Weiterbildung, CAS Cybersecurity

Cybersecurity: Komfortable Zwei-Faktor-Authentifizierung dank Biometrie

10. April 2021

Sicherheit kann jetzt auch benutzerfreundlich sein. Heute wenden wir tagtäglich biometrische Authentifizierungsmethoden an, ohne weiter darüber nachzudenken. Was früher der Absicherung besonders schützenswerter Objekte wie z.B. Rechenzentren vorenthalten war, ist heute fester Bestandteil bei der Entsperrung des persönlichen Smartphones geworden. Die Etablierung von Gesichtserkennung und Fingerabdrucksensoren erlaubt es, Multifaktor-Authentifizierungen umzusetzen, ohne dass diese beim Nutzer, bei der Nutzerin zur Komforteinbusse führen.

Am Anfang war die Streichliste

Die bisherigen Login Verfahren SMS-Code (mTAN) und Streichliste/ Matrixkarten gelten heute als unsicher. Diese Methoden wurden früher eingesetzt, um z. B. E-Banking-Zugänge zusätzlich abzusichern. Dabei musste nach der erfolgreichen Anmeldung mit dem persönlichen Benutzernamen und Kennwort zusätzlich ein Einmalkennwort eingegeben werden. Dieses befand sich auf einer Streichliste oder Matrixkarte, die individuell an die jeweiligen Kunden verschickt wurden.

(Bild: cnlab.ch)

Der bei der Anmeldung verwendete Einmalcode wurde durchgestrichen und konnte kein zweites Mal verwendet werden.

Lösungen mit Kartenlesegeräten oder Hardware- Token

Als Alternative zu der oben beschriebenen Methode werden auch Hardware-Tokens (Token Generator) oder Kartenlesegeräte eingesetzt. Mit dem Ziel, die Sicherheit zu steigern beziehungsweise ein Kopieren der Zweitfaktor-Codes zu vermeiden.

Das Hardware Token besteht aus einem kleinen mobilen Gerät, das in regelmässigen Abständen neue Einmal-Passwörter anzeigt. Diese sind jeweils für eine begrenzte Zeit gültig, bis der Hardware Token einen neuen Code generiert und darstellt. Die Berechnung des jeweiligen Codes findet zeitgleich auf dem Server des Anbieters statt.

(Bild: wikiwand.com)

Andere Serviceanbieter wie z. B. die PostFinance setzten Kartenlesegeräte als sichere Zweit-Authentifizierung ein. Heute wird diese Option den Kunden und Kundinnen angeboten, die über kein Smartphone verfügen.

Beim Verfahren mit dem Kartenlesegerät muss die persönliche PostFinance-Bankkarte in ein von der PostFinance zur Verfügung gestelltes Gerät gesteckt und mit dem persönlichen PIN Code entsperrt werden. Als Resultat wird ein Einmal-Code angezeigt. Dieser ist zeitlich begrenzt gültig und muss zusätzlich zu Benutzernamen und Passwort bei der Anmeldung eingegeben werden. Die Berechnung des Einmal-Codes funktioniert bei Kartenlesegeräten gleich wie bei den Hardware-Token-Generatoren.

(Bild: postfinance.ch)

Obwohl beide Methoden im Vergleich zur Streichliste als sicherer gelten, sind sie zugleich unkomfortabel für den Nutzer, die Nutzerin und umständlich in der Anwendung.

Smartphones bieten neuen Möglichkeiten

Die breite Akzeptanz von Mobile-Telefonie und Smartphones eröffnet neue Möglichkeiten. Angefangen bei der Verwendung von SMS-Einmal-Kennwörtern gelten heute anbieterspezifische APPs als sicherere Methode.

Als zusätzliche Schutzmassnahme haben Swisscom und Sunrise 2014 die „Mobile ID“ lanciert. Die Mobile ID ist ein Dienst, der die Kundinnen eindeutig anhand deren SIM-Karte (Smart-SIM-Karte vorausgesetzt) identifiziert und damit zusätzliche Sicherheit für die Privatkunden und Geschäftskunden darstellt. Mittlerweile ist der Dienst bei allen namhaften Schweizer Mobilfunkanbieter verfügbar.

Die Mobile ID ermöglicht, zusammen mit einer entsprechenden APP des Anbieters, erstmals den sicheren Zugang zu E-Banking und weiteren Plattformen ohne dabei ein zusätzliches Element wie z. B. eine Streichliste oder ein Hardware Token verwenden zu müssen.

Mit der Einführung biometrischer Sensoren durch die Smartphone- Hersteller wurde die Zweit-Faktor Authentifizierung endlich benutzerfreundlich. Das Entsperren des Smartphones oder Bestätigen der Anmeldung im E-Banking mit dem eigenen Fingerabdruck (Fingerlinienbild) oder durch Gesichtserkennung (z. B. Face-ID) etablierte sich schnell, ist einfach zu nutzen und gilt als sicher.

Hier ist wichtig anzumerken, dass es Geräte- und Hersteller-spezifische Unterschiede gibt. Die Geräte aus dem Premium-Segment verfügen in der Regel über bessere Sensoren. Dies ist insbesondere bei der Gesichtserkennung zu beachten, die bei kostengünstigeren Modellen eher ausgetrickst werden kann.

  (Bild: apple.com)

Zweitfaktor über Authenticator- Apps

Viele Onlineshops unterstützen heute bestehende Authenticator Apps von Google, Microsoft oder weiteren Anbietern und ermutigen ihre Kunden, das Benutzerkonto damit zusätzlich abzusichern.

(Bild: medium.com)

Nach dem Registrieren eines Anbieters über einen QR Code, werden fortlaufend und anbieterspezifische Einmalcodes generiert. Der zweite Faktor muss entweder bei jedem Login eingegeben werden oder zur Registrierung eines neuen Endgeräts. Auch im privaten Umfeld ist der Einsatz von Zweifach-Authentifizierung empfohlen. Die Authenticator- APPs basieren auf zeitlich beschränkten Einmalpasswörtern, welche zeitgleich auf der APP und dem Server des Anbieters generiert werden.

Die Entsperrung der erwähnten Authenticator- APPs erfolgt über Biometrie.

FAZIT

Die Angriffsmethoden von Cyberkriminellen werden immer raffinierter. Darum ist es unerlässlich, die Sicherheitsmassnahmen kontinuierlich zu verbessern. Zwei-Faktor-Authentifizierung hat sich für kritische Anwendungen mittlerweile als Standard etabliert. Oftmals wird Cybersicherheit vom Benutzer als kompliziert und aufwändig wahrgenommen. Das hat sich dank der Möglichkeiten von biometrischen Authentifizierungsmethoden auf den Smartphones grundlegend geändert.

Heute wird diese Funktion von vielen Verbrauchern wie selbstverständlich genutzt. Der Service funktioniert zuverlässig und schnell und kann ohne technisches Fachwissend von den Anwendern und Anwenderinnen aktiviert und eingesetzt werden.

Das erlaubt es auch im beruflichen Umfeld, Zwei-Faktor-Authentifizierung mit einer hohen Benutzerakzeptanz umzusetzen.

Literaturquellen / Links / Tools

Webseite Schweizer Mobile ID: https://www.mobileid.ch/de

Verfahren für Online-Banking: https://www.wikibanking.net/onlinebanking/verfahren/

Zum Thema Qualitätsunterschiede bei der Gesichtserkennung:
https://www.computerbild.de/artikel/cb-Tests-Handy-Gesichtserkennung-mit-Foto-geknackt-24910985.html

Autorenteam:

Emanuel Furler
Thomas Haug


Persönliche Beratung

Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:

Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)

Cybersecurity und Hacking für Schweizer KMU

Cybersecurity: Chancen & Gefahren der künstlichen Intelligenz

Schlagworte: Cybersecurity, Datensicherheit, Reaktionsplan, Sicherheitsvorfall

zurück zu allen Beiträgen
×