Am 14. September 2019 ist der Hammer gefallen, denn die EU-Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) ist in Kraft getreten. Entsprechend hoch ist aktuell die mediale Aufmerksamkeit. So müssen Online-Händler ab sofort im Rahmen der PSD2 garantieren, dass sie für alle Zahlungsprozesse im Internet, die in Summe höher als 30 Euro liegen, eine sogenannte Zwei-Faktor-Authentifizierung (2FA) anbieten. Diese soll den Online-Zahlungsverkehr sicherer machen, da sie die Identitäten von Käufern mehrfach authentifiziert und auf diese Weise Hackerangriffe erschwert. Doch nicht nur für Onlinebezahlungen ist 2FA sinnvoll.
Die Zwei-Faktor-Authentifizierung existiert in unterschiedlichen Varianten. Manche davon verbinden das eingegebene Passwort mit einem zusätzlichen Faktor. Andere wiederum machen das vorherige Log-In via Passwort komplett überflüssig durch die direkte Verknüpfung von zwei Faktoren. Vor allem Hardware-basierte Ansätze bieten einen hohen Sicherheitsgrad und sollten ergänzend oder auch ersetzend mit einem starken Passwort eingesetzt werden. Wie sie starke Passwörter entwickeln erfahren Sie in unserem Whitepaper, das es hier zum kostenlosen Download gibt.
Im Normalfall beginnt eine Zwei-Faktor-Authentifizierung genau wie ein herkömmlicher Anmeldevorgang mit der Eingabe eines hoffentlich starken, sicheren Passworts. Die Plattform, auf der sich der Anwender einloggen möchte, verifiziert dann zunächst die Korrektheit des verwendeten Login-Kennworts. Im Gegensatz zu konventionellen Systemen gelangen Sie jedoch nicht direkt zum gewünschten Inhalt. Eine weitere Schranke verhindert den Zutritt. Somit wird zunächst einmal unterbunden, dass Unbefugte Zugriff auf Nutzerdaten oder Services erhalten, nur weil sie das korrekte Passwort kennen. Zahlreiche Zwei-Faktor-Anwendungen nutzen nach der Abfrage des Passworts externe Systeme, um eine Überprüfung des Nutzers in zwei Schritten vorzunehmen. So kann der Anbieter, auf dessen System Sie zugreifen möchten, beispielsweise einen Code zur Authentisierung an ein anderes von Ihnen genutztes Gerät senden. Hier kommen unter anderem Smartphones, Tablets oder auch Smartwatches infrage. Beim zweiten Faktor kann es sich jedoch ebenfalls um einen Fingerabdruck handeln, der über einen entsprechenden Sensor abgefragt wird. Auch USB-Tokens oder Chipkarten sind Authentifizierungsmittel, die hier zum Einsatz kommen können. Das bedeutet, dass erst wenn sich auch dieses Verfahren zur Identitätsbestätigung in Ihrem Besitz befindet, können Sie die angeforderten Systeme freischalten und den Online-Dienst oder das Gerät verwenden.
Folgende Aspekte sollten Sie bedenken, wenn Sie eine Zwei-Faktor-Authentifizierungslösung nutzen möchten.
Sie sollten darauf achten, dass Einmal-Passwörter immer erst bei der Anmeldung generiert werden. Vorher erzeugte Codes sorgen für Unsicherheit, weil sie entwendet werden könnten. Vor allem Authentifizierunglösungen mit Hardware-Token operieren häufig mit bereits erstellten One-time password auf Basis einer Seed-Datei.
Optimal ist es, wenn sich das Sicherheitsniveau der Anmeldung automatisiert auf Kontextinformationen einstellt. Man spricht hier von adaptiver Authentifizierung. In Abhängigkeit vom Standort eines Mitarbeiters, sei es innerhalb des Unternehmens oder an einem öffentlichen Ort wie einem Flughafen, verändert sich die Gültigkeitsdauer und die Art der Bereitstellung des Einmal-Passworts.
Vor Einführung sollten Sie prüfen, ob die Zwei-Faktor-Authentifizierungslösung zusätzliche Informationen bereitstellt, wenn beispielsweise ein Sicherheitsleck bekannt wurde. Dies ist sowohl für alarmierende als auch bestätigende Signale relevant. Loggt sich ein Unbefugter mit einem entwendeten Passwort ein, dann sollte die Zwei-Faktor-Authentifizierungslösung diesen Mitarbeiter oder auch zuständige Personen aus der IT-Abteilung direkt darüber aufklären.
Gerne beraten wir Sie, wenn Sie über die Einführung von Zwei-Faktor-Authentifizierung in Ihrem Unternehmen nachdenken. Kontaktieren Sie uns über unser Kontaktformular.