Mobile Security

Fünf Tipps zur Zwei-Faktor-Authentifizierung

27. Mai 2016, 13:42 Uhr | Axel Pomper

Multifaktor-Authentifizierung wird nicht nur zur Norm, sondern zur Vorschrift. Cloud-Kommunikationsanbieter Nexmo gibt Tipps.

Die Europäische Bankenaufsichtsbehörde (EBA) verlangt von Zahlungsdiensten vor der Abwicklung von Online-Zahlungen eine strenge Kundenauthentifizierung durchzuführen. Um die angegebene Identität zu bestätigen, müssen sich die Nutzer anhand von mindestens zwei spezifischen Merkmalen ausweisen können. Zur Auswahl stehen entweder eine Information wie ein statisches Passwort, ein Gerät, das nur der Nutzer besitzt, beispielsweise ein Mobiltelefon, oder ein biometrisches Merkmal des Nutzers, etwa ein Fingerabdruck.

Der erste Stichtag zur Umsetzung der neuen Richtlinie ist der 1. August 2015: Bis dahin müssen Payment-Service-Provider verbesserte Authentifizierungslösungen für Nutzer implementiert haben. Auch in Ländern außerhalb der EU sind ähnliche Regelungen bereits in Kraft getreten oder werden wahrscheinlich bald eingeführt.

Zur Umsetzung einer starken Authentifizierung gibt es mehrere Möglichkeiten. Die Telefonverifizierung hat sich als eine gute Option für die Zwei-Faktor-Authentifizierung erwiesen. Sie lässt sich leicht einrichten und erfordert nur einen geringen Zusatzaufwand seitens des Kunden.

Nexmo, Anbieter von Cloud-Kommunikationslösungen, hat in den vergangenen 4 Jahren Unternehmen wie Snapchat, LINE und Connect.com bei der Verifizierung von mehr als 3,5 Milliarden Telefonnummern unterstützt. Das Unternehmen hat seine Erfahrungen in Form von "Fünf Tipps zur Implementierung der Multifaktor-Authentifizierung" zusammengestellt.

1. Beachten Sie länderspezifische Vorschriften

Es existieren unzählige länderspezifische Bestimmungen, die eingehalten werden müssen, damit eine SMS ankommt. In Deutschland beispielsweise erhält nur derjenige eine Telefonnummer mit deutscher Ländervorwahl, wenn die betreffende Person oder das betreffende Unternehmen einen Wohn- oder Geschäftssitz im Land vorweisen kann. Manche Länder wie zum Beispiel Frankreich verlangen alphabetische Absender-IDs. Informieren Sie sich in entsprechenden Datenbanken über weitere länderspezifische Vorschriften.

2. Verifizieren Sie, ob Ihre Nachrichten ankommen oder gelesen werden können

Es gibt viele Situationen, in denen SMS-Nachrichten nicht funktionieren: Entweder ist der Empfänger nicht in der Lage, die SMS zu lesen, wie beispielsweise Menschen mit einer Sehstörung oder Leseschwäche. Hier wären Sprachnachrichten (text-to-speech) die passende Alternative zur klassischen SMS.
Oder die angegebene Nummer ist überhaupt keine Mobilnummer, sondern eine Festnetz- oder Faxnummer. Auch VoIP-Nummern, die gerade von Betrügern eingesetzt werden, können nicht eindeutig einem Endgerät zugeordnet werden. Somit bleibt auch hier unklar, ob ein Verfizierungscode angezeigt werden kann. Sie werden ebenso aussortiert.

3. Bieten Sie mehrsprachigen Support an

Support in mehreren Sprachen anzubieten ist unproblematisch, wird aber häufig vergessen. Sparen Sie nicht an der falschen Stelle – billige Übersetzungen können zu einer schlechten Customer Experience führen und Kunden abschrecken.

4. Setzen Sie ein Zeitlimit

Arbeiten Sie mit Zeitalgorithmen wie RFC6238, die Verifizierungscodes löschen, falls diese nicht innerhalb eines bestimmten Zeitraums genutzt werden. Wenn die Codes nicht nach einer angemessenen Zeit ungültig werden (5 Minuten sind empfehlenswert), können Spammer sie sammeln und in Ihren Dienst eindringen.

5. Behalten Sie Ihre Conversion-Rates im Blick

Überprüfen Sie Ihre Conversion-Rates, sobald Ihre Mehrfaktor-Lösung im Einsatz ist und treffen Sie gegebenenfalls entsprechenden Maßnahmen. Ist das Zeitfenster zu klein? Sind Ihre PIN-Codes zu lang? Sicherheit ist wichtig, doch die User Experience auch.

Üner Nexmo:

Nexmo aus San Francisco entwickelt APIs für A2P (Application to Person)-Kommunikation via SMS und zukünftig auch für Chat-Apps. Haupteinsatzgebiete sind aktuell die Zwei-Faktor-Authentifizierung und Kundenkommunikation. Unternehmen mit hohem Kommunikationsaufkommen wie OTT-Messaging-Apps (WeChat), Reiseunternehmen (Airbnb), Soziale Netzwerke (Twitter), Kommunikations-Apps (Jongla) und Bezahldienste versenden jeden Monat Millionen von Nachrichten mithilfe der Nexmo-APIs – in 239 Ländern über 1.820 Telekommunikationsnetze. Sie sind ebenso Zielgruppe, wie auch NGOs, die z.B. per „Voice-Nachricht" zu einer Impfkampagne in Afrika aufrufen möchten.