Zwei Faktor Authentifizierung und zweistufige Bestätigung im Vergleich

07.11.2014 / 0 Comments

Grundlagen der Zwei Faktor Authentifizierung und der zweistufigen Überprüfung (2-Step Verification )

Tagtäglich sind die Meldungen aus der IT-Branche voll von den neuesten Geschichten über Verbrecher, die es geschafft haben, Unternehmen, Banken, Webseiten und beliebten Internetdiensten vertrauliche Zugangsdaten und andere Informationen zu stehlen.

Der Schlüssel zum illegalen Zugriff auf Daten sind für Hacker gestohlene Nutzerdaten wie z.B. Passwörter, die dann dazu verwendet werden, Zugang zu Konten zu bekommen und sich sodann in Server oder Datenbanken zu hacken oder Schadprogramme zu installieren, um damit an weitere sensible Informationen zu gelangen.

Der gemeinsame Nenner bei all diesen Berichten ist der Rat von IT-Sicherheitsexperten und Reportern, wie diese Angriffe zu verhindern sind: Nutzer und Unternehmen sollten eine Zwei Faktor Authentifizierung oder eine zweistufige Überprüfung verwenden, um die Sicherheit beim Anmeldeprozess zu stärken und Cyberangriffe zu verhindern.

Wie Matt Cutts, der Leiter des Webspam-Teams bei Google, erklärte, bezeichnet eine „Zwei Faktor Authentifizierung etwas, das man kennt (wie ein Passwort), und einen Gegenstand, den man besitzt, wie z.B. ein Telefon“.

Nimmt man den Dienst von Google und die Google Authenticator App als Beispiel,  kombiniert eine zweistufige Überprüfung oder eine Zwei Faktor Authentifizierung eine Nutzeranmeldung (unter Verwendung eines Passworts) mit dem physischen Zugriff auf ein Smartphone oder ein Telefon über Festnetz, um den berechtigten Zugriff auf ein Konto zu überprüfen.

Ein Nutzer meldet sich erst einmal bei einem geschützten Dienst durch Eingabe von Benutzernamen und Passwort an. Daraufhin wird der Nutzer einen Einmalcode (OTC) oder ein Einmalpasswort (OTP) per SMS oder Anruf erhalten. Hierbei wird eine Telefonnummer verwendet, die dem Konto zugeordnet ist. Mit diesen zusätzlichen Zugangsdaten, die den zweiten Schritt der Überprüfung oder den zweiten Faktor der Authentifizierung darstellen, kann die Zugriffserlaubnis erfolgen. Die Idee dahinter ist, dass nur derjenige, der das richtige Passwort kennt und außerdem in Besitz des benötigten Gegenstandes (Smartphone/Festnetztelefon) ist, diese Zugangserlaubnis erhält.

Dieser Ansatz wird für gewöhnlich von vielen Unternehmen, darunter Google, Apple und Microsoft, angeboten, um einen Nutzer zu authentifizieren, wann immer von einem neue Gerät aus auf ein Konto zugegriffen werden soll. Beispiel: Ein Nutzer kauft  einen neuen Desktopcomputer oder verbindet sich über ein neues Mobilgerät und kann dann aufgefordert werden, den zusätzlichen Schritt für die Authentifizierung auszuführen.

Der Ansatz mit Einmalcodes oder -passwörtern ist aber nur eine Methode, um einen zweiten Schritt oder Faktor in den Authentifizierungsprozess zu integrieren. Der Ansatz ist zwar geeignet für eine zweistufige Überprüfung, aber nicht notwendigerweise auch für eine Zwei Faktor Authentifizierung. 

Unterscheidung zwischen zweistufiger Überprüfung (Two Step Verification) und Zwei Faktor Authentifizierung

Google, Apple, und Microsoft beziehen sich auf all ihre Versionen moderner Anmeldesicherheit als zweistufige Bestätigung (Two Step Verification).  Anderswo bezeichnen viele Experten für Datensicherheit, Medienberichte und Webseiten dies als „Zwei Faktor Authentifizierung“. Beide Bezeichungen scheinen in ihrer Verwendung mittlerweile recht austauschbar geworden zu sein.

Experten auf dem Gebiet der Kryptographie und Entwickler von hochentwickelten Authentifizierungslösungen definieren diese beiden Begriffe jedoch unterschiedlich und zeigen wichtige Unterscheidungsmerkmale auf. Dabei führen sie entscheidende Unterschiede in der Sicherheitsinfrastruktur und Methodik auf, die alle unerlässlich sind, um die jeweiligen Ebenen in der Datensicherheit und der Fähigkeit verschiedener Authentifizierungsmethoden, die Nutzer und Organisationen vor Hacker-Angriffen schützen, zu verstehen.

 

Definition eines Authentifizierungsfaktors

Um die Unterschiede zwischen einer Zwei Faktor Auhentifizierung und einer zweifstufigen Bestätigung  zu analysieren, muss man zunächst den Begriff Authentifizierungsfaktor genauer definieren.

Während eines Anmeldevorgangs stellt ein Authenfizierungsfaktor eine Anforderung dar, die entworfen wurde, um die Identität eines autorisierten Nutzers nachzuweisen.

In der Anmeldesicherheit gibt es drei Kategorien von Authentifizierungsfaktoren, die üblicherweise für die Identitätsüberprüfung verwendet werden.

  • Etwas, das nur der Nutzer kennt, wie z.B. Passwort oder PIN
  • Etwas, das nur im Besitz des Nutzers ist, wie z.B. Smartphone, Smartcard, USB Token oder andere Hardware-Schlüssel
  • Ein äußerliches Merkmal, das einzig und allein dem Nutzer zugeordnet werden kann, wie z.B. der Scan des Fingerabdrucks oder der Netzhaut

Jede Kategorie deckt einen Bereich potentieller Anforderungen ab, die zur Überprüfung der Identität und somit der Authentifizierung für den Zugang zu Webseiten, Anwendungen, Netzwerken, Systemen und anderen gesicherten Diensten genutzt werden können. Ebenso können sie auf elektronischem Weg verwendet werden, um Transaktionen zu genehmigen, Dokumente zu signieren und zu akzeptieren, anderen Personen bestimmte Zugriffsrechte zu gewähren oder eine Reihe von Befugnisrechten einzurichten.

 

Das Verständnis der zweistufigen Bestätigung und ihre Grenzen für die Sicherheit

Mit dem Ansatz von Google, Apple und Microsoft kombiniert die zweistufige Bestätigung die ersten zwei all dieser Faktoren – etwas, das nur dem Nutzer bekannt ist (das Passwort) und etwas, das sich nur im Besitz des Nutzers befindet, wie z.B. das Smartphone oder der Festnetzanschluss.

Aus technischer Sicht ist dies ein Versuch, zwei Authentifizierungsfaktoren für eine größere Sicherheit miteinander zu kombinieren. Jedoch ergeben sich Probleme, wenn man bedenkt, dass die Einmalcodes oder Passwörter, die von diesen Diensten genutzt werden, eher zusätzliche „Wissensdaten“ darstellen, wie z.B. Passwörter oder PIN. Für sie wird nicht wirklich der physische Besitz eines bestimmten Objekts oder Geräts benötigt, um Zugriff auf sie zu erhalten.

Wie bereits in unserem Blog Zwei Faktor Authentifizierung: Welche Methode ist sicher und benutzerfreundlich? dargestellt, sind SMS-Übertragungen hochgradig angreifbar für “Man-in-the-middle”-Angriffe , bei den Hacker gefälschte Webseiten und Phishing-Programme verwenden, um Einmalcodes oder Passwörter abzufangen / zu stehlen und die zweistufige Überprüfung zu umgehen.

Kriminelle sind ebenfalls in der Lage,  SIM-Karten zu klonen , um diese Authentifizierungsmethode zu überlisten. Der Nachweiscode  kann selbst während eines Telefonats abgefangen werden, wenn z.B. ein Mobilfunknetz kompromittiert ist bzw. Kriminelle auf die Portierung von Telefonnummern oder auf andere Vorgehensweisen zurückgreifen, um Anrufe zu empfangen.

Aus diesem Grund verweisen einige Experten für Datensicherheit auf die zweistufige Bestätigung als Ansatz, bei dem eigentlich nur ein einziger Faktor im Einsatz ist. Zwar gibt es zwei separate Schritte, die jedoch beide wiederum Wissensfaktoren beinhalten, an die Angreifer leicht gelangen können. Damit kann eine zweistufige Überprüfung nicht unbedingt eine Authentifizierung oder Datensicherheit gewährleisten und ist so nicht als echte Zwei Faktor Authentifizierng zu bezeichnen.

 

Eine Analyse der echten Zwei Faktor Authentifizierung für höchste Sicherheit

Um die größtmögliche Sicherheit bei der Authentifizierung sicher zu stellen, benötigt man einen Wissensfaktor und einen Faktor, der wirklich den physischen Besitz eines Gegenstandes oder eines äußerlichen Merkmals nachweist. Dieses Merkmal muss einzigartig sein und nur dem Nutzer zugeordnet werden können, wie z.B. der Scan eines Fingerabdrucks. Um ein noch höheres Sicherheitsniveau zu erreichen, können alle drei Faktoren miteinander kombiniert werden, um so eine starke Multi-Faktor-Authentifizierungsmethode zu bilden.

Durch Sicherstellung, dass mindestens zwei unterschiedliche Authentifizierungsfaktoren erforderlich sind, kann eine sichere Lösung tatsächlich als Zwei Faktor Authentifizierung klassifiziert werden und die Anfälligkeit und Fallstricke einer zweistufigen Bestätigung vermeiden.

Das vielleicht beste Beispiel dieses Ansatzes ist die Public Key Infrastruktur (PKI), die für die Sicherheit von Smartcards und EC-Karten verwendet wird. Ihr Gebrauch wurde von SecSign Technologies zu einer Authentifizierungsabsicherung erweitert. SecSign Technologies hatte so ihre mobile Zwei- und sogar Multi-Faktor-Authentifiizierung SecSign ID entwickelt.

So wie eine EC-Karte den physischen Besitz der Karte und das Wissen der PIN voraussetzt, damit Zugriff auf einen EC-Automaten und ein Bankkonto erlangt werden kann, so verwendet die Authentifizierung mit PKI einen ähnlichen Ansatz, um sicherzustellen, dass Hacker nicht an Konten für Webseiten, Anwendungen oder andere Dienste gelangen können.

Mit der Authentifizierung durch PKI wird lediglich ein einfacher, nicht vertraulicher Benutzername in die Maske für den Anmeldevorgang eingegeben. Passwörter und andere Zugangsdaten werden konsequent vom Anmeldeprozess ausgeschlossen. Auf diesem Weg beseitigt man von vornherein die Mittel, mit denen Hacker sich Zugriff auf Konten verschaffen. Ebenso wird der Anreiz für Hacker, geschützte Dienste ins Visier zu nehmen, die Zugangsdaten benötigen, übertragen und speichern, damit beseitigt.

Stattdessen verwendet die Authentifizierung mit PKI  2048 Bit lange, verschlüsselte und asymmetrische Schlüsselpaare. Diese werde mithilfe von Algorithmen erstellt, die nicht mit bekannter Computertechnologie manipuliert werden können.

Auf einem Trust Center Authentifzierungsserver wird ein 2048 Bit langer verschlüsselter öffentlicher Schlüssel sicher abgelegt und aktiviert, sobald der Benutzername während des Anmeldevorgangs eingegeben wird. Dies löst eine Authentifizierungsanfrage aus, die zum Mobilgerät des Nutzers mithilfe mobiler Push-Technik und einer benutzerfreundlichen mobilen App geschickt wird.

Ein 2048 Bit langer verschlüsselter privater Schlüssel liegt auf dem Mobilgerät. Der Schlüssel ist mithilfe des SafeKey-Mechanismus gesichert, der Brute-Force-Angriffe verhindert, selbst für den Fall, dass das Gerät gestohlen wird oder verloren geht. Um die Authentifizierung abzuschließen, muss die Authentifizierungsanfrage von der App mithilfe des privaten Schlüssels digital signiert werden.

Der Nachweis der Identität des Nutzers und des Zugriffs auf den privaten Schlüssel wird durch den Nutzer erbracht, indem er PIN oder Passcode eingibt, die der Nutzer selber festgelegt hat und die nur innerhalb der mobilen App zur Anwendung kommt. Es werden keine Zugangsdaten während des Anmeldevorgangs eingegeben oder gar übertragen und auf einem Server gespeichert. So gibt es praktisch keine Zugangsdaten, die andere mithilfe von Hacking, Phishing-Angriffen oder Schadprogrammen stehlen könnten.

Die Erfordernis der Kenntnis von PIN oder Passcode wird kombiniert mit der physischen Präsenz des privaten Schlüssels auf dem Mobilgerät, um eine echte Zwei Faktor Authentifizierung zu bieten.

Alternativ kann der Nutzer auch einen Scan seines Fingerabdrucks anstelle von PIN oder Passcode verwenden. Damit verwendet er den Faktor „Wissen“ mit einem physischen Faktor, der einzig und allein dem Nutzer zugewiesen werde kann. Ebenso kann der Nutzer PIN/Passcode mit dem Scan des Fingerabdrucks und dem physischen Besitz des privaten Schlüssels kombinieren. Damit stellt er sicher, dass alle drei Arten von Authentifizierungsfaktoren nötig sind.

Der Anmeldevorgang selber ist schnell und einfach. Es werden lediglich wenige Sekunden benötigt, um ihn abzuschließen, inklusive einer letzten Überprüfungsstufe, bei der der Nutzer ein Zugangssymbol auf dem Mobilgerät durch Antippen bestätigen muss. Dieses Zugangssymbol muss mit dem übereinstimmen, das in der Anmeldemaske angezeigt wird.

Die Benutzerfreundlichkeit und Einfachheit dieses Ansatzes bedeutet auch, dass dieser Schutz der Anmeldesitzungen trotz der hohen Sicherheit  den Nutzern nicht zur Last fällt.

 

Der Einsatz der Zwei Faktor Authentifizierung zusammen mit der Public Key Infrastruktur

Als echte Zwei Faktor Authentifizierungslösung, die mobile Push-Software und Public Key Infrastruktur nutzt, kann die SecSign ID eingesetzt werden, um Webseiten, Anwendungen, Server und Systeme abzusichern. Ebenso kann sie in der Cloud verwendet werden und das – unabhängig von der Nutzerzahl – ohne Kosten für Entwickler. Sowohl die mobile SecSign ID App als auch die Plugins (für Java, Perl, PHP, ASP.net, WordPress, Joomla u.v.m.) sind kostenlos.

Ebenso kann die SecSign ID als Inhouse-Lösung in Ihrer eigenen Architektur und hinter Ihrer eigenen Firewall mit zentralisierter Verwaltung und eigener Auswertung betrieben werden. Die Experten für Verschlüsselung und Sicherheit bei SecSign Technologies bieten Entwicklern, Unternehmen und Behörden natürlich gerne ihre Beratung, Unterstützung und Dienste zur Integration dabei an, um die höchstmögliche Authentifizierungssicherheit zum Schutz der Daten zu gewährleisten.

Um mehr über die Zwei Faktor Authentifizierung mit Public Key Infrastruktur und hochentwickelter Verschlüsselung zu erfahren, besuchen Sie gerne die SecSign Technologies Webseite. Dort finden Sie technische Einzelheiten, Videos, Beratung und die Möglichkeit, die mobile SecSign ID App herunterzuladen und den sicheren Anmeldeprozess selber einmal auszuprobieren.

 

Über SecSign Technologies

SecSign Technologies ist eine Schwestergesellschaft der  SecCommerce Informationssysteme GmbH, einem Pionier auf dem Gebiet kryptographischer Lösungen mit mehr als 16 Jahren Erfahrung in der Entwicklung von Public Key Infrastrukturen (PKI), elektronischer Signatur und Smartcard-Technologie. Die Sicherheits- und Verschlüsselungsexperten bei SecSign haben Systeme entwickelt, eingesetzt und unterstüzt, die erfolgreich vertrauliche Geschäftsdaten und Nutzerzugänge für zahllose Großkonzerne wie u.a. IBM, Siemens, Johnson & Johnson, Fujitsu, T-Systems, BMW und Audi abgesichert haben.

 

 

Letzte Blog Einträge, Neuigkeiten & Funktionen

Crowd SSO

21.09.2017

Read More
Do NOT follow this link or you will be banned from the site!