Twitter, Google+ & Co. haben in den letzten Monaten auf die teilweise massive Kritik ihrer Nutzer reagiert, die anlässlich von gehackten Accounts mehr Sicherheit gefordert haben. Wie viele andere Unternehmen setzen die sozialen Netzwerke auf eine Zwei-Faktor Authentifizierung, um die persönlichen Daten Ihrer Nutzer besser zu schützen. [...]
WAHLFREIHEIT BEIM ÜBERTRAGUNGSMEDIUM
Bislang werden vor allem beim Online-Banking SMS zur Übermittlung des Einmalpassworts in Echtzeit benutzt. Doch auch Unternehmen nutzen dieses Verfahren. Die Sicherheit besteht hier darin, dass die Meldung nur an die Mobilfunknummer gesendet wird, die im Active Directory hinterlegt wurde. Damit wird vermieden, dass der SMS-Empfang auf andere Geräte umgeleitet wird. Doch nicht überall ist die SMS das Mittel der Wahl und nicht jeder mag und kann eine SMS nutzen. Für den sicheren Login in abgelegenen Gegenden ohne oder nur mit schwachem Empfang, im Ausland oder in abgeschotteten Räumen sorgen Roaming-Gebühren für hohe Kosten und der schlechte Empfang für lange Wartezeiten. Mit einer flexiblen Lösung kann man sich ein Passwort auch vorab per SMS schicken lassen und dieses zur Authentifizierung nutzen, auch wenn man keine stabile Netzabdeckung hat. Wenn dieses genutzt wurde, dann wird die SMS mit einem neuen Einmalpasswort automatisch aktualisiert, sobald das Mobiltelefon wieder Netz hat.
Allerdings sollten flexible Zwei-Faktor Authentifizierungen nicht nur eine Übertragungsvariante zulassen. Verschiedene Lösungen bieten deshalb neben der SMS auch die Übermittlung per E-Mail an. Diese Möglichkeit kann in Blackberry-Umgebungen sogar auch die erste Wahl sein. Eine weitere Möglichkeit besteht darin, das Passwort über eine spezielle App zu generieren oder den sechsstelligen Code per Telefonanruf übermittelt zu bekommen. Wird eine App genutzt, dann verwandelt sich das eigene Smartphone, Tablet oder der eigene Laptop zum Token. In diesem Fall wird das Passwort mit einem sicheren Algorithmus jeweils synchron auf dem Smartphone und im Unternehmen berechnet und ist nur für eine kurze Zeit gültig. Gibt der Mitarbeiter dieses ein, wird der Zahlencode am Unternehmensserver verglichen und erst bei der Übereinstimmung der Zugang erlaubt. Damit die App bei einem Verlust nicht missbraucht wird, wird auf dem Gerät ein Fingerabdruck aus unterschiedlichsten Hardware-Informationen erstellt und im Unternehmen gespeichert abgelegt. Beim Wechsel eines Gerätes bzw. bei einem neuen Gerät ist ein Self-Enrollment, also die Authentifizierung von Device und User über ein sicheres Verfahren ohne Interaktion durch den Helpdesk wünschenswert. Wird der Telefonanruf als Übertragungsmedium gewählt, wird der Anwender beim Login angerufen und zum Eintippen des am Bildschirm angezeigten Codes über die Telefontastatur in das Telefon aufgefordert. Stimmt das Passwort überein, wird der Zugriff zugelassen. Dieses Verfahren eignet sich gut für User im Home-Office.
Zwei-Faktor Authentifizierung ist in punkto Security bei Remote-Zugriffen State of the art. Eine „tokenlose“ Zwei-Faktor Authentifizierung ist teilweise sicherer, effektiver, und beim Anwender deutlich mehr akzeptiert als traditionelle Hardware-Token. Unternehmen haben damit deutlich weniger Aufwand, schützen Ihre Daten und Zugänge, sparen Kosten und ermöglichen Ihren Usern eine situationsgerechte sichere Anmeldung.
* Robert Korherr ist CEO der Prosoft Software Vertriebs GmbH.
Be the first to comment