Eine Zwei Faktor Authentifizierung mit Apples Touch ID

12.09.2014 / 0 Comments

Schon vor der Veröffentlichung von Apples neuem iOS 8-Betriebssystem für iPhones und iPads gab es eine große Aufregung um die neuen Features. Eine der größten Auswirkungen könnte iOS 8 auf die Anmeldefreundlichkeit für Apps haben. Hier hat Apples Touch ID API die Möglichkeit eröffnet, das Scannen des Fingerabdrucks als biometrischen Nachweis für die Anmeldung an anderen Apps zu nutzen.

Für sich allein ist die Zwei Faktor Authentifizierung ein Superkonzept, allerdings erfordern fast alle bekannten Zwei-Faktor-Lösungen für den Anmeldevorgangs die Eingabe eines Passworts durch den Nutzer. Das stellt für Kriminelle einen permanenten Anreiz dar, bestehende Sicherheitslücken und -schwächen auszunutzen und durch Hacker- und Phishingangriffe sowie mithilfe von Schadprogrammen Zugriff auf Nutzerkonten zu erlangen.

Die Beseitigung von Passwörtern und SMS-Codes mit der biometrischen Zwei Faktor Authentifizierung

Die Endphase in der Internetkriminalität stellt der Diebstahl von Passwörtern und anderen sensiblen Nutzerdaten dar, die dann für den Zugriff auf persönliche, vertrauliche und finanzielle Daten auf Nutzerkonten und Servern verwendet werden. Somit wird jeder Dienst, der weiterhin auf Passwörter oder andere sensible Zugangsdaten für den Anmeldevorgang setzt, automatisch zu einer idealen Zielscheibe für Cyber-Attacken.

Die meisten Zwei Faktor Authentifizierungslösungen nutzen SMS-Textcodes, um eine verstärkte Sicherheit der traditionellen Kombination aus Benutzernamen und Passwort zu bieten. Mit diesen Lösungen müssen sich Nutzer unter Verwendung ihres Benutzernamens und Passwortes anmelden und erhalten daraufhin auf ihren Mobilgeräten per SMS einen speziellen Einmal-Zugangscode (OTC, OTP). Dieser Code muss während des Anmeldevorgangs eingegeben werden, um die Identität der Nutzer zu bestätigen und die Anmeldesitzung zu authentifizieren.

Obgleich eine SMS basierte Zwei Faktor Authentifizierung eine größere Sicherheit bietet als die Kombination aus Benutzernamen und Passwort alleine, hat sich die SMS-Methode bereits leider als hochgradig unsicher und anfällig für Angriffe mit Exploits herausgestellt. Cyberkriminelle haben bereits diese Exploits verwendet, um Schweizer Banken anzugreifen und Malware sowie Man-in-the-middle-Angriffe zu nutzen, um dieselben Arten von SMS basierten Zwei Faktor Authentifizierungen auszutricksen, die von namhaften Unternehmensgrößen auch im Technologiebereich genutzt werden.

Dadurch wurden Spekulationen über das Potential von Apples biometrischem Fingerabdruck-Scanner als einer neuen Form der Sicherheit für Nutzerkonten und als Hilfe für Entwickler und Unternehmen laut.  Infolge dessen wurden auch die Schwächen von Zwei Faktor Authentifizierungen angesprochen. Wie Dan Goodin, Sicherheitsredakteur bei Ars Technika es  auf den Punkt gebracht hat: „Eine echte Zwei Faktor Authentifizierung für das iPhone hinzuzufügen wäre in der Tat etwas, das ich als innovativ ansehen würde.“

Indem Apple nun seine Touch ID API Entwicklern zur Verfügung stellt, ist dies zur Realität geworden. Durch das Ersetzen der SMS-Codes mit Apples biometrischer Erkennung des Fingerabdrucks ist es jetzt möglich, eine Überprüfung zur Anmeldung auf Webseiten, Apps und Netzwerken zu nutzen, die einige Probleme gängiger Zwei Faktor Authentifizierungsmethoden umgeht. Das Problem der Übertragung und Speicherung von Passwörter bleibt hier jedoch bestehen.

 

Die Verwendung von Apples Touch ID Fingerprint zur Anmeldung auf Webseiten, Apps und Netzwerken

Entwickler und Unternehmen können mit der richtigen Verschlüsselung und Technologie die Internetsicherheit einen großen Schritt nach vorne bringen, indem sie eine Zwei Faktor Authentifizierung anwenden, die nicht nur den Touch ID Fingerprint zur Überprüfung nutzt, sondern ebenfalls Passwörter und andere sensiblen Zugangsdaten aus dem Anmeldevorgang verbannt. Somit ist es nun möglich, eine zweistufige Überprüfung anzubieten, die ohne die Verwendung, Übertragung und Speicherung sensibler oder vertraulicher Zugangsdaten auskommt. Somit wird es für Angreifer praktisch unmöglich, Zugangsdaten zu stehlen und damit auf Nutzerdaten zuzugreifen.

SecSign Technologies, ein Unternehmen aus dem Bereich der Datensicherheit und Verschlüsselung, hat die Touch ID bereits in sein Produkt SecSign ID eingebaut. Damit wird eine Multi-Faktor Authentifizierung zur Verfügung gestellt, die die Verwendung von Passwörtern während des Anmeldeprozesses weglässt und den zusätzlichen Schutz, den Apples Fingerprint bietet, integriert hat. Passwörter werden bei der SecSign ID durch 2048-Bit lange, kodierte Schlüsselpaare ersetzt. Ebenso wird eine Public Key Infrastruktur (PKI), die dieselben Prinzipien und Kernelemente der Smartcard-Sicherheit zugrunde legt, verwendet. Mit der SecSign ID wird sicher gestellt, dass sensible Zugangsdaten niemals während der Anmeldung eingegeben, zwischen dem Authentifzierungsserver und dem Mobilgerät des Nutzers übertragen oder auf einem Server gespeichert werden.

Für den Nutzer einer solchen Authentifzierungsmethode ist der Anmeldevorgang denkbar einfach:

  1. Eingabe des nicht vertraulichen Benutzernamens, der in der kostenlosen mobilen SecSign App ausgewählt und registriert wurde
  2. Bestätigung der Anmeldung per Fingerabdruck und mit dem Besitz des 2048-Bit langen privaten Schlüssels, der auf dem Mobilgerät des Nutzers gespeichert ist
  3. Auswahl des korrekten Zugangssymbols in der SecSign ID App. Das auszuwählende Symbol ist identisch mit dem Symbol, das in der Anmeldemaske des Dienstes, der die SecSign ID nutzt, angezeigt wird.

Mithilfe dieser unkomplizierten Schritte kann der Nutzer sich innerhalb von Sekunden anmelden und authentifizieren.

Ein starker Anmeldeschutz, der Attacken durch Hacking, Phishing oder Schadprogramme nutzlos macht

Die Sicherheit, die dem Ganzen zugrunde liegt, wurde von Experten entworfen und gebaut, die den stärkstmöglichen Schutz im Sinn hatten. Die Anmeldung erfolgt auf der Webseite oder App lediglich durch die Eingabe eines nicht vertraulichen Benutzernamens. Diese Eingabe löst auf dem Authentifzierungsserver die Herausgabe einer sogenannten Challenge aus, die durch die kostenlose mobile SecSign ID App auf das Mobilgerät des Nutzers gesendet wird. Diese Challenge muss mit einem 2048-Bit langen, kodierten privaten Schlüssel signiert werden, der in der App auf dem Mobilgerät des Nutzers gespeichert ist. Der Schlüssel wird selbst bei Verlust oder Diebstahl des Mobilgeräts des Nutzers durch einen patentierten SafeKey-Mechanismus vor Brute Force Angriffen geschützt.

Zur Identitätsüberprüfung, und um dem privaten Schlüssel zu gestatten, die Challenge digital zu signieren, kann der Nutzer schnell den erforderlichen Fingerabdruck mithilfe von Apples Touch ID Scanner scannen. Nutzern, die über kein iOS 8-Gerät verfügen, bietet die SecSign ID die Möglichkeit, ihre Identität mit einer vierstelligen PIN bzw. einem vierstelligen Passcode nachzuweisen. Auch kann die Überprüfung per Touch ID mit der vierstelligen PIN / dem vierstelligen Passcode kombiniert und somit eine Drei Faktor Authentifizierungsmethode erzeugt werden.

Hierdurch wird auf die anfänglichen Bedenken gegenüber der Verwendung von biometrischen Merkmalen wie dem Fingerabdruck für Anmeldezwecke eingegangen. Die Befürchtungen waren, dass es theoretisch möglich sei, den Fingerabdruck einer Person nachzubilden und damit unerlaubten Zugriff auf ein Nutzerkonto zu erlangen. Die SecSign ID kann jedoch den Fingerabdruck eines Nutzers mit zusätzlichen Nachweisanforderungen kombinieren. Somit wird es selbst mit einem nachgebauten Fingerabdruck für einen nicht autorisierten Nutzer quasi unmöglich, sich auf einem (mit der SecSign ID abgesicherten) Dienst anzumelden.

Wichtig: Weder der Fingerabdruck noch PIN oder Passcode werden jemals übertragen. Sie werden lediglich innerhalb der mobilen App verwendet, um die Identität und den rechtmäßigen Besitz des privaten Schlüssels nachzuweisen.

Daher wird für all diese Überprüfungsmethoden nichts an den Authentifzierungsserver übertragen oder in einer Datenbank gespeichert. Somit ist auch praktisch nichts vorhanden, das Angreifer von einem Server oder während des Anmeldevorgangs mithilfe von Brute-Force, Phishing, oder Malware stehlen können.

Schützen Sie Ihre Back-end Identity Access Management (IAM)-Systeme mit einer 2048-Bit PKI- Authentifizierung, die Anmeldungen mit Apples Fingerprint unterstützt

Wie John Fontana von ZDNet bereits hervorhob: „Damit die Verwendung der Touch ID wirkliche ernstzunehmende Auswirkungen nach sich zieht, bedarf es einer Integration in Back-end IAM-Systeme, für dessen Entwicklungen Unternehmen bereits Millionen ausgegeben haben. Es muss zu einem Authentifizierungsfaktor für alle Anwendungen werden.“

Die PKI-Authentifzierungstechnologie der SecSign ID erreicht dies mit zwei Optionen, die die Integration der Touch ID zur Verwendung mit allen Unternehmensanwendungen, Netzwerken und anderen Systemen erlauben. Die erste Option ist die kostenlose Anwendung in der Cloud sowie der Integration mithilfe von unkomplizierten Plugins für Entwickler. Die zweite Option ist die Anwendung als Inhouse Lösung, was eine Installation innerhalb der firmeneigenen Architektur und hinter der Firewall des Unternehmens bedeutet. Dies bietet eine zentralisierte Administration und Berichterstellung.

Die Einführung von SecSign IDs mobiler Zwei Faktor Authentifizierung kombiniert mit der Überprüfung durch die Touch ID ist ein bemerkenswerter Durchbruch für Entwickler und Organisationen, die verpflichtet sind, die höchstmögliche Sicherheit zum Schutz von Nutzerkonten und vertraulichen Daten einzusetzen. Mit Apples offizieller Veröffentlichung von iOS 8 steht die SecSign ID davor, die erste Lösung zu werden, die Entwicklern und Unternehmen Apples biometrischen Nachweis per Fingerabdruck für eine sichere Zwei Faktor Anmeldung bereit stellt.

Sie können das Login mit Touch ID direkt ausprobieren. Laden Sie dazu nur die iOS SecSign ID App aus dem AppStore herunter.

Unser kurzes Video zum Touch ID Zwei Faktor Authentifizierungsprozess bietet Ihnen einen knappen, anschaulichen Überblick. Um mehr über SecSign Technologies und die SecSign ID zu erfahren, besuchen Sie uns gerne unter https://www.secsign.com/de

 

 

Letzte Blog Einträge, Neuigkeiten & Funktionen

Crowd SSO

21.09.2017

Read More
Do NOT follow this link or you will be banned from the site!