Blog

Authentifizierungsmethode

Warum ist der Software Token die beste MFA-Methode?

Brancheneinblick

Warum ist der Software Token die beste MFA-Methode?

Ein Software-Token ist ein elektronisches oder digitales Sicherheitstoken für Zwei-Faktor-Authentifizierungssysteme. Es überprüft die Identität der Benutzer, die Zugriff auf ein System, Netzwerk oder Gerät anfordern.

Immer mehr Organisationen verstehen jetzt, dass Passwörter allein nicht mehr ausreichen, um Benutzer zu authentifizieren. Entsprechend ITRC, für das dritte Quartal 2021 betrug die Zahl der Opfer von Datenkompromittierungen allein in den USA 160 Millionen, mehr als im ersten und zweiten Quartal 2021 zusammen (121 Millionen).

Ein breites Spektrum an Authentifizierungstechnologien und ein noch breiteres Spektrum an Aktivitäten erfordern starke Authentifizierungsmethoden.

Hier diskutieren wir die verschiedenen Authentifizierungsmethoden auf dem heutigen Markt und warum wir Software-Token als Multi-Faktor-Authentifizierungsmethode bevorzugen?

Was ist Multi-Faktor-Authentifizierung (MFA)?

Multi-Faktor-Authentifizierung (MFA) ist ein Sicherheitsmechanismus, der einem Anmeldeprozess eine Schutzebene hinzufügt. Es basiert auf der Idee, dass Benutzer mindestens zwei Beweise (sogenannte „Faktoren“) vorlegen müssen, um ihre Identität nachzuweisen. 

– etwas, das der Benutzer weiß (z. B. ein Passwort)

– etwas, das der Benutzer hat (ein Gerät, das nicht einfach dupliziert werden kann, z. B. ein Telefon oder ein Hardwareschlüssel)

– etwas, das der Benutzer ist (ein biometrischer Parameter wie Stimme, Gesicht, Fingerabdruck)

Die Zugriffskontrolle bestimmt die Identität des Benutzers anhand von Anmeldeinformationen wie Benutzername und Passwort. Die bereitgestellten Anmeldeinformationen werden mit einer Datenbank mit autorisierten Benutzerinformationen verglichen, die auf einem lokalen Betriebssystem oder einem Authentifizierungsserver gespeichert sind. Stimmen die Daten überein, wird der Benutzer gegenüber dem System authentifiziert.

Warum ist die Benutzer-Multi-Faktor-Authentifizierung (MFA) wichtig?

Cyberkriminelle können auf ein System zugreifen und Informationen stehlen, wenn die Benutzerauthentifizierung fehlerhaft ist. Wenn ein Faktor kompromittiert oder zerstört wird, muss ein Angreifer immer mindestens eine weitere Barriere überwinden, bevor er das Ziel erfolgreich durchdringt.

Es gibt mehrere Authentifizierungsprotokolle, die Sie implementieren können, um zu verhindern, dass Ihre Benutzerdaten Angreifern preisgegeben werden, darunter Oauth, OpenID, SAML und FIDO.

Häufig verwendete Arten der Multi-Faktor-Authentifizierung (MFA). 

Software- und Hardware-Token

1. Software-Token

Was ist Software-Token-Authentifizierung?

A Software-Token ist eine Authentifizierungsanwendung, die auf einem elektronischen Gerät wie einem Smartphone, Computer oder Tablet installiert wird. Es erzeugt ein Einmalpasswort; normalerweise eine Folge von 6-8-stelligen Codes. Im Allgemeinen arbeiten die Authentifizierungs-Apps mit einem gemeinsamen geheimen Schlüssel, der dem Server und der Authentifizierungs-App bekannt ist. Die Apps unterstützen OATH Event-based (HOTP) & Time-based (TOTP). 

Der Benutzer muss den generierten Code eingeben, um auf die Daten oder Anwendung zuzugreifen. 

Wenn die Software-Token-App über eine Push-Benachrichtigungsoption verfügt, kann der Benutzer die Anfrage annehmen oder ablehnen und muss den Code nicht manuell eingeben. Wählen Sie vorzugsweise einen Software-Token mit aus mobiler Push da es benutzerfreundlicher und sicherer ist.

Beispiel für eine kostenlose Mobile Authentication-App- OpenOTP-Token von RCDevs, Google Authenticator usw.

Verschiedene Software-Tokens auf dem Markt erhältlich

2. Hardware-Token

Was ist Hardware-Token-Authentifizierung?

Ein Standard-Hardware-Token ist ein kleines Gerät, typischerweise im allgemeinen Formfaktor einer Kreditkarte oder eines Schlüsselanhängers. Die einfachsten Hardware-Token sehen genauso aus wie ein USB-Flash-Laufwerk, enthalten eine kleine Speichermenge mit einem Zertifikat oder einer eindeutigen Kennung und werden oft als Dongles bezeichnet.

Viele Hardware-Token enthalten eine interne Uhr, die in Kombination mit der eindeutigen Kennung des Geräts, einer Eingabe-PIN oder einem Passwort und möglicherweise anderen Faktoren verwendet wird, um einen Code zu generieren, der normalerweise auf einer Anzeige auf dem Token ausgegeben wird. Dieser Code ändert sich regelmäßig, oft alle 30 Sekunden oder zu der von Ihnen eingestellten Zeit.

Allgemein, Hardware-Token sind OATH Token basierend auf HOTP, TOTP oder OCRA. Wenn Sie aufgefordert werden, Ihren Hardware-Token-Code einzugeben, um sich mit einem Hardware-Token zu authentifizieren, drücken Sie auf Ihren Hardware-Token, um Ihren 6-stelligen Code zu generieren, den Sie manuell eingeben. 

Beispiele für Hardware-Token – RCDevs RC400, RCDevs RC200, Yubico YubiKey

3. Biometrische Authentifizierung

Biometrische Authentifizierungsgeräte basieren auf physischen Merkmalen wie Stimme, Fingerabdruck oder Gesichtsmustern, um die Benutzeridentität zu überprüfen. Die biometrische Authentifizierung wird für viele Zwecke, einschließlich der Netzwerkanmeldung, immer beliebter.

Mit einer Stimme, die ist einzigartig für die Authentifizierung ist eine der sichersten Methoden zur Authentifizierung.

Außerdem können Hardware-Token wie YubiKeys Fingerabdrücke anstelle von OTPs verarbeiten. Anstatt dass Ihnen ein Code per SMS gesendet oder von einer App auf Ihrem Telefon generiert wird, drücken Sie eine Taste auf Ihrem YubiKey. Das ist es. Jedes Gerät hat einen einzigartigen Code eingebaut, der verwendet wird, um Codes zu generieren, die helfen, Ihre Identität zu bestätigen.

4. Signierte Authentifizierung

Erstellt von der FIDO (Fast IDentity Online) Alliance, Universal 2nd Factor (U2F und FIDO2) ist ein starker Industriestandard für die Zwei-Faktor-Authentifizierung.

FIDO U2F ermöglicht es Onlinediensten, die Sicherheit ihrer bestehenden Passwortinfrastruktur zu erhöhen, indem sie der Benutzeranmeldung einen starken zweiten Faktor hinzufügen. Der Benutzer meldet sich wie bisher mit Benutzername und Passwort an. Der Dienst kann den Benutzer auch jederzeit auffordern, ein Second-Factor-Gerät (z. B. einen FIDO-Sicherheitsschlüssel) vorzulegen. Der starke zweite Faktor ermöglicht es dem Dienst, seine Passwörter (z. B. 4-stellige PIN) zu vereinfachen, ohne die Sicherheit zu gefährden.

Den zweiten Faktor stellt der Nutzer bei der Registrierung und Authentifizierung dar, indem er einfach eine Taste auf einem USB-Gerät drückt oder über NFC oder BLE tippt. Der Benutzer kann sein FIDO U2F-Gerät über alle Online-Dienste hinweg verwenden, die das Protokoll unterstützen, indem er die integrierte Unterstützung in Webbrowsern nutzt.

Die 3 häufigsten Software-Token-Mythen – gesprengt von RCDevs Security Solutions

Im Allgemeinen haben die Menschen die Wahrnehmung, dass selbst wenn sowohl Software- als auch Hardware-Token sehr sicher sind, Software-Token einem höheren Hacking-Risiko ausgesetzt sind, da sie im Gegensatz zu Hardware-Token dupliziert werden können. Werfen wir einen Blick auf die Fakten. 

1. Anmeldeverfahren

In vielen Fällen (z. B. bei Google Authenticator) basiert das Registrierungsverfahren auf einem QR-Code, der den gesamten Token enthält, sodass der QR-Code zu jedem Zeitpunkt (und sogar lange nach der Registrierung) die Kenntnis des kryptografischen Schlüssels bedeutet. Und Fakt ist, dass dieser QR-Code dem Nutzer – beispielsweise in einer E-Mail – zugesendet worden sein muss, damit er während des Vorgangs oder danach gefunden und kopiert werden kann. 

Aus diesem Grund funktioniert die Token-Registrierung von RCDevs nicht auf diese Weise. Der QR-Code wird nur zur Einleitung des Verfahrens verwendet, das auf unseren Servern endet. Somit ist das Auffinden des QR-Codes für einen Angreifer nutzlos.

2. Kryptografischer Schlüssel

Im Gegensatz zu vielen Software-Tokens auf dem Markt ist mit RCDevs' the kryptografischer Schlüssel wird nicht in einem Software-Container, sondern in einem Hardware-Schlüsselbund gespeichert. Die einzige App, die es lesen kann, ist das OpenOTP-Token von RCDevs; keine andere App auf dem Telefon kann darauf zugreifen. 

3. Betrügerischer Verbindungsversuch

Die Geolokalisierung des Smartphones kann helfen, einen betrügerischen Verbindungsversuch zu erkennen. Beispiel – In der OpenOTP-Token-App verwendet der Phishing-Schutz Ihren Standort, um Phishing-Angriffe zu verhindern. Wenn ein Phishing-Angriff vermutet wird, fordert Sie die OpenOTP-Token-Anwendung mit einem Bildschirm wie dem folgenden auf. Dementsprechend können Sie die Anfrage genehmigen oder ablehnen.

Phishing-Schutz

Warum ist der Software-Token die beste MFA-Methode?

Was die Vorteile betrifft, gibt es ziemlich viele. Nehmen wir den OpenOTP-Token von RCDevs als Beispiel für einen praktischen Software-Token zur Generierung von Einmalpasswörtern. Sechs Gründe, warum wir Software-Token für MFA bevorzugen:

Software-Token

1. Verfügbarkeit

Das Smartphone ist immer griffbereit; jederzeit und überall verfügbar. Aber es bringt einen weiteren Vorteil in Bezug auf die Sicherheit – wenn ein Endbenutzer sein Telefon verliert, bemerkt er es viel eher innerhalb von Minuten, was bei einem Hardware-Token nicht unbedingt der Fall ist.  

Und Zeit ist hier der Schlüssel, die Verzögerung, bis der Verlust des Authentifizierungsgeräts erkannt und die Sicherheitsteams benachrichtigt werden, ist entscheidend.

2. Zusätzliche Schutzschicht

Ein Smartphone verfügt über eine zusätzliche Schutzebene (PIN-Code oder Biometrie), die es ermöglicht, den Software-Token und sein OTP vor unbefugtem Zugriff zu schützen, falls Ihr Telefon aus verschiedenen Gründen in die falschen Hände gerät. Passiert das Gleiche mit einem Hardware Token, kann das OTP direkt ausgelesen und verwendet werden.

3. Flexible Konfiguration

Die Wahl der Passwortlänge und des Algorithmus seiner Generierung können Sie nach Bedarf konfigurieren.

4. Mehrere Token

Sie können viele Token auf einem Gerät generieren und verwalten und so den Aufwand reduzieren, viele Apps und/oder Geräte im Auge zu behalten.

5. Preis

Datenschutz mit Hilfe des OpenOTP Tokens erfordert keinen Aufwand – die Anwendung ist kostenlos.

Versionen verfügbar sowohl für Android und iOS.

6. Mobile E-Signatur

Es unterstützt das Signieren von Daten (sowohl On-Premise- und SaaS-Plattform), was es Ihnen ermöglicht, zu klicken und direkt mit Ihrem Handy zu unterschreiben, in Übereinstimmung mit dem internationalen Vertragsrecht.

Fazit

Welche also wählen? Darauf gibt es keine einfache Antwort: Alle Authentifizierungsmethoden haben Vorteile.

Aber versuchen Sie immer, die Bedürfnisse Ihres Unternehmens und Ihrer Mitarbeiter zu berücksichtigen. Wählen Sie eine Authentifizierungsmethode, die mit SAML/OpenID, Windows, NAC, Unix und Linux, MAC OSX usw. kompatibel ist, wie OpenOTP Token von RCDevs. Sie machen einen großen Schritt in Richtung mehr Sicherheit, indem Sie vom einfachen Passwortschutz zur Multi-Faktor-Authentifizierung wechseln.

Bei Fragen zu Token oder MFA, Kontaktieren Sie unseren Expertenso.

 

DE