4 Vorteile der physischen gegenüber der mobilen Authentifizierung
Es ist kein Geheimnis, Sie können es selbst sehen. Der Einsatz von Zwei-Faktor-Authentifizierung (2FA) und Multi-Faktor-Authentifizierung (MFA) nimmt zu. Egal, ob Sie auf Ihr Google-Konto, Ihre Bank-App oder sogar Facebook zugreifen möchten, Sie müssen sich irgendwann authentifizieren. Dies wird durch eine kürzlich durchgeführte Umfrage gestützt: „Der Staat Auth“, was ergeben hat, dass 79 % der Menschen in Großbritannien und den USA im Jahr 2 2021FA verwendet haben.
Da Cybersicherheit heutzutage ein tägliches Diskussionsthema ist und für Unternehmen und Regierungen kein Ankreuzfeld mehr ist, ist diese Zahl keine Überraschung. Darüber hinaus machen es neue Vorschriften wie die starke Kundenauthentifizierung (SCA) der EU im Rahmen der überarbeiteten EU-Richtlinie zu Zahlungsdiensten (PSD2) erforderlich, dass Unternehmen solche Lösungen sowohl für Mitarbeiter als auch für Kunden implementieren.
Da die Nachfrage nach 2FA und MFA unter Unternehmen steigt, besteht der Druck, benutzerfreundliche Lösungen in kurzer Zeit bereitzustellen. Dies könnte erklären, warum von den oben genannten 79 % softwarebasierte Authentifizierungsmethoden (SMS, E-Mail und mobile Apps) die beliebteste Form der Zweitfaktor-Authentifizierung sind, während physische Schlüssel am wenigsten beliebt sind.
Aber ist der beliebteste Weg der sicherste Weg zur Authentifizierung? Ist es die kostengünstigste Methode für Unternehmen? Die kurze Antwort ist nein. Tatsächlich überwiegen die Vorteile der Verwendung einer physischen Form der Authentifizierung bei weitem die Verwendung von Software als Ihre primäre Methode.
Software kann gehackt oder getäuscht werden
Selbst die ausgeklügeltste Software kann von Angreifern umgangen oder beschädigt werden. Dies erstreckt sich auf mobile Authentifikatoren, die kryptografische Schlüssel verwenden, um Codes zu generieren, die zur Benutzeridentifikation verwendet werden. Jüngste Berichte haben gezeigt, dass Hacker diese Schlüssel leicht ausnutzen können, selbst wenn Entwickler sie in der „Trusted Execution Environment“ eines Smartphones sichern (z. B. StrongBox Keystore für Android und Secure Enclave für iOS). Wenn diese Schlüssel in die falschen Hände geraten, kann ein schlechter Betreiber die Befugnis erhalten, Transaktionen oder Verbindungen im Namen eines Benutzers zu authentifizieren.
Authentifikatoren für mobile Apps haben in der Regel auch nur eine grundlegende Sicherheitszertifizierung von nationalen und internationalen Sicherheitsbehörden, während physische sichere Schlüssel in der Regel höhere Ebenen haben. Während Smartphones zu einem „Alles-in-einem“-Tool werden, egal ob die SIM-Karte zu einer eSIM oder das Mobiltelefon zu einem Point-of-Sale-Gerät (POS) wird, gehen diese Änderungen mit Kompromissen bei der Sicherheit einher.
Indem Sie einen physischen sicheren Schlüssel wie den von NEOWAVE haben Winkeo, führen Sie ein physisches Element in Ihren Authentifizierungsprozess ein und eliminieren die Abhängigkeit von schwacher Software zum Schutz Ihrer vertraulichen Informationen. Der Benutzer muss während des Authentifizierungsprozesses den physischen Schlüssel vorzeigen und antippen. Es gibt keine zu schlagende Software, der eindeutige Kryptoschlüssel im physischen Gerät muss vorhanden sein, andernfalls wird der Zugriff verweigert.
FIDO kann Phishing ein Ende bereiten
Das FIDO-Allianz ist ein Branchenverband, der Authentifizierungsstandards entwickelt und fördert, um „dazu beizutragen, die weltweite übermäßige Abhängigkeit von Passwörtern zu verringern“. Zu seinen Mitgliedern gehören weltweit führende Unternehmen wie Google, Microsoft, VISA und Apple. FIDO-zugelassene Geräte halten sich an das Protokoll der Stelle, das aus einem benutzergesteuerten kryptografischen Authentifikator besteht, den Unternehmen verwenden können, um eine Verbindung zu Verzeichnissen und Apps herzustellen, die sie verwenden, z. B. AzureAD und Microsoft 365. Die Authentifizierung kann nur persönlich erfolgen, indem der Benutzer den Schlüssel antippt und einen PIN-Code eingibt. Dadurch entfällt das Risiko, sich auf Software auf Mobiltelefonen und Apps zu verlassen, die umgangen werden können.
Schädliche Websites können auch durch FIDO-zugelassene Schlüssel identifiziert werden. Wenn beispielsweise ein Mitarbeiter mit einem FIDO-Schlüssel eine bösartige Website besucht, fordert die gefälschte Website nicht zur Verwendung des Schlüssels während der Authentifizierung auf. Alle Anmeldeinformationen, die an schlechte Akteure weitergegeben werden, ermöglichen es ihnen nicht, über die echte Website auf ihre Konten zuzugreifen. Dies liegt daran, dass sie nicht über den physischen Schlüssel verfügen, der zur Authentifizierung erforderlich ist.
Die Crème de la Crème der physischen Schlüssel von FIDO besteht darin, dass Unternehmen durch den Einsatz dieser Technologie Phishing in ihrer Organisation eliminieren können. Durch das Hinzufügen eines physischen (nicht mobilen) Elements zu Ihrem Sicherheitsprozess hilft FIDO, Brute-Force-Angriffe sowie Man-in-the-Middle-Angriffe zu verhindern, für die OTP-Passwörter und SMS-Codes anfällig sind.
Tatsächlich behauptet Google, alle Phishing-Verstöße innerhalb seiner Organisation beendet zu haben. Das Unternehmen implementierte die U2F-Authentifizierung in seiner gesamten Organisation und verlangt von allen Mitarbeitern, physische sichere Schlüssel zu verwenden.
Sim-Swap-Betrug nimmt zu
SIM-Swap-Betrugsfälle haben in den letzten 400 Jahren um 6 % zugenommen. Das bedeutet, dass Hacker Mobiltelefonnummern klonen und sie neuen SIM-Karten zuweisen, über die sie auf Online-Bankkonten, Nachrichten, Anrufe und andere sensible Daten zugreifen können. Eines der bemerkenswertesten Opfer dieser Art von Betrug war Twitter Geschäftsführer Jack Dorsey. Sollten wir den Wert von Authentifikatoren für mobile Apps nicht in Frage stellen, wenn diese Bedrohung zunimmt?
Höchste Sicherheit zu einem Bruchteil der Kosten
Schockierend – aber nicht überraschend – haben fast 70 % der KMU keine MFA implementiert. Es macht jedoch Sinn, wenn Sie die Kosten betrachten. Wenn Sie ein kleines Unternehmen sind und Hunderte von Euro für ein Smartphone pro Mitarbeiter ausgeben müssen, um Zugriff auf eine Authentifizierungs-App zu erhalten, kann dies für Geschäftsinhaber entmutigend sein, insbesondere in wirtschaftlich unsicheren Zeiten. Auch wenn einige auf die Verwendung privater Smartphones zurückgreifen, ist dies nicht die sicherste Methode, da sie mit einem zusätzlichen Risiko verbunden ist, wenn das Telefon nicht dem Arbeitgeber gehört.
FIDO-Schlüssel hingegen sind mit rund 25 £ pro Person viel günstiger und bieten eine erhöhte Sicherheit, wie in den obigen Punkten beschrieben. Es ist eine Win-Win-Situation sowohl für kleinere Unternehmen, die Sicherheit priorisieren müssen, aber auch unsichere wirtschaftliche Zeiten durchleben, als auch für größere Organisationen, die MFA im gesamten Unternehmen mit Hunderten, wenn nicht Tausenden von Mitarbeitern implementieren müssen.
Cybersicherheit war noch nie so wichtig. Die erhöhte Bedrohung durch Russland seit der Invasion der Ukraine und die höhere Zahl von Mitarbeitern, die remote arbeiten, haben der Cybersicherheit höchste Priorität eingeräumt. Angriffe sind heute vollwertige Geschäfte und Organisationen müssen sicherstellen, dass ihre Schutzschilde keine Risse bekommen.