Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung

Lesen Sie hier:
  1. Warum Zwei-Faktor-Authentifizierung?
  2. Authentisierung oder Authentifizierung?
  3. Der Besitz-Faktor und seine Varianten
  4. Unterschiede der Besitz-Faktoren
  5. Die richtige Lösung für Sie!
  6. Zwei-Faktor-Authentifizierung mit Swiss SafeLab M.ID Server 

 

Warum Zwei-Faktor-Authentifizierung?

Für den Schutz von Web-Logins (bspw. Citrix Web Interfaces, Outlook WebAccess) oder VPN-Clients genügen statische Passwörter den heutigen Sicherheitsanforderungen nicht mehr. Um die Sicherheit zu erhöhen wird vermehrt die Zwei-Faktor-Authentifizierung verwendet. Hierbei wird zu den bestehenden Anmeldedaten, wie Benutzername und Passwort, noch ein zusätzlicher Faktor - bspw. ein sogenannter Besitzfaktor - verwendet.

 

Authentisierung oder Authentifizierung?

(Auszug von Wikipedia) 
Der Unterschied zwischen Authentifizierung und Authentisierung in einer Benutzer-Server-Beziehung.

Authentifizierung (v. griech. authentikos für „Anführer“) ist der Vorgang der Überprüfung (Verifikation) einer behaupteten Identität, beispielsweise einer Person oder eines Objekts, wie beispielsweise eines Computersystems.

Authentisierung hingegen ist der Vorgang des Nachweises der eigenen Identität. Im Englischen wird zwischen den beiden Begriffen nicht unterschieden: Das Wort authentication steht für beide Vorgänge. Dementsprechend werden die beiden Ausdrücke im Deutschen oft (ungenau) synonym verwendet.

Weiterhin ist die Authentifizierung von Objekten, Dokumenten oder Daten die Feststellung, dass diese authentisch sind – es sich somit um ein unverändertes, nicht kopiertes Original handelt. Eine überprüfte Identität, also nach der erfolgreichen Authentifizierung, wird Authentizität genannt.

In Computer-Netzwerken wie dem Internet wird Authentifizierung eingesetzt, um die Authentizität von Informationen sicherzustellen.

Methoden

Die Authentisierung (Nachweisen der eigenen Identität) kann ein Subjekt auf drei verschiedenen Wegen erreichen:

  • Nachweis der Kenntnis einer Information (Das Subjekt weiß etwas); Beispiel: Passwort.
  • Benutzung eines Besitzes (Das Subjekt hat etwas); Beispiel: Schlüssel.
  • Anwesenheit des Subjektes selbst (Das Subjekt ist etwas); Beispiel: biometrisches Merkmal.

Bei einer Kombination von zwei Methoden spricht man von einer Zwei-Faktor-Authentifizierung. Ein typisches Beispiel für die Kombination von Wissen und Besitz ist ein Geldautomat: Man besitzt die Bankkarte und weiß die persönliche Identifikationsnummer (PIN).

Quelle: http://de.wikipedia.org/wiki/Authentifizierung vom 21. Juni 2012.
Wikipedia Text Bemerkung: Der Text steht unter der GNU-Lizenz für freie Dokumentation.

 

Der Besitz-Faktor und seine Varianten

Folgend werden Besitz-Faktoren (Securtiy-Tokens) beschrieben, die Anwendung im IT-Bereich finden:
Security-Token (z.B. Schlüsselanhänger mit Anzeige, die Einmalpasswörter/Passcodes generieren)USB-Token (für den USB Anschluss, ohne Anzeige und auch mit Anzeige), Smartcard, Streichlisten, Rasterkarten und natürlich auch das Mobiltelefon, welches auf Grund seiner Beliebtheit (jeder kennt es, jeder hat eines) immer mehr Verwendung findet.

 

Flexibilität

Generell ist die Frage zu stellen, ob die Lösung z.B. auch unterwegs im Internetcafé oder bei einem Bekannten auf dessen Rechner verwendet werden kann oder darf! Je grösser der Anspruch auf Sicherheit, desto höher die Wahrscheinlichkeit, dass die Flexibilität darunter leidet. Das heisst nicht, dass flexible Lösungen nicht sicher wären. Sie entscheiden über den Grad der Sicherheit und die Flexibilität. Man muss ins Auge fassen, welchen Aufwand anfällt, eine Lösung zu implementieren und wie hoch die Folgearbeiten und der Verwaltungsaufwand nach der Einführung sein werden. Zu beachten ist auch, wie schnell ein neuer Mitarbeiter eingebunden werden kann und ob dies auch nur für einen kurzen Zeitraum von Tagen oder einem Monat möglich ist. Kann die Lösung auch koexistieren mit anderen? Braucht es zusätzliche Server, die nur für die Lösung eingesetzt wird? Müssen die Mitarbeiter geschult werden und wenn ja, wie hoch ist dieser Aufwand? Und vieles mehr… Daher ist es unabdingbar, dass zuerst ein Anforderungskatalog erstellt wird, bevor eine Lösung gesucht wird.

 

Unterschiede der Besitz-Faktoren

Streichlisten und Rasterkarten

Diese Produkte haben in einer Tabelle angeordnete Zahlen und Buchstaben. Vorteil bei Streichlisten und Rasterkarten ist die Einfachheit der Lösung, die vom Kostenstandpunkt aus interessant ist. Was weniger gefällt, ist die Möglichkeit, diese Karte sehr einfach kopiert und weitergegeben werden kann, ohne dass dies der Benutzer unmittelbar bemerkt! Bei diesen Lösungen ist ein regelmässiger Austausch zwingend notwendig. Beim Online-Banking wird diese Karte mehrfach im Jahr automatisch ersetzt, bei Verlust oder Diebstahl noch ein weiteres Mal. Das regelmässige Austauschen ist ein Schritt, diese Karte sicherer zu machen! Aus Nutzersicht ist zu erwähnen, dass dieser die Streichliste/Rasterkarten bei jeder Verwendung bei sich tragen muss.

 

Token (eigentlich Hardware Token)

Bekannte Produkte sind hier sind hier RSA SecureID, Vasco DIGIPASS, KOBIL SecOVID, Entrust IdentityGuard, oder Aladdin SafeWord. Die Bekanntheit hilft hier oft beim Kaufentscheid. Diese Produkte sind schon einige Zeit auf dem Markt und ihnen wird vertraut. Jeder Benutzer hat sein eigenes, auf Ihn persönlich fest zugewiesenes, proprietäres Hardware Token. Dies ist einerseits ein Vorteil, da der Benutzer eindeutig identifiziert werden kann – und zugleich ein Nachteil, wenn der Logistikaufwand gewichtet wird: Wie schnell kann einem Benutzer sein Token ersetzt werden, wie wird es verteilt, wie gross ist der Lagerbestand und wie schnell erhalten Sie Ersatz vom Verkäufer? Welche Lebensdauer hat diese Hardware? Einen gewichtigen Vorteil gegenüber den Streichlisten ist die kurze Gültigkeitsdauer des generierten Passcodes. Doch kann dies zu Problemen führen, wenn auf der Gegenseite etwas nicht synchron läuft. Um dem vorzubeugen, haben sich die Hersteller bereits Gedanken gemacht. Die genannten Produkte gibt es in verschiedensten Ausführungen – einmal von praktischer und einmal von sicherer Natur. Dadurch ergibt sich auch eine Vielzahl von Bedienungsmöglichkeiten und Verwaltungsaufwänden.

 

Smartcard

Ohne Zweifel gibt es eine Vielzahl von Smartcards, die sicher und beinahe perfekt sind. Manchmal sehr einfach zu integrieren und dann wiederum nur nach sehr viel Aufwand. Die Smartcard benötigt in der Regel ein Lesegerät und bedingt, auf der Benutzerseite etwas zu installieren und Hardware anzubinden. Ohne Frage kann eine richtig installierte und konfiguriert Smartcard Lösung als sehr sicher eingestuft werden. Es gibt mehr administrativen Aufwand, dafür aber mehr Sicherheit. Die Kosten sollten dabei keine Rolle spielen.

 

USB-Token

Handlich, einfach in der Verwendung und sicher auch Ausbaufähig. Ein Beispiel für die Erweiterten Lösungen ist der RSA Hybrid Authenticator, RSA SecurID 800. Diesen Lösungen ist eines gemein, sie benötigen einen USB Anschluss! Das sollte in der heutigen Zeit aber kein Problem darstellen – es sei denn Sie befinden sich in einem Internetcafé oder vor einem Rechner in einem anderen Unternehmen – wo immer mehr die lokalen USB-Ports gesperrt werden.

 

Mobiltelefon

In der heutigen Zeit ist das Mobiltelefon weitverbreitet - beinahe jeder hat ein Mobiltelefon und kann damit umgehen. SMS Versenden ist Standard und Empfangen ist noch leichter. Die Akzeptanz und allgegenwärtige Präsenz sind auffällig. Der GSM Standard ist sehr sicher und basiert auf einer weltweit gut bis sehr gut ausgebauten Infrastruktur und einer bewährten Technologie. Der Verlust des Mobiltelefons wird in der Regel schnell bemerkt – gehört es heutzutage wie Portmonnaie und Schlüsselbund zu den ständigen Begleitern und ist für manche unabdingbar. Geschützt durch PIN der SIM-Karte und durch weitere PINs des Telefons, wird die Verwendungals sehr sicher erachtet. Bei Verlust des Mobiltelefons, kann die verwendete SIM-Karte vom Anbieter gesperrt werden, wodurch der Passcode nicht in falsche Hände gelangen kann. Ebenso einfach ist es eine neue SIM-Karte vom Anbieter zu bekommen. Ein nicht zu unterschätzender Vorteil des Mobiltelefons ist seine emotionale Bindung an den Besitzers (Erreichbarkeit, Kontakte, SMS,…). Auf Grund dieser Bindung wird eine Selbstdisziplin im Umgang mit dem Token zu Tage geführt, welche von keinem anderen Token jemals erreicht werden kann: kein Mobiltelefon bleibt während den Ferien in der Büroschreibtischschublade! Ein weiterer Vorteil ist die universelle Einsetzbarkeit: Banken sichern Transaktionen über eine mTAN ab, Firmen haben interne proprietäre SMS-Lösungen – verwendet wird immer dasselbe Endgerät – das Mobiltelefon. Die strikte Ablehnung der Mobilfunktechnologie kann jedoch ein Hindernis darstellen. Zu beachten sind die SMS Kosten, die durch one-time-password (OTP, Einmal Passwort) unübersichtlich werden können. Mobilfunkempfangslöcher sind nur scheinbar ein negativer Aspekt, da hierfür bereits mehrere Lösungen zur Verfügung stehen.

 

Die richtige Lösung für Sie!

Welche Lösung ist für mein Unternehmen die richtige? Entscheiden Sie sich für einen verlässlichen und kompetenten Hersteller. Unterstützt der Hersteller Unternehmen Ihrer Grösse dauerhaft? Überlegen Sie genau, welche Funktionalitäten Sie benötigen. Sicherheit ist in aller Munde – und obwohl die meisten Firmen ihr Netzwerk durch Firewalls schützen, häufen sich weiterhin die Meldungen über gravierende Sicherheitsverletzungen. Genügte es früher einen Zugang mit Nutzername und Kennwort zu schützen, werden heute zur Authentifizierung Sicherheitsmechanismen wie die Zwei-Faktor-Authentifizierung oder gar die Biometrie verwendet - Sicherheitsanforderungen ändern sich! Wählen Sie deshalb eine Sicherheitslösung, welche Ihre momentanen Anforderungen deckt und auch für die Zukunft gewappnet ist. Achten Sie daher darauf, dass sich das Sicherheitssystem modular erweitern lässt. Prüfen Sie ebenfalls, ob sich die Lösung speziell auf Ihr Unternehmen anpassen lässt. Nur eine nahtlose Integration in Ihre bestehende Infrastruktur bewahrt Sie vor zusätzlichen Anschaffungs-, Implementations- und Wartungskosten. Ehe Sie sich für eine Zwei-Faktor-Authentifizierung entscheiden, berücksichtigen Sie alle Kosten und allenfalls mögliche Rendite. Müssen Sie zusätzlich teure Hardware anschaffen oder für Updates bezahlen? Werden wiederkehrende Gebühren fällig? Welche echten Mehrwerte ergeben sich für Ihr Unternehmen durch die Anschaffung der gewählten Lösung? Unterschätzt wird leider all zu oft die Nachfrage der Unterstützung. Stehen Ihnen bei der Installation sachkundige Dienstleister zur Verfügung? Stehen Sie in enger Verbindung mit dem Hersteller/Distributor? Denn durch eine langfristige gemeinsame Beziehung passen Sie Ihre Lösung an die Ziele Ihres wachsenden Unternehmens an – heute sowie in Zukunft.

 

Zwei-Faktor-Authentifizierung mit Swiss SafeLab M.ID Server

Bestehende Lösungen sehen immer eine Authentifizierungshardeware in Form eines zusätzlichen Gerätes wie Streichlisten, Hardware-Dongle oder Security-Tokens vor – nicht so Swiss SafeLab M.ID Server. Die Zwei-Faktor-Authentifizierungslösung Swiss SafeLab M.ID setzt auf die unübertrefflichen Vorteile des Mobiltelefons als Besitzfaktor:

  • Jeder Anwender verfügt bereits über die benötigte Authentifizierungshardware.
  • Keine Anschaffung von Security-Tokens und daraus resultierenden Kosten für Logistik und Verteilung.
  • Der Anwender ist bestens vertraut mit seinem Security-Token (fördert Akzeptanz des Security-Tokens).
  • Die emotionale Bindung an sein Mobiltelefon fördert die Selbstdisziplin im Umgang mit dem Security-Token Mobiltelefon: herumliegende Tokens in der Schublade gehören der Vergangenheit an (fördert Sicherheit)
  • Das Security-Token Mobiltelefon kann zusätzlich in anderen bereits etablierten Gebieten Anwendung finden:
    • In Bankensoftware mit mTAN-Unterstützung
    • Proprietäre SMS-Lösungen

Swiss SafeLab M.ID Server ist ein Schweizer Produkt welches bei namhaften Firmen in der DACH-Region eingesetzt wird. Das Produkt ist aufgeteilt in die Hauptkomponente dem M.ID Server und den M.ID Agenten. Dieses Komponentenmodell macht das Produkt attraktiv für grosse sowie für kleine Unternehmen, da ihre Bedürfnisse gezielt auf deren Anforderungen zugeschnitten werden können. Ebenso wird dadurch die Aktualität der Software gewährleistet, indem immer neuere M.ID Agenten (Komponenten wie bspw. ein Active Directory Passwort reset, Outlook AddIn für SMS Versand) nachgeliefert werden können oder gar auf Wunsch der Kunden implementiert werden. Als reine plattformunabhängige Softwarelösung, lässt sich Swiss SafeLab M.ID nahtlos und während dem laufenden Betrieb in die bestehende Umgebung integrieren. Dies reduziert die Implementationskosten und ebenfalls die Wartungskosten, da keine Änderungen an kritischen Systemen vorgenommen werden müssen. Eine weitere Kostenreduktion wird durch die einfache und schnelle Benutzerkonfiguration erreicht. Swiss SafeLab M.ID kennt keine Kosten wie jährliche Benutzerlizenzgebühren oder fixe Kosten pro Token pro Jahr. Einzige wiederkehrende Kosten sind die SMS Kosten. Swiss SafeLab M.ID bietet jedoch nicht nur nennenswerte Kostenersparnisse, sondern ebenfalls die Möglichkeit der Einnahmequelle.

  • Weil Swiss SafeLab engen Kontakt mit seinen Kunden pflegt, fliessen so ständig neue Ideen und Notwendigkeiten in das Produkt Swiss SafeLab M.ID Server ein. Das Vertrauen der Kunden basiert einerseits auf der breit abgestützten Sicherheit, die Swiss SafeLab M.ID Server bietet:
  • Redundanz durch Mehrfachinstallation des M.ID Servers und den M.ID Agenten auf verschiedenen Servern
  • Zeitfenster und Modus für die Anmeldung pro Benutzer konfigurierbar
  • Verschiedene Sicherheitsstufen je nach Anforderung konfigurierbar (PIN, Secret Answer)
  • Schutz für Citrix WebInterfaces, beliebige Webseiten und RADIUS fähige Appliances
  • Automatisches Backup

Sowie auf den kompetenten Dienstleistungen der Swiss SafeLab im Bereich Netzwerksicherheit und Serveradministration.
Swiss SafeLab M.ID bietet mit umfangreichen Möglichkeiten von Sicherheit und Funktionalitäten, Skalierbarkeit und Konfiguration allen – von kleinen bis international tätigen Unternehmen – eine fortschrittliche Zwei-Faktor-Authentifizierung die alle Kundenbedürfnisse deckt ohne diese einzuengen.
Detailiertere Informationen zum Produkt Swiss SafeLab M.ID Server entnehmen Sie bitte den Dokumenten in unserem Download-Bereich.

Produkte

 M.ID Suite
Die M.ID Suite erlaubt eine einfache aber sichere Prüfung eines Benutzers, der remote über eine Schnittstelle auf Businessdaten zugreift. 

 

 SMS Providing
Als Ergänzung bieten wir ein SMS Providing an mit Zugangspunkten (Web Services) an unterschiedlichen Serverstandorten und einem integrierten SMSC (Short Message Service Center) im In- und Ausland. >

 

 OTP Authenticator
OTP Authenticator ist eine kostenlose App basierend auf Zeit-synchronisierten OTPs (one-time-passwords).

 

 Swiss SafeLab Token
Swiss SafeLab Token ist unser eigens für Sie hergestellten Security Hardware-Token. 

 

 GSM Modem Observer
Mit dem GSM Modem Observer besteht die Möglichkeit, SMS via Modem zu versenden.