Sicherheit zum Wegwerfen

Gesetzliche Vorgaben wie die PSD2 und die EU-DSGVO fordern sichere Authentifizierungsmethoden wie die Zwei-Faktor-Authentifizierung (2FA). Dabei werden zwei voneinander unabhängiger Faktoren miteinander kombiniert.

Im zweiten Teil unseres Blogposts (den ersten Teil lesen Sie hier) erklären wir, was eine PSD2-konforme starke 2FA ausmacht und wie sich die Sicherheit weiter erhöhen lässt.

Für eine Zwei-Faktor-Authentifizierung können die Faktoren PIN-Code (Wissen) und Einmal-Passwort (Besitz) kombiniert werden.

Damit erfüllt sie eine der Anforderungen der PSD2 an starke Authentifizierung. Aber die Zahlungsrichtlinie sagt auch, dass die die Aufforderung zur Authentifizierung und die Authentifizierung selbst über getrennte Kanäle stattfinden muss.

PSD2-konformer Zahlungsvorgang per Smartphone-App

Ein Beispiel für einen PSD2-konformen Zahlungsvorgang per Smartphone-App: Um einen Zahlungsvorgang zu initiieren, müssen die Kontodaten in eine App eingegeben werden. Für die Anmeldung wird ein persönlicher PIN benötigt.

Die eingegebenen Daten werden an ein anderes Gerät bzw. an den entsprechenden Anbieter übertragen. Auf dem zweiten Gerät bzw. vom Anbieter wird ein Einmal-Passwort (OTP) generiert und gesendet, um die Transaktion bestätigen zu können.

Schwachstelle Einmal-Passwort (OTP)

Einmal-Passwörter sind zwar sicherer als statische Passwörter. Trotzdem ist ihr Einsatz keine 100-prozentige Sicherheitsgarantie.

Denn:

  • Einmal-Passwörter werden oft unverschlüsselt per SMS oder E-Mail versendet und können abgefangen werden.
  • Die Sicherheit des Einmal-Passworts ist abhängig von der Sicherheit des E-Mail-Kontos ab, an das es versendet wird. Denn zum Schutz ihrer E-Mail-Konten setzen Anwender häufig unsichere Passwörter ein.
  • Die Algorithmen für die Berechnung eines Einmal-Passworts sind nicht grundsätzlich sicher. Ein Vergleich der Stärken und Schwächen der beiden gebräuchlichen Methoden HOTP und TOTP findet sich hier.

Mehr Sicherheit mit Challenge-Response-Verfahren

Sicherer wird die Zwei-Faktor-Authentifizierung, wenn das Challenge-Response-Verfahren verwendet wird. Hier muss der Anwender durch Lösen einer Aufgabe (Challenge) beweisen (Response), dass er eine bestimmte Information kennt, ohne diese selbst übertragen zu müssen. Beim Challenge-Response-Verfahren werden kryptologische Hashfunktionen genutzt.

Die App als „virtuelle Smartcard“

Und damit kommt die „Königsdisziplin“ in Sachen Sicherheit, Public Key Infrastructures (PKI), ins Spiel. Starke Authentifizierung, Datenverschlüsselung und digitale Signaturen sind die wesentlichen Funktionen, die mit einer PKI umgesetzt werden.

Kernkomponenten einer PKI sind:

  • ein digitales Zertifikat,
  • ein an die Identität des Zertifikatsträgers gebundenes korrespondierendes Schlüsselpaar (öffentlicher privater Schlüssel und geheimer privater Schlüssel).

Dank der asymmetrischen Kryptografie kann die Vertrauenswürdigkeit einer digitalen Identität bestätigt werden, ohne dass hierfür ein gemeinsames Geheimnis benötigt wird. PKI-Technologie ist hochsicher, kommt aber typischerweise eher bei großen Firmen zum Einsatz.

Aber es geht auch eine „Nummer Kleiner“.

Apps können in die Rolle einer virtuellen Smartcard schlüpfen und PKI-Technologie nutzen. Solche App machen auch zusätzliche Hardware-Tokens obsolet. Denn längst ist das Smartphone zum alltäglichen Begleiter geworden.

Fazit

Egal ob sicherer Zugriff auf sensible personenbezogene Daten oder Sicherheit im Zahlungsverkehr: mit starker Authentifizierung gehen Unternehmen und Organisationen auf „Nummer Sicher“. Und mit einer App wie Nexus Personal Mobile gehen sie sogar noch einen Schritt weiter. Personal Mobile bringt PKI-Technologie und PKI-basierte Identitäten auf das Smartphone.

Im Gegensatz zu Authentifizierungsmethoden wie Einmal-Passwörter ist Personal Mobile sogar immun gegen sogenannte Man-in-the-Middle-Angriffe.

NexusPersonal Mobile nutzt Lösungen wie Nexus PRIME, Nexus Hybrid Access Gateway oder Nexus Certificate Manager. Das macht die App zu etwas Besonderem.

Published 19 April, 2017

Diese Website verwendet Cookies

Cookies sind kleine Textdateien, die Daten enthalten, welche auf Ihrem Gerät gespeichert werden. Für das Speichern bestimmter Arten von Cookies ist Ihre Einwilligung erforderlich. Technology Nexus Secured Business Solutions AB - Bei „556258-0414“ verwenden wir folgende Arten von Cookies. Mehr darüber, welche Cookies wir verwenden und wie lange diese gespeichert werden, erfahren Sie, in unserer Cookie-Richtlinie.

Cookie-Einstellungen bearbeiten

Erforderliche Cookies

Erforderliche Cookies sind solche Cookies, die gespeichert werden müssen, damit die grundlegenden Funktionen der Website gewahrt bleiben. Grundlegende Funktionen sind zum Beispiel die Verwendung der Menüs und die Navigation auf der Seite.

Funktionale Cookies

Funktionale Cookies müssen für eine Website gespeichert werden, damit diese entsprechend Ihren Erwartungen funktioniert. Dazu gehört unter anderem die von Ihnen bevorzugte Sprache oder das Erkennen, ob Sie angemeldet sind oder nicht. Sie sorgen zudem für die Sicherheit der Website, erinnern sich an Anmeldedaten oder ermöglichen, dass Sie auf der Website die Produkte entsprechend Ihren Wünschen sortieren.

Statistik-Cookies

Damit wir Ihre Interaktion auf der Website messen können, speichern wir Statistik-Cookies. Diese anonymisieren die personenbezogenen Daten.

Cookies für das Ad-Tracking

Damit wir Ihnen einen besseren Service und eine bessere Wahrnehmung beim Besuch der Website ermöglichen können, speichern wir Cookies, die passende Werbung bereitstellen. Sie ermöglichen außerdem, Produkte und Serviceleistungen zu bewerben, kundenspezifische Angebote bereitzustellen und Empfehlungen auszusprechen, die sich an früher erworbenen Produkten orientieren.