Preiswerte Zwei-Faktor-Authentifizierung
Einmalpasswörter kommen via SMS
Remote-Zugänge, zum Beispiel das Arbeiten in öffentlichen WLAN-Netzen oder per UMTS über Smartphones, gehört mittlerweile zum Arbeitsalltag. Dieser Ansatz hat viele Vorteile: Mitarbeiter sparen Reisekosten, können die Zeit im Zug oder am Flughafen sinnvoll nutzen oder gehen früher nach Hause, um Zeit mit den Kindern zu verbringen und dann zu Hause weiterzuarbeiten. Die Herausforderung liegt jedoch in der Absicherung des Zugriffs.Unternehmen, die ihre Mitarbeiter von unterschiedlichen Orten arbeiten lassen, müssen gewährleisten, dass der Zugang sicher ist und sensible Daten nicht gestohlen werden, indem sich beispielsweise eine unautorisierte Person Zugang zum Remote Access des Mitarbeiters verschafft. Auch sind die Unternehmen in Deutschland durch strikte Datenschutzgesetze gefordert, sich bestmöglich abzusichern. Schließlich haftet in der Regel das Unternehmen beim Verlust vertraulicher und personenbezogener Daten.
Eine Möglichkeit der Absicherung des Fernzugangs ist die Zwei-Faktor-Authentifizierung. Sie zählt zu den anerkannten Lösungsansätzen für mehr Sicherheit bei Remote-Access-Anmeldungen.
Die beiden namensgebenden Faktoren der Zwei-Faktor-Authentifizierungen bestehen können sich aus Sein, Haben oder Wissen zusammensetzen. Der erste Faktor ist eigentlich immer das Passwort (Wissen). Je nach Lösung wird dann das Haben oder Sein ergänzt. Die SMS-Methode der Zwei-Faktor-Authentifizierung zum Beispiel nutzt als zweiten Faktor ein Haben, nämlich ein Einmalpasswort (One-Time Password, OTP).
Bei der SMS-Methode werden Einmal-Passwörter per Flash-SMS auf das Mobiltelefon verschickt. Der Vorteil der SMS-Methode liegt hier auf der Hand: Das Unternehmen muss keine zusätzliche Hardware installieren und verwalten, denn der Angestellte besitzt in der Regel bereits ein Mobiltelefon. Zudem gilt diese Methode als sicher. So bieten auch Banken ihren Kunden das SMS-TAN Verfahren als Sicherheitsoption beim Online-Banking an.
Der Anwender loggt sich beim SMS-Verfahren mit seinem bekannten Passwort (dem Wissen) ein. Die Lösung validiert zunächst dieses Passwort in Verbindung mit dem Benutzernamen. Stimmen die Daten überein, erhält der Nutzer mittels einer Flash-SMS einen Code (das Haben), der nur für diesen einen Login-Vorgang gültig ist.
Um sich einloggen zu können, muss er also sowohl den Benutzernamen und das Passwort als auch den sessionspezifischen Code besitzen. Empfehlenswert ist dabei eine Lösung, die einen sessionspezifischen Code nutzt. Fällt der Anwender einem Phishing-Angriff zum Opfer, kann der Angreifer zwar alle Anmeldefaktoren abgreifen; da er dabei aber eine neue Session öffnet, verhindert der sessionspezifische Passcode den Zugang.
Verwendet die Authentifizierungslösung als weiteren Sicherheitsfaktor eine Flash-SMS, werden diese Textnachrichten nicht im SMS-Eingang gespeichert. So kann reguläre Malware, die zur Weiterleitung von SMS genutzt wird, bei einer solchen Lösung nicht greifen. Der dynamische Workflow, bei dem es verschiedene Übertragungsmethoden für die Benutzer gibt - dies ist abhängig von der Wahl des Mediums, zum Beispiel E?Mail für Blackberry, der Erhalt eines Sprachanrufs etc. - erschwert es den Hackern zudem, automatisiert Angriffe durchzuführen, und ermöglicht zusätzlich den weltweiten Einsatz dieser Lösung.
Fazit
Die SMS-Authentifikation zählt zu den sichersten Methoden für den Schutz von Remote-Access-Zugängen. Denn im Rahmen der Zwei-Faktor-Authentifizierung wird der erste Faktor mit dem OTP um einen zweiten Faktor ergänzt, der nur einmalig und eindeutig nutzbar ist. Eine solche Lösung ist zudem leicht zu managen, da keine zusätzliche Client-Hardware zu installieren und zu warten ist. Aus diesem Grund ist der Ansatz auch kostengünstiger als andere Methoden der Zwei-Faktor-Authentifizierung.
Lesen Sie mehr zum Thema
