InfoGuard Cyber Security & Cyber Defence Blog

2-Faktor-Authentifizierung – fühlen Sie den Authentifizierungs-Flow

Geschrieben von Jolanda Muff | 05. Okt 2020

Melden auch Sie sich vermehrt aus dem Home Office ins Firmen-VPN ein? Mitarbeitende können so von jedem Ort aus auf ihren Arbeitsplatz zugreifen – von zuhause, unterwegs oder bei Kunden. Doch wie steht es um die Sicherheit der Fernzugriffe auf Ihr Unternehmensnetzwerk? Denn Username und Passwort haben als alleiniger Zugriffsschutz schon lange ausgedient. Die Zwei-Faktor-Authentifizierung (2FA) ist heutzutage Standard. Nutzen Sie für die Absicherung Ihrer Zugänge eine Zwei-Faktor-Authentifizierung? Warum bewährt sich die Schweizer 2FA-Lösung «Airlock» im Alltag? Und wie wird diese in der Arbeitswelt tatsächlich angewendet? All dies erfahren Sie in diesem Blogartikel.

 

Starke Authentifizerung – was ist das überhaupt?

 

Die Multi-Faktor-Authentifizierung (MFA) und die 2-Faktor-Authentifizierung (2FA) erfordern zwei oder mehrere separate Schritte, damit ein Benutzer seine Identität nachweisen kann. «Wissen», «Haben», «Sein» – das sind die drei Merkmale, auf denen die Multi-Faktor-Authentifizierung basiert. Für eine starke Authentifizierung müssen zwei dieser drei Merkmalen erfüllt sein:

1. Wissen: PIN, Passwort, Benutzername, Antworten auf Sicherheitsfragen
2. Besitz: SecurID-Token, mTAN-Code, Badge, Smartphone, Kreditkarte
3. Biometrie: Fingerabdruck, Irismuster, Retinamuster, Venenmuster, Stimme

Bei einer sicheren Authentifizierung via Web-Browser werden alle Faktoren von demselben Eingabegerät (PC, Mobiltelefon etc.) über einen verschlüsselten Kanal an die Webseite übertragen. Falls sich ein Angreifer Zugriff auf diesen Kanal verschafft, bekommt er beide Faktoren in die Hände. Um diese Gefahr einzudämmen, werden dynamische Faktoren eingesetzt. Ein Beispiel hierfür ist das bekannte E-Banking. Zusammen mit der Verwendung eines PINs (Wissen) ist die Hardwaretoken-Option (Besitz) eine sehr sichere Authentifizierung. Diese funktioniert nach dem zeitbasierten Einmalkennwort-Verfahren (One-Time Password; OTP), indem jede Minute ein neuer sechsstelliger Token-Code generiert wird, der nur einmal verwendbar ist.

Abbildung – Multi-Faktor-Authentifizierung

Die Multi- und Zwei-Faktor-Authentifizierung sind also nicht mehr wegzudenken. Doch wenn es um die Realisierung solch einer Lösung geht, fragen Sie sich bestimmt auch: Welcher Anbieter bietet die beste Lösung?

Unser Partner Ergon Informatik aus der Schweiz hat mit der Sicherheitslösung «Airlock Secure Access Hub» ein Framework geschaffen, das eine erfolgreiche und schnelle Umsetzung eines 2FA-Projekts garantiert. Airlock 2FA ist eine Authentifizierungslösung, die für Anbieter und Benutzer keine Wünsche offen lässt. Sollte ein Faktor kompromittiert werden, betrifft es die anderen nicht. Das FIDO-Framework bietet zudem die Möglichkeit, 2FA und Transaktionssignierung zu implementieren. Somit ist ein umfassender Schutz gegen Passwort-Diebstahl, Phishing und Social Engineering-Angriffe garantiert.

Doppelt hält besser – ein Wettbewerbsvorteil?

Wie dies in der Praxis aussehen könnte, schauen wir uns anhand von drei Beispielen aus unterschiedlichen Branchen an.

2FA in der Industrie

Vernetzt, benutzerfreundlich und sensible Daten schützen­ – für die Industrie ein Spannungsfeld zwischen Zugänglichkeit und dem Wunsch, externe Partner und Kunden mehr einzubinden. Doch wie sicher ist es, wenn die Industriemaschinen über IoT-Plattformen vernetzt sind und Kunden sowie Partner Zugriff auf Maschinen und digitale Kundenportale haben? Hier müssen Identitäten klar definiert und zuverlässig verwaltet werden können.

Stellen sie sich vor, ein Produktionsleiter kann ganz einfach über eine App, mit Hilfe von «One-Touch», den Status seiner CNC-Maschinen überprüfen. Zudem ändert er über User Self-Services die Maschineneinstellungen. Er möchte aber sicherstellen, dass nur er, als autorisierter Mitarbeiter, auf den Produktionsprozess zugreifen kann und keine unausgebildeten Personen an die Maschineneinstellungen lassen. Dieses Beispiel zeigt, dass gerade deshalb im komplexen Industrieumfeld integrierte Security-Lösungen gefragt sind.

2FA in der Versicherungsbranche

Viele Versicherungen bieten unterschiedliche Online-Services an. Die Versicherungsbranche ist komplex, auch was die IT-Sicherheit betrifft. Beim Verwalten von digitalen Patientenakten, Schadensfallmeldungen nach einem Unfall oder beim Zugriff auf sensible Renten- und Pensionskassendaten, muss Sicherheit gewährleistet sein. Mit einer dynamischen 2-Faktor-Authentifizierung gelingt dies unkompliziert, indem zum Beispiel zum Login die «Zero Touch» oder «One Touch» Variante gewählt wird. So erleben Sie einen durchgängigen Authentifizierungs-Flow.

2FA in der Bankenwelt

Die gebräuchlichste 2FA-Variante bei Banken ist immer noch die mTAN-Methode, bei welcher Kunden zuerst Benutzername und Passwort eingeben (Wissen), bevor dann per SMS eine Transaktionsnummer (TAN) auf das Mobiltelefon (Besitz) geschickt wird. Die Authentifizierungsmethoden von Airlock bieten hier grossen und vor allem sicheren Spielraum.

Zweifelslos ist «Zero Touch» die bequemste Variante. Dabei werden verschiedene Kanäle wie z.B. Umgebungsgeräusche, Ultraschall, bekannte Bluetooth-Geräte oder das WLAN genutzt, um festzustellen, ob sich der zu identifizierende Nutzer aktuell in einer vertrauten Umgebung aufhält. Mit «One Touch», auch in Kombination mit biometrischen Verfahren wie Touch ID oder Face ID, werden Benutzer eindeutig identifiziert und können mit nur einer Bildschirmberührung ihre Bankgeschäfte tätigen. Die Anmeldung im Online-Banking oder die Freigabe einer Transaktion kann mit dieser Technologie einfach und schnell durchgeführt werden. Natürlich können sich Kunden auch mittels Scannen eines QR-Codes anmelden und eine Transaktion freigeben.

Sicherheit ohne Hürden mit Airlock 2FA

Airlock bietet Ihnen mit der Zwei-Faktor-Authentifizierungslösung nicht nur IT-Sicherheit und Compliance. Die 2FA-Lösung ist integriert in Airlock IAM – einer zentralen Access-Management-Komponente im Secure Access Hub – und ermöglicht damit die Verwaltung und Nutzung des persönlichen Schlüssels (auch auf dem Smartphone).

Der dynamische Authentifizierungsansatz reagiert risikobasiert auf unterschiedliche Anwendungsfälle. Das führt zu einem nahtlosen Ablauf der Authentifizierung, denn Sicherheitsanforderungen und Benutzerfreundlichkeit werden gleichermassen berücksichtigt. Airlock 2FA bietet dabei verschiedene Authentisierungsmittel und -methoden:

  • Zero Touch: Diese Variante nutzt Umgebungsinformationen für einen automatischen Abgleich zwischen Smartphone und Browser. So können Sie sich ganz ohne Interaktion einloggen.
  • One Touch: Sie erhalten eine Push-Benachrichtigung auf Ihr Smartphone, die sie mit einer Berührung bestätigen – dies ist auch in Kombination mit biometrischen Verfahren wie Touch ID oder Gesichtserkennung möglich.
  • (Offline) QR-Code: Anmelden oder Authorisieren mittels Scan eines QR-Codes funktioniert auch offline. Dafür wird die Airlock 2FA-App verwendet.
  • Passcode: Airlock 2FA generiert alle 30 Sekunden automatisch einen neuen Zugangscode (One-Time Password, kurz OTP). Sie tippen diesen fürs Login ab.

Dank der Zwei-Faktor-Authentifizierung lassen sich Identitäten anhand von bestimmten Merkmalen verifizieren. Doch wer Identitäten überprüft, muss diese und ihre Zugriffsberechtigungen auch verwalten. Wir empfehlen Ihnen hierfür das Customer Identity & Access Management (cIAM), welches im Secure Access Hub von Airlock integriert ist. Mit einer 2FA in Kombination mit cIAM, einer vorgelagerten Web Application Firewall (WAF) und einem API Security Gateway sind Sie bestens ausgerüstet. Übrigens bieten wir Ihnen die Airlock WAF auch als Service für einen umfassenden Schutz Ihrer Web-Anwendungen und Portale.

 

Im Whitepaper von unserem Partner Airlock finden Sie alle weiteren wichtigen Grundlagen und detaillierte Tipps für eine erfolgreiche Zwei-Faktor-Authentifizierung.

 

Möchten Sie erfahren, wie die 2FA-Lösung von Airlock in Ihrem Unternehmen eingesetzt werden kann? Dann melden Sie sich bei uns! Unsere erfahrenen, zertifizierten Airlock-Spezialisten beraten Sie gerne. Wir freuen uns auf Ihre Kontaktaufnahme!

Abbildungsverzeichnis:

  • Abbildung – Multi-Faktor-Authentifizierung: https://www.tools4ever.de/was-ist-multi-faktor-authentifizierung