Zwei-Faktor Authentifizierung - Technische Details

09.12.2016 5 Minuten Lesedauer
Inhaltsverzeichnis

SecSign ID bietet eine Authentifizierung des Nutzers anhand des mobilen Endgerätes und dem Wissen des Nutzers, um seine Identität zu bestätigen.

Zwei-Faktor Authentifizierung

Zwei-Faktor Authentifizierung

Der Nutzer gibt für die Anmeldung im Webbrowser lediglich seinen in der SecSign App gewählten Benutzernamen an und bekommt ein Symbol angezeigt. Der Nutzer wählt dann seine SecSign ID in der App aus und gibt eine PIN ein. Durch die Auswahl des richtigen Symbols in der App wird der User bei dem gewünschten Dienst angemeldet. Es sind keine weiteren Eingaben erforderlich. Die Zwei-Faktor-Authentifizierung ist ein weit verbreitetes Konzept in der EC-Kartensicherheit. Um Zugang zum EC-Automaten zu erlangen, muss der Nutzer eine EC-Karte (den Besitz) in das Gerät einführen und eine PIN (das Wissen) eingeben. Mit der SecSign ID identifizieren sich die Nutzer bei einem sicheren Webdienst mit zwei Faktoren, die auf demselben Konzept beruhen.


1
Besitz

Ein privater Schlüssel auf dem Handy des Nutzers

2
Wissen

Eine PIN oder ein Password um den privaten Schlüssel auf dem Handy nutzen zu können


Weder der Schlüssel noch das Password werden jemals über ein Netzwerk übertragen. Dadurch wird die SecSign ID, die Nutzerkonten und sensible Unternehmensdaten gegen Phishing, Malware oder direkte Angriffe gegen den Webserver geschützt.

Die gleiche Methode der Authentifizierung wird auch für das SecSign Portal genutzt. Das Portal bietet sicheren Nachrichtenversand, Datenaustausch und -speicherung für Unternehmen und Privatkunden.

Ablauf der 2FA

Ablauf der 2FA

s1

1. Der Nutzer gibt seinen Nutzernamen (SecSign ID) auf der Internetseite ein.

Das Diagramm stellt die Anfrage des Webservers an den Identitätsserver (SecSign ID Server) dar.

Was passiert in diesem Schritt?
  • a) Der Nutzer gibt seine SecSign ID durch den Internetservice an.
  • b) Der Internetservice fordert die Authentifizierung vom ID Server an.
  • c) Der ID Server sendet eine Push-Benachrichtigung an das mobile Endgerät des Nutzers.
  • d) Der ID Server sendet das Zugangssymbol an den Internetservice.
  • e) Der Internetservice zeigt das Zugangssymbol an.

s1

2. Der Nutzer wählt seine SecSign ID in der mobilen App aus und gibt seinen PIN an.

Dieses Diagramm stellt den Austausch zwischen dem mobilen Endgerät und dem SecSign ID Server dar.

Was passiert in diesem Schritt?
  • a) Die mobile App bestätigt, dass der Nutzer der rechtmäßige Besitzer der SecSign ID ist.
  • b) Der ID Server sendet das Zugangssymbol zu der mobilen App.

s1

3. Der Nutzer wählt das korrekte Zugangssymbol in der mobilen App aus.

Was passiert in diesem Schritt?
  • a) Der Nutzer bestätigt das korrekte Zugangssymbol und die mobile App sendet die Bestätigung zum ID Server.
  • b) Der Internetservice überprüft den Status der Authentifizierungssitzung.
  • c) Der ID Server bestätigt die Zugangsgenehmigung.
  • d) Der Internetservice erteilt den Nutzerzugriff.

Authentifizierung ist unschlagbar einfach für den Nutzer und dabei unübertroffen sicher. Erleben Sie es selber mit einem kostenlosen SecSign ID Account!

Die SecSign ID App erlaubt dem Nutzer, jederzeit neue Schlüsselpaare für existierende IDs zu erstellen. In diesem Prozess wird der Schlüssel auf dem mobilen Endgerät und der Schlüssel auf dem ID Server ausgetauscht.

Probieren Sie es jetzt aus!
Privater Schlüssel

Erstellung des privaten Schlüssels

Highlights
  • RSA-Verschlüsselungsmodell mit 2048-bit privatem Schlüssel
  • Der Nutzer erstellt auf dem mobilen Gerät eine ID
  • Das asymmetrische Schlüsselpaar wird erstellt für die zukünftige Authentifizierung
  • Der private Schlüssel wird erstellt und auf dem mobilen Endgerät gespeichert
  • Der öffentliche Schlüssel wird auf dem SecSign ID Server gespeichert

Details

Die SecSign ID Sitzungsauthentifizierung basiert auf einem RSA-Verschlüsselungsprinzip mit 2048-bit privaten Schlüsseln. Die SecSign ID App enthält den privaten Schlüssel des Nutzers, gesichert durch einen PIN. Der SecSign ID Server kennt den öffentlichen Schlüssel des Nutzers.
Während der Sitzungsauthentifizierung für den Login verifiziert der SecSign ID Server den Besitz des privaten Schlüssels und das Wissen des PINs. Der SecSign ID Server evaluiert die Authentifizierungsanfrage und informiert den anfragenden Service, ob der Zugang gewährt werden kann. Wenn der Nutzer die ID auf dem mobilen Endgerät erstellt, wird ein asymmetrisches Schlüsselpaar (RSA) für die zukünftigen Authentifizierungen generiert.
Der öffentliche Schlüssel wird verschlüsselt zum Server gesendet und auf dem mobilen Endgerät gelöscht. Der private Schlüssel wird mit einem PIN verschlüsselt und auf dem mobilen Endgerät gespeichert. Weder der PIN noch der private Schlüssel wird jemals übertragen. Daher kann keine der Informationen durch eventuelle Hacker-Angriffe abgefangen werden. Diese Prozedur schützt die Daten vor Phishing Attacken und direkten Attacken gegen den ID Server.

Challenge-Response Authentifizierung

Challenge-Response Authentifizierung mit 2048-Bit RSA Schlüsselpaaren

Ablauf
  • Der Nutzer gibt den Nutzernamen (SecSign ID) im Internetbrowser an.
  • Der ID Server verifiziert, ob das mobile Endgerät des Nutzers den privaten Schlüssel hat, der mit der ID assoziiert ist.
  • Der ID Server sendet eine zufällige Nummer (Challenge) an das mobile Endgerät
  • Das mobile Endgerät signiert die Challenge mit dem privaten Schlüssel und überträgt das Ergebnis an den Server.
  • Der ID Server verifiziert die Signatur der Challenge mit dem öffentlichen Schlüssel, der auf dem Server gespeichert ist.

Details

Nachdem der Nutzer den Benutzernamen im Internetbrowser eingegeben hat, startet der ID Server automatisch eine Authentifizierungssitzung für diese ID. Dabei verifiziert der ID Server ob das mobile Endgerät den privaten Schlüssel zu der entsprechenden ID besitzt. Dies geschieht durch eine Challenge-Response Authentifizierung mit einem einfachen vierstelligen PIN auf dem mobilen Endgerät.

Während der Challenge-Response Authentifizierung sendet der Server eine zufällige Nummer (Die Challenge) an das mobile Endgerät. Das mobile Endgerät signiert die Challenge mit dem privaten Schlüssel und überträgt das Ergebnis zurück an den Server. Der Server verifiziert daraufhin die Signatur der Challenge mit dem entsprechenden öffentlichen Schlüssel. Eine erfolgreiche Verifikation beweist den Besitz des privaten Schlüssels, da dieses Prozedere nur mit dem korrekten PIN möglich ist.

Der Nutzer liefert dann die finale Konfirmation seiner Identität, indem er das korrekte Zugangssymbol auf dem mobilen Endgerät auswählt, dass dem entsprechenden Symbol im Internetbrowser entspricht.

JETZT AUSPROBIEREN! ERFAHREN SIE MEHR ÜBER SECSIGN ID SECURITY

Warum ist die SecSign ID sicher?

Warum ist die SecSign ID so einzigartig sicher?

Was macht die Authentifizierung mit der SecSign ID so einzigartig sicher? Die SecSign ID sichert Ihre Daten nicht nur, sie schützt sie. Eine Challenge Response Authentifizierung mit 2048 Bit Schlüsselpaar macht die Übertragung von empfindlichen Daten absolut unnötig. Und was Ihr Setup nicht verlässt, kann auch nicht abgefangen werden!
Wir bei SecSign arbeiten seit über 18 Jahren mit PKI Strukturen und wir wissen, was wir tun.

Der Schutz des privaten Schlüssels auf dem Gerät des Endnutzers ist der Indikator, wie sicher eine Challenge Response Authentifizierung ist. Wir bieten unseren Kunden die Wahl zwischen den zwei sichersten Methoden der Schlüsselsicherung an.


Die beste Verschlüsselung mit dem patentierten SecSign ID SafeKey Verfahren- vierfacher Schutz!

Im Gegensatz zu anderen Verschlüsselungsmethoden kann der Schlüssel geschützt mit dem SafeKey Verfahren nicht durch Brute Force Angriffe entschlüsselt werden. Der Schlüssel hat keine nachvollziehbare Struktur.

Selbst wenn ein Angreifer den PIN oder das Passwort kennt und den Schlüssel „entziffert“, kann er nicht verifizieren, ob der „entzifferte“ Schlüssel tatsächlich der passende Schlüssel ist oder nicht.
Nur durch das Challenge-Response Verfahren mit dem ID Server kann diese Information herausgefunden werde. Der ID Server block die ID allerdings nach 10 (oder weniger, je nach Ihren individuellen Einstellungen) Authentifizierungsversuchen. Bei einer Brute Force Attacke werden weit mehr als 10 Versuche benötigt, um den PIN oder das Passwort des Nutzers zu erhalten.

Das SafeKey Verfahren ist allen anderen Verschlüsselungsmethoden überlegen. Es kann mit neuen oder älteren Endgeräten benutzt werden, und unterstützt Android, iOS oder Windows. Darüber hinaus ist es schneller als alle anderen Methoden. Und da dieses Verfahren nur von uns benutzt wird, ist es für Angreifer weniger lukrativ, Zeit in eine Attacke zu investieren.


TEE Verfahren für iOS und Android Geräte

Das TEE ist ein separater Bereich in der zentralen Entwicklungseinheit des Gerätes, das heutzutage die meisten mobilen Geräte eingebaut haben.
Es ist nicht durch Hardware mit dem regulären Prozessor verbunden und läuft auf einer individuellen Firmware. Es bietet nur ein paar wenige, für den Schutz der Daten relevante Funktionen. Die Firmware und Interface sind minimalistisch gehalten, um die Angriffspunkte zu reduzieren und direkten Zugriff auf den Speicher zu verhindern.

Das TEE schützt die kyptografischen Schlüssel davor, kopiert zu werden, beispielsweise wenn das Gerät mit einem Virus infiziert wurde. Im TEE wird ein asymmetrisches Schlüsselpaar erstellt, und nur die entsprechende erstellende App hat Zugriff auf den öffentlichen Schlüssel. Auf den private Schlüssel kann nur vom TEE zugegriffen werden. Informationen werden von der App zum Signieren durch den privaten Schlüssel geschickt, und das Ergebnis (niemals der Schlüssel selber) werden zurück an die App geschickt. So kann, selbst wenn das Gerät kompromittiert wurde, der private Schlüssel niemals einfach ausgelesen werden.

Das TEE kann mit sogenannten vertrauenswürdigen Anwendungen über eine interne API kommunizieren. Dadurch wird eine sichere Authentifizierung ermöglicht, ohne empfindliche Daten an das rich OS zu übertragen.

Für mehr Informationen über unsere PKI Prozeduren und sichere Authentifizierung kontaktieren Sie uns bitte oder laden Sie unser Whitepaper herunter..


2FA Definition

Moment, ist das denn immer noch eine Zwei-Faktor Authentifizierung?

Mit der SecSign ID können Sie Ihr Mobiltelefon nutzen, um sich bei jedem mobilen Login oder App zu authentifizieren. Aber ist das noch eine richtige Zwei-Faktor Authentifizierung? Wo ist der zweite Faktor?

Eine Zwei-Faktor Authentifizierung ist so definiert, dass sie zwei unterschiedliche Kommunikationskanäle haben muss. Mit der SecSign ID haben Sie immer noch zwei verschlüsselte Kanäle: Den Browser und die App. Selbst wenn Sie ein SDK nutzen um die 2FA in ihre App zu integrieren, bleiben die zwei getrennten Kanäle bestehen.
Um sich erfolgreich in seinem Account einzuloggen, braucht der SecSign ID 2FA Nutzer zwei Faktoren: Besitz des mobilen Gerätes und entweder Wissen über den PIN, oder biometrische Identifizierung.
Es ist nicht möglich, Loginversuche zu abzufangen, da der private Schlüssel auf dem mobilen Gerät gespeichert ist und nicht einfach auf ein anderes Gerät überspielt werden kann.

Individuelle App

Maßgeschneiderte Authentifizierung mit der individuell angepassten App



Optimieren Sie Ihre Markenidentität mit einem individuellen Firmenlogin. Wir bauen Ihnen Ihre 2FA Firmen-App, bieten SDKs für eine unkomplizierte Integration in existierende Apps oder passen die SecSign ID App Ihrer Firmenidentität an.

Mehr Informationen

Ihr eigener ID Server

Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!

Mehr Erfahren
On Premise 2FA ID

Letzte Blog Einträge, Neuigkeiten & Funktionen

Zwei-Faktor Authentifizierung (2FA) vs. Zwei-Schritt Authentifizierung (2SA)

Zwei-Faktor Authentifizierung und Zwei-Schritt Authentifizierung sind zwei Möglichkeiten, den Login Ihrer Nutzer abzusichern. Beide Optionen können, abhängig von Ihren Anforderungen und Bedingungen, Ihren Nutzern eine sichere A ...

Mehr Lesen

Crowd SSO

Inhalt Vorbedingungen für die Einrichtung Installieren und Einrichten der einzelnen Komponenten als Server-Anwendung Einrichten von Crowd für die zentrale Benutzerverwaltung Einrichten der Applikation (z.B. JI ...

Mehr Lesen

Was ermöglicht Crowd?

Das SecSign ID Crowd Plugin kann schnell und einfach integriert werden. Ausführliche Informationen über das Plugin und die Integration können den folgenden Seiten entnommen werden. Sie haben noch Fragen? Zögern Sie n ...

Mehr Lesen
Do NOT follow this link or you will be banned from the site!