Neininger Blog

Doppelt hält besser – Zwei-Faktor-Authentifizierung

Geschrieben von Tim Schlenker | 19.07.2021 06:31:12

Durch Online-Banking, soziale Medien und Online-Shopping werden viele Facetten unseres Alltags zunehmend digitalisiert. Auch aus dem beruflichen Alltag sind Online-Plattformen wie Microsofts Office-365 und andere Cloud-Anwendungen nicht mehr wegzudenken. Während diese digitalen Angebote im privaten Bereich hauptsächlich alltägliche Vorgänge wie Banküberweisungen oder Einkäufe vereinfachen, indem sie diese bequem von zu Hause aus ermöglichen, schaffen Cloud-Anwendungen im geschäftlichen Umfeld vollständig neue Möglichkeiten der beruflichen Interaktion, wie zum Beispiel die Kollaboration per Office-365. Beide Bereiche verbindet hierbei jedoch ein entscheidender Faktor: Der Umgang mit sensiblen Daten.

Um sensible Daten auf Online-Plattformen angemessen zu schützen reicht eine einfache Passwortauthentifizierung längst nicht mehr aus. Immer wieder geraten Passwörter über gestohlene Passwortdatenbanken, Malware oder andere Wege in die Hände böswilliger Akteure. Ein zusätzlicher Sicherheitsmechanismus, der nicht auf einem einzigen Parameter basiert, ist notwendig, um die Gefahr einer Kompromittierung zu minimieren. Hier schafft die Zwei- oder Multi-Faktor-Authentifizierung Abhilfe.

Authentifizierungsfaktoren lassen sich grob in drei Bereiche unterteilen:

  • Besitz: Physikalische Gegenstände, die eine Entität eindeutig authentifizieren, wie beispielsweise eine Smartcard oder ein USB-Dongle
  • Wissen: Informationen, die eine Entität eindeutig authentifizieren, wie beispielsweise ein Passwort oder die Antwort auf eine spezifische Sicherheitsfrage
  • Eigenschaften: Eigenschaften, die eine Entität authentifizieren, wie beispielsweise Fingerabdrücke oder Retina-Scans bei Menschen oder die Zuordnung einer bestimmten Gruppenzugehörigkeit bei Benutzer-Accounts

Neben dem Authentifizierungsmerkmal Passwort aus dem Bereich Wissen kommt bei der Multi-Faktor-Authentifizierung noch mindestens ein weiterer Faktor aus den Bereichen Besitz oder Eigenschaften hinzu. Eine beliebte Form der Authentifizierung stellen hierbei zeitbasierte Zahlencodes dar, die zusätzlich zu einem Passwort eingegeben werden müssen. Durch eine Smartphone-App oder zusätzliche Hardware-Tokens können diese so genannten TOTP-Codes mit einer Anwendung und einem Benutzerkonto verknüpft und dann fortlaufend generiert werden. So auch beim Authenticator der Firma REINER SCT.

Als eigenständige Hardware kann der Authenticator QR-Codes mit einer kleinen Kamera auf der Rückseite einscannen und dann vollautomatisch neue Verknüpfungen generieren, die alle 30 Sekunden einen neuen Zahlencode zur TOTP-Authentifizierung bei den entsprechenden Anwendungen generieren. Dabei verwendet der Authenticator einen offenen Standard, wodurch sichergestellt wird, dass auch zukünftige Anwendungen Unterstützung finden, indem sie diesen Standard für ihre Authentifizierungen implementieren.

Das Einlesen von neuen TOTP-Zugängen stellt aber nicht die einzige Funktion des Kameramoduls dar. Mit einem patentierten Verfahren ermöglicht REINER SCT den Nutzern des Authenticators auch ein Firmwareupdate durch das simple Scannen mehrerer QR-Codes. Die Installationsanweisungen und die Firmware selbst sind hierbei grafisch in den QR-Codes codiert. So kann sichergestellt werden, dass das Gerät stets durch den Benutzer mit neuer Firmware versorgt werden kann, ohne die Sicherheit durch offene Kommunikationsschnittstellen wie USB oder Bluetooth zu gefährden.

Bis zu 60 Einträge aus einer breiten Auswahl an Anwendungen können aktuell im REINER SCT Authenticator als TOTP-Zugang angelegt werden. Der Zugriff auf das Gerät selbst kann außerdem über einen PIN-Code geschützt werden. Dedizierte Hardware für Multi-Faktor-Authentifizierung wie beim Authenticator stellt somit eine sinnvolle Verbesserung zu bekannten Verfahren dar und kann maßgeblich zur Steigerung der Sicherheit im Umgang mit Cloud-Anwendungen und anderen Online-Plattformen beitragen.

 

 

Möchten Sie Ihre sensiblen Daten besser schützen? Sprechen Sie mit unserem Experten für Cloud & IT-Security.