Gesetzliche Vorgaben wie die PSD2 und die EU-DSGVO fordern sichere Authentifizierungsmethoden wie die Zwei-Faktor-Authentifizierung (2FA). Dabei werden zwei voneinander unabhängiger Faktoren miteinander kombiniert.
Im zweiten Teil unseres Blogposts (den ersten Teil lesen Sie hier) erklären wir, was eine PSD2-konforme starke 2FA ausmacht und wie sich die Sicherheit weiter erhöhen lässt.
Für eine Zwei-Faktor-Authentifizierung können die Faktoren PIN-Code (Wissen) und Einmal-Passwort (Besitz) kombiniert werden.
Damit erfüllt sie eine der Anforderungen der PSD2 an starke Authentifizierung. Aber die Zahlungsrichtlinie sagt auch, dass die die Aufforderung zur Authentifizierung und die Authentifizierung selbst über getrennte Kanäle stattfinden muss.
PSD2-konformer Zahlungsvorgang per Smartphone-App
Ein Beispiel für einen PSD2-konformen Zahlungsvorgang per Smartphone-App: Um einen Zahlungsvorgang zu initiieren, müssen die Kontodaten in eine App eingegeben werden. Für die Anmeldung wird ein persönlicher PIN benötigt.
Die eingegebenen Daten werden an ein anderes Gerät bzw. an den entsprechenden Anbieter übertragen. Auf dem zweiten Gerät bzw. vom Anbieter wird ein Einmal-Passwort (OTP) generiert und gesendet, um die Transaktion bestätigen zu können.
Schwachstelle Einmal-Passwort (OTP)
Einmal-Passwörter sind zwar sicherer als statische Passwörter. Trotzdem ist ihr Einsatz keine 100-prozentige Sicherheitsgarantie.
Denn:
- Einmal-Passwörter werden oft unverschlüsselt per SMS oder E-Mail versendet und können abgefangen werden.
- Die Sicherheit des Einmal-Passworts ist abhängig von der Sicherheit des E-Mail-Kontos ab, an das es versendet wird. Denn zum Schutz ihrer E-Mail-Konten setzen Anwender häufig unsichere Passwörter ein.
- Die Algorithmen für die Berechnung eines Einmal-Passworts sind nicht grundsätzlich sicher. Ein Vergleich der Stärken und Schwächen der beiden gebräuchlichen Methoden HOTP und TOTP findet sich hier.
Mehr Sicherheit mit Challenge-Response-Verfahren
Sicherer wird die Zwei-Faktor-Authentifizierung, wenn das Challenge-Response-Verfahren verwendet wird. Hier muss der Anwender durch Lösen einer Aufgabe (Challenge) beweisen (Response), dass er eine bestimmte Information kennt, ohne diese selbst übertragen zu müssen. Beim Challenge-Response-Verfahren werden kryptologische Hashfunktionen genutzt.
Die App als „virtuelle Smartcard“
Und damit kommt die „Königsdisziplin“ in Sachen Sicherheit, Public Key Infrastructures (PKI), ins Spiel. Starke Authentifizierung, Datenverschlüsselung und digitale Signaturen sind die wesentlichen Funktionen, die mit einer PKI umgesetzt werden.
Kernkomponenten einer PKI sind:
- ein digitales Zertifikat,
- ein an die Identität des Zertifikatsträgers gebundenes korrespondierendes Schlüsselpaar (öffentlicher privater Schlüssel und geheimer privater Schlüssel).
Dank der asymmetrischen Kryptografie kann die Vertrauenswürdigkeit einer digitalen Identität bestätigt werden, ohne dass hierfür ein gemeinsames Geheimnis benötigt wird. PKI-Technologie ist hochsicher, kommt aber typischerweise eher bei großen Firmen zum Einsatz.
Aber es geht auch eine „Nummer Kleiner“.
Apps können in die Rolle einer virtuellen Smartcard schlüpfen und PKI-Technologie nutzen. Solche App machen auch zusätzliche Hardware-Tokens obsolet. Denn längst ist das Smartphone zum alltäglichen Begleiter geworden.
Fazit
Egal ob sicherer Zugriff auf sensible personenbezogene Daten oder Sicherheit im Zahlungsverkehr: mit starker Authentifizierung gehen Unternehmen und Organisationen auf „Nummer Sicher“. Und mit einer App wie Nexus Personal Mobile gehen sie sogar noch einen Schritt weiter. Personal Mobile bringt PKI-Technologie und PKI-basierte Identitäten auf das Smartphone.
Im Gegensatz zu Authentifizierungsmethoden wie Einmal-Passwörter ist Personal Mobile sogar immun gegen sogenannte Man-in-the-Middle-Angriffe.
NexusPersonal Mobile nutzt Lösungen wie Nexus PRIME, Nexus Hybrid Access Gateway oder Nexus Certificate Manager. Das macht die App zu etwas Besonderem.