Germany. The whole processes and information are from our company.
We have decided to the location Groß-Bieberau on the northern edge of the Odenwald and would like to grow in this region. Our team works daily to provide the best possible solution for your specific tasks.