Direkte autonome Authentifizierung für mobile Geräte
Die direkte autonome Authentifizierung, eine neue mobile Technologie, authentifiziert Benutzer mit Smartphones schneller als typische Methoden der Zwei-Faktor-Authentifizierung.
Die ideale Authentifizierungsmethode verbindet Sicherheit und Benutzerfreundlichkeit. Administratoren mobiler Geräte, die dieses Gleichgewicht erreichen wollen, sollten sich daher mit der direkten autonomen Authentifizierung befassen.
Die direkte autonome Authentifizierung nutzt die Echtzeit-Datensignale von Mobilfunkbetreibern und den eingebauten SIM-Karten der mobilen Geräte. Damit steht eine neue Authentifizierungsmethode zur Verfügung, die schneller und sicherer sein kann als herkömmliche Ansätze.
Einblick in den Prozess
Der Prozess der direkten autonomen Authentifizierung startet, wenn ein Benutzer auf eine Online-Anwendung oder Website zugreift, die von einem Anbieter gehostet wird, der diese Methodik unterstützt. Das Tool von Averon beispielsweise ermittelt die Telefonnummer des Benutzers und ordnet sie einem bestehenden Konto zu, um seine Identität zu bestätigen. Als Teil dieses Prozesses verfolgt das Tool Daten des mobilen Geräts, während dieses sich an einem Mobilfunkmasten einwählt. Damit verwendet es für die Identifikation des mobilen Geräts dieselben Technologien wie der Mobilfunkanbieter.
Von dort aus hasht die Software die Telefonnummer, um die Identität des Benutzers zu schützen, und fügt dann einen teilnehmerspezifischen Schlüssel hinzu, um eine eindeutige Kontokennung zu erstellen. Der Hoster, der die direkte autonome Authentifizierung unterstützt, verwendet diese Kennung, um zu überprüfen, ob das Konto des Benutzers existiert. Wenn dieser Prozess erfolgreich ist, meldet das Tool den Benutzer innerhalb von Millisekunden an. Für diesen ist dann keine Aktion mehr erforderlich.
Es ist relativ einfach, die direkte autonome Authentifizierung über die notwendigen APIs in eine Anwendung oder Website zu integrieren. IT-Teams brauchen dazu nur ein paar Zeilen Code in die Anwendung oder Website einzufügen.
Direkte autonome Authentifizierung versus Multifaktor-Authentifizierung
Beispielsweise kann eine Website von Benutzern verlangen, dass sie bei der Einrichtung ihrer Konten Benutzernamen und Passwörter angeben. Darüber hinaus kann die Website den Benutzer auffordern, eine Mobilfunknummer anzugeben, damit sie ihm eine Textnachricht mit einem temporären Zugangscode zusenden kann.
Diese Methoden sind zwar besser als nur der Einsatz von Benutzername und Passwort, aber Zwei-Faktor- und Multifaktor-Authentifizierung haben ihre Nachteile. Sie können Benutzer frustrieren oder verwirren und wertvolle Zeit in Anspruch nehmen – vor allem, wenn die Anzahl der Konten wächst. Darüber hinaus vergessen oder verlieren Benutzer häufig ihre Passwörter. Dadurch wird der Anmeldevorgang noch komplizierter.
Die Zwei-Faktor- und Multifaktor-Authentifizierung kann auch Sicherheitsrisiken mit sich bringen. So ist es beispielsweise für Hacker möglich, die Textnachricht abzufangen, die den Anwendern ein temporäres Passwort bereitstellt. Gleichzeitig reichen solche Ansätze möglicherweise nicht aus, um den Auswirkungen schlechter Gewohnheiten der Nutzer entgegenzuwirken, wie etwa der mehrfachen Verwendung von Passwörtern, deren Weitergabe oder dem Aufschreiben etwa auf einem Post-Its, das sie dann an den Bildschirm kleben.
Die direkte autonome Authentifizierung berücksichtigt sowohl die Benutzererfahrung als auch die Sicherheitsrisiken, die mit herkömmlichen Authentifizierungsmethoden verbunden sind. Für die Anwender ist es nicht mehr notwendig, Benutzernamen oder Passwörter anzugeben, Passwörter für mehrere Standorte zu verwalten, Links anzuklicken, auf eine SMS mit dem Passwort zu warten oder spezielle Anwendungen herunterzuladen. Der gesamte Authentifizierungsprozess findet hinter den Kulissen statt und bleibt für den Benutzer unsichtbar.
Durch diese Integration wird der Authentifizierungsprozess auch weniger anfällig für die Art der Risiken, die von anderen Authentifizierungsmethoden wie Text- oder E-Mail-Abfragen ausgehen. Bei der direkten autonomen Authentifizierung gehen auch Angriffsvektoren wie Social-Engineering-Angriffe via Phishing oder andere Arten von Bedrohungen ins Leere.
Für die Anwender ist es nicht mehr notwendig, Benutzernamen oder Passwörter anzugeben.
Der Nutzer ist zudem nicht dazu verpflichtet, personenbezogene Daten anzugeben. Das Tool für die direkte autonome Authentifizierung sammelt und speichert keine personenbezogenen Informationen. Damit wird es für Kunden einfacher, die Compliance-Herausforderungen zu meistern, die mit der Einhaltung gesetzlicher Standards für Online-Dienste verbunden sind.
Ein Schritt nach vorne
Tools für die direkte autonome Authentifizierung könnten einen großen Fortschritt bei der Identifizierung und Authentifizierung mobiler Nutzer darstellen, die Technologie ist allerdings noch nicht ausgereift. Es ist noch nicht klar, welche Risiken und Herausforderungen derartige Tools langfristig mit sich bringen.
Was passiert zum Beispiel, wenn Hacker ein mobiles Gerät kompromittieren oder in die Systeme eines Mobilfunkanbieters eindringen? Was ist mit Unternehmen, die eine einheitliche IAM-Lösung (Identity and Access Management) suchen, die alle Geräte abdeckt, auch solche, die nicht mit Mobilfunknetzen verbunden sind?
Wie wird sich die Technologie der direkten autonomen Authentifizierung auf den Einsatz von DevOps-Tools von Drittanbietern oder Management- und Monitoring-Lösungen aus?
Nächste Schritte
So wird Multifaktor-Authentifizierungen angegriffen
