CloudMobile ComputingNewsSecurity

Tokenlose Zwei-Faktor Authentifizierung mit Wearables

Zwei-Faktor Authentifizierung sichert die eindeutige Identifizierung von Anwendern und schützt Unternehmensnetzwerke, Cloud- und Web Applikationen, auf die über VPN oder andere Remote Access-Plattformen zugegriffen werden soll. Ab jetzt lässt sich die Technologie auch über Wearables wie Smart-Watches, Google-Glases und ähnlichen Devices einsetzen.

Lange Zeit galten Hardware-Token als alternativlos. „Tokenlose“ Verfahren lösen diese aber nach und nach ab, denn sie sind mittlerweile sicherer und deutlich flexibler. So werden die Algorithmen zur Errechnung der Einmalpasswörter (One Time Password, OTP), die sogenannten Seed-Records, im Vergleich zu vielen Token-Lösungen im Markt nicht beim Hersteller gespeichert. Darüber hinaus muss keine zusätzliche Hardware eingekauft und verwaltet werden. Anwender brauchen keine weiteren Geräte vorzuhalten und können darüber hinaus auch noch aus mehreren Authentifizierungsverfahren auswählen.

Eine tokenlose Zwei-Faktor-Authentifizierung stellt also gegenüber der Usability von Hardware-Token bereits eine deutliche Verbesserung dar. Nun können nach Smartphones auch Wearables zur Authentifizierung genutzt werden. Der zweite Faktor am Handgelenk ist über Smart-Watches verschiedener Hersteller bereits Realität. Über NFC kann der Passcode zukünftig vom mobilen Device auf das Notebook oder dem PC übertragen werden, ohne dass der User den zweiten Faktor manuell eintragen muss. Da NFC momentan noch nicht bei jedem Hersteller verfügbar ist, testet SecurEnvoy gerade die Optionen und die Sicherheit bei der Passcode-Übertragung durch den etablierten Standard Bluetooth SecurAccess und bietet Anwendern darüber hinaus folgende Verfahren an:

  • SMS Passcode Verfahren: Die Authentifizierung erfolgt hier über ein OTP per SMS, auch SMS Passcode Verfahren genannt. Neben der Verwendung von Soft-Token ist dies die aktuell gängigste Methode. Der Zugangscode oder der Passcode (numerisches Passwort) wird per SMS nach erfolgreicher Anmeldung über Name und Passwortabfrage zugestellt. Dieses Verfahren ist für die meisten Anwender ein geeignetes und sicheres Verfahren.
  • Pre-Loaded SMS: Ein weiteres Verfahren, das eine SMS als Übertragungsmittel einsetzt, ist der Pre-Loaded SMS Passcode. Nach jeder OTP-Nutzung wird bei aktiver Netzverbindung sofort ein neues OTP gesendet. Damit wird sichergestellt, dass der SMS Passcode auch bei temporär unterbrochener Netzverfügbarkeit immer vorhanden ist. Das von SecurEnvoy patentierte Verfahren aktualisiert den Passcode in der vorhandenen SMS und sendet nicht jedes Mal eine neue SMS.
  • OTP per E-Mail oder E-Mail Passcode: Das Einmalpasswort wird hier per E-Mail zugestellt. Das Sicherheitsniveau ist hier deutlich geringer, wenn der Remote-Access und der E-Mail Passcode Empfang auf einem Gerät stattfindet.
  • Soft-Token: Das Soft-Token ist ein sicheres Offline-Verfahren, das heißt es funktioniert auch ohne GSM-Verbindung. Soft-Token Apps sollten auf allen gängigen Smartphones oder Tablets funktionieren und erstellen idealerweise einen Fingerprint der genutzten Devices und speichern Teile der Sicherheitsmerkmale auf dem Smartphone und dem Authentifizierungs-Server. Der Soft-Token ist immer nur für eine kurze Zeit gültig und wird dann von der App automatisch wieder aktualisiert.
  • VoiceCall: Für den VoiceCall ist weder ein Smartphone noch ein anderes Gerät notwendig. Das Verfahren eignet sich vor allem für Anwender im Home-Office. Hierbei wird der Passcode meist über die Telefontastatur eingegeben.
  • OneSwipe mit QR-Code: Das Verfahren funktioniert wie die Photo-TAN. Bei der Anmeldung in der Soft-Token App wird ein einmal gültiger QR-Code erzeugt, der dann die erfolgreiche Authentifizierung ermöglicht.

Alle beschriebenen „tokenlosen“ Verfahren sind bei SecurAccess enthalten. Unternehmen legen fest, welche Verfahren sie Ihren Mitarbeitern anbieten wollen und der User wählt situativ die richtige Methode aus.

Weitere Informationen: www.prosoft.de/produkte/securaccess