Token-lose Zwei-Faktor-Authentifizierung
Sicherer Zugang leicht gemacht
Trends wie "Bring Your Own Device" (BYOD) oder generell mobiles Arbeiten aus der Ferne verlangen Unternehmen einiges ab. Denn einerseits soll der Mitarbeiter von weitgehender Flexibilität profitieren, während gleichzeitig interne Netzwerke und sensible Daten geschützt bleiben. Zudem besteht der Wunsch nach möglichst unkomplizierten Login-Verfahren. Eine Möglichkeit ist die Absicherung der Remote-Zugriffe per Zwei-Faktor-Authentifizierung.Eine der einfachsten Lösungen, um Vertrauliches zu schützen, ist ein Passwort. Dabei kommt es in der Praxis allerdings oft zu einem (faulen) Kompromiss zwischen Sicherheit und Bequemlichkeit. Denn lange, komplizierte Passwörter sind schwer zu merken. Folglich weichen manche Unternehmen auf einfachere Kombinationen aus - die jedoch eventuell leichter zu knacken sind. Außerdem: Je mehr Mitarbeiter den Remote-Zugang zum Unternehmensnetz nutzen, desto mehr Passwörter sind erforderlich und zu verwalten. Im Zug der Bequemlichkeit vernachlässigen IT-Verantwortliche gelegentlich auch die empfohlene, regelmäßige Änderung von Zugriffsdaten - in der trügerischen Hoffnung, dass schon nichts passieren werde. In puncto Sicherheit greifen bereits einige Unternehmen auf eine Methode zurück, die vielen - wenn vermutlich auch unbewusst - bereits aus dem Alltag bekannt ist: die Zwei-Faktor-Authentifizierung (2FA). Diese kommt zum Beispiel beim Geldabheben am Bankautomaten zum Einsatz. Für eine erfolgreiche Transaktion benötigt der Kunde die beiden Faktoren "persönliche Bankkarte" und "PIN". Fehlt einer dieser Faktoren, oder gibt der Benutzer die Nummer nicht korrekt ein, verweigert der Automat weitere Schritte. Durch die Kombination dieser Faktoren ist eine doppelte Absicherung gewährleistet. Bei einer 2FA sind stets zwei der folgenden Komponenten für eine Identifizierung nötig: der Faktor "Wissen" wie zum Beispiel eine PIN - diese ist nur dem Nutzer bekannt, der Faktor "Besitz" wie beispielsweise ein Token (USB-Stick etc.), das nur dem Benutzer gehört, und/oder der Faktor "Sein" wie etwa der Fingerabdruck - dieser Faktor ist untrennbar mit dem Anwender verbunden. Zusatz-Token bedeutet Zusatzkosten Die Crux an der Vorgehensweise beim Geldabheben am Automaten ist, dass der Kunde stets seine Bankkarte mit sich führen muss. Dies wiederum schränkt seine Flexibilität ein. Ähnliches gilt für Online-Banking. Dort sind oft sogenannte TAN-Generatoren notwendig. Ein entsprechendes Zusatzgerät generiert spezielle Transaktionsnummern, damit der Besitzer Überweisungen, Daueraufträge etc. online durchführen kann. In der IT spricht man auch von Hardware-Token. Diese kommen unter anderem in Unternehmen zu Authentifizierungszwecken zum Einsatz - zum Beispiel in Form von Smartcards oder USB-Sticks. Auch dort ist es eher eine lästige Pflicht und dadurch ein Nachteil, dass der Mitarbeiter Gerät oder Karte ständig bei sich tragen muss. Vergisst der Anwender, diese Komponente mitzunehmen, geht sie verloren oder wird sie gestohlen, besteht vorerst kein Zugriff mehr. Für die Buchhaltungsabteilungen spielen zudem die Kosten für Zusatz-Token eine Rolle. Denn im schlimmsten Fall ist - zusätzlich zu den Einrichtungskosten - ein Token gleich mehrfach zu bezahlen: bei der Erstanschaffung, dann gegebenenfalls im Rahmen einer Ersetzung bei Diebstahl oder Verlust sowie womöglich bei einem Wartungsaustausch: Manche Devices verfügen nur über eine beschränkte Lebensdauer, nach deren Ablauf sie auszutauschen sind. Den Faktor 2 stellt das Mobilgerät Allerdings bietet der Markt Alternativen, die einen Blick wert sind. Speziell Smartphones begleiten den überwiegenden Teil ihrer Besitzer sowohl privat als auch beruflich. Diese Tatsache machen sich Token-lose 2FA-Lösungen zunutze. Statt mittels eines Zusatz-Tokens die Authentifizierung zu ermöglichen, senden sie einen dynamisch erzeugten Passcode per SMS, E-Mail, Voice Call oder App an das Endgerät. Mit diesem Code sowie den eigenen Login-Daten identifiziert sich der Benutzer eindeutig. Diese Vorgehensweise eignet sich außer für Smartphones auch für normale GSM-fähige Mobiltelefone, die den Empfang von SMS unterstützen. Mit der Zusendungsmethode umgehen Unternehmen außerdem die Installation zusätzlicher Soft- oder Hardware auf den (privaten) Geräten der Mitarbeiter, die dies als aufgenötigte Verletzung ihrer Privatsphäre empfinden könnten. Durch die Nutzung von E-Mails als Passcode-Übersender lassen sich auch Tablets, Note-/Netbooks und Desktop-Rechner als Authentifizierungs-Tool nutzen. Gibt der Nutzer seinen Passcode bei einem Login-Vorgang per Mobilgerät ein, verfällt diese Zahlenkombination danach sofort, woraufhin das System einen neuen Code generiert. Für noch mehr Sicherheit kann die IT-Abteilung die maximale Anzahl von Falscheingaben festlegen, bevor das System den Zugang für den jeweiligen Mitarbeiter komplett sperrt. Um akute Übertragungsprobleme im Mobilfunknetz oder in der Internet-Verbindung zu umgehen, ist es auch möglich, dass Benutzer einen wiederverwendbaren Passcode erhalten. Dieser ist während einer vordefinierten Phase uneingeschränkt gültig und verfällt nach Fristende automatisch. Einen Tag vor Ablauf erhält der Nutzer bereits eine neue Zahlenkombination. Auf diese Weise steht jederzeit ein gültiger Passcode bereit. Sichere Offline-Authentifizierung Auch für Mitarbeiter, die für längere Zeit weder über Mobilfunk- noch über Internet-Verbindung verfügen, halten manche Token-losen Authentifizierungslösungen entsprechende Optionen bereit. Zum Beispiel können die Benutzer ihren Passcode per Festnetzanruf erhalten: Der Code wird angesagt, und der Nutzer tippt ihn auf der Telefontastatur ein. Eine Alternative dazu stellt etwa die "One Swipe"-Methode von Securaccess dar, einer Authentifizierungslösung des Herstellers Securenvoy. Diese Technik funktioniert auch offline ohne Mobilfunk-oder Internet-Verbindung. Für einen Authentifizierungsvorgang zum Login ins Unternehmensnetzwerk muss der Benutzer beispielsweise an seinem Rechner drei Kenndaten korrekt eingeben: den Windows-Benutzernamen, eine PIN oder sein Windows-Passwort sowie den Passcode, den Securaccess bereitstellt. In der Oberfläche der zugehörigen "Soft Token App" für sein Smartphone gibt der Nutzer zuerst seine PIN ein. Die App generiert daraufhin einen einmalig gültigen QR-Code. In der Anmeldemaske auf seinem Rechner wiederum klickt der Anwender nun auf den Button "One Swipe" und scannt den QR-Code mit der Web-Cam seines Notebooks oder Tablet-PCs. Die im QR-Code hinterlegten Informationen weisen die Identität des Nutzers eindeutig nach. Statt eines Passcodes fungiert bei dieser Vorgehensweise der QR-Code als Zugriffsabsicherung. Fazit Für die skalierbare Absicherung bei gleichzeitiger Flexibilität und Kostenersparnis sorgen Token-lose Zwei-Faktor-Authentifizierungslösungen. Die Login-Vorgänge kombinieren selbst gewählte Benutzernamen und Passwörter mit dynamisch generierten Passcodes sowie Nutzerlizenzen. Selbst wenn das Passwort in die falschen Hände geraten sollte, ist es für sich genommen nutzlos und ermöglicht keinen Zugriff, sofern die weiteren Faktoren unbekannt bleiben. Hinsichtlich der finanziellen Aufwendungen müssen Unternehmen nur in die Installation der Authentifizierungslösung investieren, während die vorhandene Infrastruktur unverändert bleibt. Als Zugangs-Tools fungieren mobile Endgeräte und Computer statt Token. Dies kommt sowohl den betroffenen Mitarbeitern als auch der IT-Abteilung entgegen, da das Verfahren einfach zu nutzen ist. Die Anwender sind mit ihren Mobilgeräten vertraut und müssen in der Regel nicht speziell daran denken, diese bei sich zu tragen - im Gegensatz zu zusätzlichen Plastik-Token oder Smartcards und Readern. Heutzutage sind "smarte" Endgeräte ständige Begleiter. Sie können mehr als nur Anrufe entgegennehmen, E-Mails empfangen oder Apps anzeigen: Sie dienen auch als Faktor "Besitz" für die Zwei-Faktor-Authentifizierung, mit deren Hilfe Benutzer ihre Identität beim Remote Access zum Unternehmensnetzwerk nachweisen können.
Lesen Sie mehr zum Thema
