Sie sind hier: HomeMobile Solutions

Zwei-Faktor-Authentisierung: Adaptiv und anwenderfreundlich

Fortsetzung des Artikels von Teil 1.

Einfach und sicher mit dem Smartphone

Die Erfahrungen der letzten Jahre haben gezeigt, dass es die heilbringende „One-size-fits-all-Lösung“ nicht gibt. Dennoch sollten es sich die IT-Abteilungen in den Organisationen zum Ziel machen, möglichst anwenderorientiert zu agieren. So ist zum Beispiel das Smartphone aus dem heutigen Arbeitsalltag kaum noch wegzudenken. Es bietet sich also an, das Gerät zu nutzen, um einen zweiten Faktor bereitzustellen. Die nutzerfreundlichste und einfachste Art ist die sogenannte ‚Push-Notifikation‘. Der Anwender bekommt dabei  eine Nachricht auf sein Smartphone und muss zum Akzeptieren oder Ablehnen einer Anfrage lediglich einen „Knopf“ drücken. Für eine höhere Sicherheit werden Kontextinformationen wie das Betriebssystem und der Standort des Anwenders angezeigt. Voraussetzung dafür ist eine Internetverbindung mit dem Smartphone.

Hat der Nutzer keinen Internetzugang, lassen sich mit Hilfe eines Algorithmus sichere ‚One-Time-Passwörter‘ (OTP) generieren. Diese bestehen aus mehreren Zeichen, zum Beispiel aus acht Zahlen, die alle 30 Sekunden neu generiert werden. Der Nutzer muss dann lediglich das OTP in die Anmeldemaske der zu verwendenden Anwendung eingeben.Das Smartphone als zweiten Faktor einzusetzen hat im Vergleich zu einem Hardware-Token einige Vorteile. Zum einen wird es seltener irgendwo vergessen als das zusätzliche Stück Hardware, welches der Mitarbeiter bei sich führen muss. Zum anderen kann er den Registrierungsprozess, auch als ‚Enrollment‘ bezeichnet, selbst mit einem ‚Self-Service-Prozess‘ durchführen. Aufwendige und kostspielige Geschäftsprozesse für Hardware-Tokens, wie das Ausstellen, Verschicken und Ersetzen abgelaufener und verlorengegangener Token, entfallen.

Grid-Karte Apiida Bildquelle: © Apiida AG

Beispiel für eine Grid-Karte

Wie verhält es sich aber, wenn Mitarbeiter in einem Hochsicherheitsbereich arbeiten, in dem keine Smartphones oder elektronischen Geräte zulässig sind? Eine einfache Möglichkeit, hier einen zweiten Faktor zu schaffen, sind sogenannte ‚Grid-Karten‘. Diese lassen sich ausdrucken und bestehen aus einem Feld mit Zeilen und Spalten (siehe Abbildung). Für jede Kombination von Buchstaben und Zahlen gibt es einen generierten Wert bei der Erstellung der Grid-Karte. Bei der Eingabe des zweiten Faktors werden Mitarbeiter aufgefordert, den Wert mehrerer Felder einzugeben, zum Beispiel von B2, D3 und G5.

Haben Anwender ein älteres Handy, kann ein OTP via SMS empfangen werden. Hat er gänzlich gar kein Gerät, erhält er das OTP via E-Mail. Beide Verfahren haben den Vorteil, dass kein Registrierungsprozess notwendig ist, wenn die Mobilfunknummer und die E-Mail-Adresse bekannt sind. Wird ein OTP via E-Mail oder SMS über einen zweiten Kanal versendet, kann dabei ein Risiko entstehen, wenn Angreifer Kontrolle über das Mailsystem oder Mobilfunknetz erlangen. Durch ein ‚Dazwischenschalten‘ lassen sich OTP mit einer sogenannten ‚Man-In-The-Middle-Attacke‘ abgreifen.

Den Nutzer im Blick behalten
An einer intelligenten und sicheren Mehrfaktor-Authentifizierung im Cloud-Zeitalter kommt keine Organisation vorbei. Dennoch gilt es, die notwendigen technischen Schritte so nutzerfreundlich wie möglich umzusetzen. In der Praxis bewähren sich moderne Verfahren wie etwa die adaptive Authentisierung. Dabei bietet es sich an, das all-tägliche Smartphone in den Authentisierungsprozess einzubinden. Funktionieren können solche Lösungen nur, wenn die Rahmenbedingungen stimmen und die Organisationen sichere Voraussetzungen schaffen. So ist zum Beispiel für die sichere Einführung adaptiver Authentisierungsverfahren eine korrekte Verwaltung der digitalen Identitäten eines Mitarbeiters unerlässlich.

Timm Lotter ist Senior Presales Consultant, IAM bei der Apiida