Twitter, Google+ & Co. haben in den letzten Monaten auf die teilweise massive Kritik ihrer Nutzer reagiert, die anlässlich von gehackten Accounts mehr Sicherheit gefordert haben. Wie viele andere Unternehmen setzen die sozialen Netzwerke auf eine Zwei-Faktor Authentifizierung, um die persönlichen Daten Ihrer Nutzer besser zu schützen. [...]
Auslöser dieser neuen Sicherheitsmaßnahme sind Hacker, die in den vergangenen Monaten die Accounts bekannter Medien übernahmen und dort Falschmeldungen oder aber Werbung verbreiteten. Dass sich Unternehmen von der Implementierung einer Zwei-Faktor Authentifizierung eine Verbesserung der Sicherheit erhoffen, ist historisch begründet. 2005 mussten Banken in den USA ihr Identitätsmanagement umstellen und einen zweiten Faktor einführen, um ihren Kunden mehr Sicherheit zu bieten. Die Idee damals, wie heute ist, dass jemand, der sich auf einen Account einloggt, etwas haben und außerdem etwas wissen oder etwas sein muss. In allen Fällen geht es darum, ein positives Image zu erzeugen, damit die User nicht in Scharen davon laufen und die Lösungen von Marktbegleitern nutzen.
Bei Unternehmen ist dies anders gelagert. Mitarbeiter müssen die Ihnen zur Verfügung gestellten Services nutzen, um Informationen auszutauschen. Eine entscheidende Rolle spielt hier die Anmeldung aus der Ferne, denn Mobilität und Flexibilität erfordern, dass sich mit allen Geräten überall auf Daten zugreifen lässt, ohne dass irgendjemand mitliest. Hacker haben es bei herkömmlichen Anmelde-Prozessen leicht, via eines Man-in-the-Middle-Angriffs, durch Keylogger, Social Engineering, Phishing oder Sniffing den Zugang auszuspionieren und Diebstahl zu betreiben. Dies kann sogar den hart erarbeiteten Technologie-Vorsprung kosten, wenn die gestohlenen Informationen an die Konkurrenz verkauft werden. Die Schwierigkeit besteht darin, dass der Remote-Mitarbeiter bei der Anmeldung von unterwegs bzw. aus dem Home Office anonym ist. Dementsprechend kann eine gestohlene Identität auch dazu führen, dass über eine lange Zeit Daten aus dem Unternehmen gestohlen werden können, ohne dass dies dort auffällt. Eine traditionelle Lösung des Problems ist der Einsatz von Hardware-Token. Über einen zweiten Faktor in Form eines One-Time-Passcodes (OTP) wird ein zusätzliches Passwort generiert, das nur für einen Anmeldevorgang gültig ist. Allerdings ist die Akzeptanz dieses Verfahrens bei Anwendern eher gering, da sie diesen Hardware-Token immer bei sich tragen müssen, wenn sie auf das Unternehmensnetzwerk, auf geschützte Webseiten oder Cloud-Services zugreifen wollen. Noch dazu verursacht ein verlorengegangener Hardware-Token Kosten durch den administrativen Aufwand und dadurch, dass die Token regelmäßig ersetzt werden müssen, da die Laufzeit der Batterie begrenzt ist und damit die zuverlässige Generierung von OTPs nicht mehr gewährleistet ist.
Ein Verfahren ohne ein zusätzliches Gerät, also die sogenannte Zwei-Faktor Authentifizierung ohne Hardware-Token, birgt den Vorteil, dass der zweite Faktor ohne Zusatzhardware empfangen oder generiert werden kann. Technologien wie SecurAccess setzen zur Übermittlung dieses Passworts auf bereits vorhandene Geräte, die der Anwender sowie so mit sich führt. Meistens sind das Smartphones und Tablets. Die Lösung bietet mehrere sichere Authentifizierungsvarianten an. Da dies immer ohne zusätzliche Hardware erfolgt, spricht man bei diesen Verfahren von „tokenless“ also einer Zwei-Faktor Authentifizierung ohne Hardware-Token. Das Einmalpasswort ist an die Session-ID der aktuellen Remote-Sitzung gebunden und ungültig, wenn die Session endet.
Be the first to comment