Blog
Blog von ISPIN

Wie geht sichere Authentisierung heute?

/Blog
Erstellt von Reiner Höfinger, Marketing Manager

Jeder kennt sie, jeder hasst sie: Username und Passwort beim Standard-Login. Sowohl für Anwender als auch für Security-Experten sind sie ein Problem. Bietet die Zwei-Faktor-Authentifizierung mit mTAN mehr Sicherheit? Oder gibt es sicherere und userfreundlichere Lösungen?

Der Username - meist Email-Adresse oder Name - ist einfach zu merken. Er ist aber für jene, die es darauf anlegen, auch leicht herauszufinden. Beim Passwort sieht es anders aus. Denn wer kann sich zig verschiedene Passwörter vom Typ „Tsos_vS&G_v1966imL“ merken? Und so erstaunt es nicht, dass ausser einigen wenigen Paranoiden, die meisten Anwender ein einfaches Passwort wählen. Und dieses verwenden sie mehrfach. Ein Horror für jeden Security-Verantwortlichen. 

Wider besseren Wissens: Mehrfachnutzung von Passwörtern

Passwörter sind ein Problem – da sind sich Enduser und Security-Experten einig. Den meisten Anwendern ist zwar klar, dass Passwörter niemals doppelt verwendet werden sollten. Dennoch nutzen sie aus Bequemlichkeit ein und dasselbe Passwort mehrmals. Passwörter lassen sich jedoch leicht erraten, durch Brute Forcing erlangen oder z. B. durch Social Engineering stehlen. Und dabei haben es die Cyberkriminellen nicht schwer.

Vermeintliche Sicherheit

Passwörter bringen in vielen Fällen nur «gefühlte» Sicherheit, nicht faktische. Wussten Sie, dass

  • trotz zahlloser Cyberangriffe die drei häufigsten Passwörter 12345, 123456 und 123456789 sind;
  • 90 Prozent aller Passwörter in weniger als sechs Stunden geknackt werden können;
  • zwei Drittel aller User ein einziges Passwort für verschiedene Web-Dienste nutzen?

Passwörter suggerieren Sicherheit, garantieren sie aber nicht. Es besteht kein Zweifel, dass sie als Authentifizierung wenig Sicherheit bringen. Banken haben dies schon lange akzeptiert und früh begonnen, den Zugriff durch einen zweiten Faktor zu schützen. Sie nutzen etwa das mTAN-Verfahren, bei dem der Token per SMS direkt auf das Handy des Kunden versendet wird. Was mittlerweile im Bankenumfeld Standard ist, kommt immer mehr auch im gewöhnlichen IT-Umfeld zur Anwendung.

Zwei-Faktor-Authentifizierung: Sinnvoll oder nicht?

In den letzten Jahren bieten immer mehr Webportal-Betreiber den Endusern die Möglichkeit einer Zwei-Faktor-Authentifizierung (2FA). Diese Lösungen beschränken sich, wie beim mTAN-Verfahren, oftmals auf den Gebrauch von Einmalpasswörtern, die per SMS übermittelt werden. SMS waren jedoch nie für eine vertrauliche Kommunikation vorgesehen und erst recht nicht dafür, Authentifizierungsdaten zu versenden. Es erstaunt daher nicht, dass mittlerweile bewiesen ist, dass SMS als zweiter Faktor unsicher ist. Der Grund dafür: Das Mobilfunknetz. Die Daten werden darin unverschlüsselt übertragen. Theoretisch hat niemand Zugriff darauf. Praktisch enthält der in den Mobilfunknetzen benutzte Standard SS7 mehrere Sicherheitslücken. Tools zum Ausnutzen dieser Lücken sind frei im Internet verfügbar. Aus diesem Grund rät das BSI (Bundesamt für Sicherheit in der Informationstechnik) vom mTAN-Verfahren ab und empfiehlt, neuere 2FA-Verfahren zu verwenden.

Gibt es Alternativen?

Ja - Zwei-Faktor-Authentifizierung gibt es mittlerweile in zahlreichen Varianten, wie z. B. Airlock 2FA oder Cisco Duo. Einige ergänzen das zuvor eingegebene Passwort um einen zusätzlichen Faktor. Andere ersetzen das vorherige Login mit Passwort komplett durch eine direkte Kombination zweier Faktoren. Wichtig dabei ist, dass die Faktoren aus folgenden verschiedenen Kategorien stammen:

WISSEN: Etwas, das nur Sie kennen, wie z. B. ein Passwort, eine PIN oder Antworten auf geheime Sicherheitsfragen.
BESITZ: Etwas, das nur Sie haben. Etwa ein Handy, einen Schlüssel oder eine Karte.
SEIN: Etwas, das nur Sie sind, also biometrische Daten, wie z. B. Fingerabdruck, Stimmmuster, Iris-Scans.

Sicherheit und Geschäftschance zugleich

Der grösste Vorteil der 2FA besteht darin, dass weder Diebstahl noch unbefugtes Kopieren von Zugangsdaten den Zugang zum System freigeben. Cyberkriminelle müssen im Besitz des zweiten Faktors sein, um eindringen zu können. 2FA baut somit eine weitere Hürde in gängige Login-Prozesse, die idealerweise bereits mit starken Passwörtern gesichert sind, ein. Eine moderne und integrierte 2FA-Lösung ist zudem eine grosse Chance für ein Unternehmen, um eine hohe Kundenorientierung zu erreichen und einfache Interaktionen mit den Kunden zu ermöglichen.

«2FA ist kein Allheilmittel, das es einem erlaubt, unsichere Passwörter zu verwenden. Je besser ein Passwort ist, umso sicherer ist auch 2FA.»

Michael Kuhn, Head Presales Engineering, Senior Expert Airlock

Entscheidungskriterien für 2FA-Lösungen

Die verschiedenen technischen Varianten haben alle ihre Vor- und Nachteile. Dennoch bleibt 2FA eine der besten Methoden für die Absicherung von internen und externen Zugriffen auf Unternehmens-, Cloud- und Web-Dienste sowie Applikationen. Allerdings entscheidet neben den Kosten für die Einführung und den Betrieb oftmals die Benutzerfreundlichkeit der eingesetzten Lösung darüber, ob sie die notwendige Akzeptanz findet. Viele Firmen setzen in der Praxis keine Zwei-Faktor-Authentifizierung ein. «Zu kompliziert, zu teuer», hört man als Argument. Ablehnungsgründe, wie sie für moderne, dynamische und risikobasierte 2FA-Lösungen wie Airlock 2FA oder Cisco Duo nicht mehr gelten. Beide vereinen maximale Sicherheit mit hohem Komfort. Die Benutzer profitieren von

  • einer ganzen Reihe von Authentisierungsmitteln sowie -methoden,
  • nützlichen Self-Services und 
  • Selbst-Registrierung rund um die Uhr. 

Den Anbietern ermöglichen sie eine rasche Integration in bestehende Umgebungen. Damit können z. B. die in Sicherheitskreisen unter Druck geratenen mTAN-Lösungen (Code per SMS) mit minimalem Aufwand kosteneffizient abgelöst werden.

Airlock 2FA – Starke Authentisierung für webbasierte Applikationen und Portale

Airlock 2FA ist eine Schweizer Authentifizierungslösung, die vollständig in das Customer Identity- & Access Management (cIAM) von Airlock integriert ist und dadurch vom grossen Funktionsumfang sowie von vereinfachten Prozessen profitiert. Die Schweizer Cloud-Lösung benötigt zudem nur wenig Supportaufwand und ist prädestiniert, um webbasierte Kundenportale mit einem zweiten Faktor zu schützen, etwa eBanking-, Versicherungs- oder Lieferantenportale sowie Banking-Applikationen. 

Cisco Duo – Home-Office, aber sicher

Cisco Duo ist eine Authentifizierungslösung, die Unternehmen dabei unterstützt, ein vollständiges Zero-Trust-Sicherheitsmodell zu implementieren. Die Lösung bietet alles, um einen sicheren Zugang auf Mitarbeiterportale oder ins Home-Office zu gewährleisten. Dabei überprüft sie nicht nur die Identität des Benutzers, sondern auch den «Gesundheitszustand» des verwendeten Geräts. Mit Cisco Duo haben die IT-Verantwortlichen jederzeit einen Statusüberblick über den Sicherheitszustand der Endgeräte der Benutzer und können vor der Zugriffsfreigabe die Zugriffsanforderungen auf Geräteebene anpassen. 
Die Lösung bietet über eine einheitliche Benutzeroberfläche eine sichere Verbindung zu allen Anwendungen – egal ob lokal oder cloudbasiert. Zudem lässt sich Duo als zusätzliche Schutzebene zu bestehenden Drittprodukten integrieren. Dazu gehören Remote-Access-Gateways, VPNs, VDIs und Proxys von Herstellern wie Cisco, Check Point, F5 und vielen mehr.

Alles dabei und rundum versorgt

Wer rechtliche Anforderungen unkompliziert und flexibel anpassen, seinen Mitarbeitern und Kunden clevere Self-Services und ein bequemes Single Sign-on anbieten möchte, der wird um ein leistungsfähiges cIAM (Customer Identity- und Access-Management) und eine 2FA-Lösung nicht herumkommen. 
Vereinbaren Sie einen Termin mit uns: Wir zeigen Ihnen, wie Sie mit wenig Aufwand eine sichere Authentifizierung für Ihre Kunden, Partner und Mitarbeiter im Home-Office bereitstellen. info@ispin.ch oder +41 44 838 3111.

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktNewsletterGo to top