Authentisierung: Stress vorbei – Passwortfrei

Anzeige

Der Einsatz von Biometrie und Customer-Identity-Access-Management-Lösungen setzt neue Maßstäbe bei Nutzerfreundlichkeit und Sicherheit.

Ein Blick in die Zukunft. Ein Mitarbeiter eines renommierten Unternehmens mit mehreren internationalen Standorten ist auf Geschäftsreise. Er landet am Flughafen, sein Reisepass wird mit einem kontaktlosen Chipgerät ausgelesen und er kann das Land betreten. Er erreicht die Firmenzentrale und passiert dort nach einer automatischen Zugangskontrolle, basierend auf dem Gehmuster, den Haupteingang. Nach Feierabend besucht er ein Restaurant und bezahlt dank Gesichtserkennung mit einem Lächeln.

Dieses Szenario ist bereits in wenigen Jahren denkbar, denn die biometrische Identifikation wird zunehmend eingesetzt. Der Vorteil biometrischer Verfahren ist, dass diese Attribute weder vergessen noch gestohlen noch weitergegeben werden können. 

Das Passwort ist passé. Besonders in der Online-Welt profitieren Nutzer von biometrischen Authentisierungsverfahren, da jeder User im Gegensatz zur realen Welt mehrere »Identitäten« besitzt. Im Laufe der Zeit sammeln sich zahlreiche Kombinationen aus Benutzernamen und Passwörtern an und es ist nahezu unmöglich, sich all diese Kombinationen zu merken. Internetnutzer tendieren daher dazu, möglichst einfache Passwörter zu verwenden und ihre Passwörter oder Variationen davon bei mehreren Diensten zu verwenden. Laut einer Studie des Hasso-Plattner-Instituts waren »12345«, »hallo« und »passwort« unter den Top 10 der meistgenutzten Passwörter im Jahr 2018 in Deutschland. Und auch die Generierung von Passwörtern erzeugt bei vielen Internetnutzern Stress. 32 % der Deutschen verwenden Fantasiewörter, 21 % nutzen persönliche Informationen wie Geburtsdaten oder Haustiernamen, nur 11 % setzen auf die von Experten empfohlene Satzmethode. Die vermehrte Nutzung von mobilen Geräten verschärft das Problem zusätzlich: Studien belegen, dass die Qualität der Passwörter auf mobilen Endgeräten aus nachvollziehbaren Gründen nochmals deutlich schlechter ist: Denn welcher Benutzer verwendet schon freiwillig lange Passwörter mit Sonderzeichen auf seinem Smartphone? 

Cyberkriminelle haben demzufolge oft ein leichtes Spiel beim Hacken von Passwörtern. Social Engineering, Phishing und Brute-Force-Angriffe weisen eine hohe Erfolgsquote auf – und im Internet kursieren bereits seit Jahren Datenbanken mit Millionen Zugangsdaten. Im Dark Web ist der Handel von Anmeldeinformationen ein Milliardenmarkt. 

Biometrie erfährt immer mehr Akzeptanz. Das Ende des Passworts ist also nicht eine Frage der Zeit, sondern eine dringende Notwendigkeit. Mit der biometrischen Authentisierung steht bereits eine Alternative bereit, die von vielen Anwendern schon regelmäßig genutzt wird, beispielsweise beim Entsperren von mobilen Endgeräten oder Notebooks mit dem Fingerabdruck oder der Face ID. 

Aufgrund der ersten positiven Erfahrungen steigt die Akzeptanz von biometrischen Authentisierungsverfahren zunehmend. Laut einer Studie von PwC können sich 58 % der Deutschen vorstellen, biometrische Verfahren beim Online- und Mobile-Banking einzusetzen. 61 % der Befragten können sich eine Nutzung bei Zugangskontrollen, beispielsweise am Flughafen, vorstellen. 

Besonders im Finanzsektor ist eine Umstellung auf biometrische Verfahren ein aktuelles Thema aufgrund der Einführung der EU-Zahlungsrichtlinie PSD2, die europaweit einheitliche Regelungen für den Zahlungsverkehr schafft. Bisher gängige Methoden wie etwa gedruckte TAN-Listen für die Authentisierung oder die Zahlungsfreigabe haben ausgedient, denn die PSD2-Richtlinien verlangen, dass sowohl Authentisierung wie auch die Autorisierung bei der Zahlungsfreigabe auf kryptographische Methoden zurückgreifen muss. Zudem ist klar vorgegeben, was als starke Zwei-Faktor-Authentisierung/-Autorisierung gilt: Die verwendeten Sicherheitsmerkmale müssen aus zwei von drei möglichen Bereichen stammen. Die drei Bereiche sind Wissen, Besitz und biometrische Merkmale. Eine Kombination aus Passwort und PIN reicht demzufolge nicht mehr aus, weil die kryptographische Absicherung nicht gegeben ist. Zukunftsgerichtete Lösungsansätze sind jedoch verfügbar: Der Industriestandard FIDO (https://fidoalliance.org/) basiert auf kryptographischen Methoden und ermöglicht die einfache Einbindung von biometrischen Erkennungsmethoden wie Touch ID oder Face ID, welche auf den Endgeräten der Benutzer bereits verfügbar sind. Zudem garantiert der FIDO-Ansatz, dass die biometrischen Daten das Endgerät nie verlassen. Damit können sowohl die Datenschutzrichtlinien (DSGVO) sowie die neuen Auflagen im Zahlungsumfeld (PSD2) perfekt abgedeckt werden.

Continuous Behavior Analytics. Um jedoch die höchstmögliche Sicherheit zu gewährleisten, ist eine sichere Authentisierung nicht ausreichend, denn auch während einer Online-Sitzung besteht das Risiko eines Cyberangriffs. Im Zuge eines Session-Hijacking-Angriffs können die verschiedenen Sessions der Webseiten übernommen werden, ohne dass der Nutzer merkt, dass seine aktive Sitzung von einem Hacker gekapert wurde. Dabei können Angreifer auf die Daten einer Webseite zugreifen oder Aktivitäten ausspähen. Es sollte also zu jedem Zeitpunkt der Online-Sitzung eine Überprüfung möglich sein, ob es sich tatsächlich um den registrierten Nutzer handelt, ohne jedoch die Usability zu gefährden. Auch hier bieten biometrische Verfahren eine Lösung. 

Sogenannte Customer-Identity-Access-Management-Lösungen (CIAM) mit integrierten maschinellen Lernverfahren vereinen Sicherheit, Privatsphäre und Benutzerfreundlichkeit, da sie das Verhalten der Nutzer erlernen und auf Basis von Algorithmen unbefugten Zugriff, betrügerische Transaktionen und den Verlust oder Missbrauch von Kundendaten in Echtzeit aufspüren und stoppen. Von zentraler Bedeutung ist dabei »Continuous Behavior Analytics«. Dabei werden diverse metrische Daten wie Tastenanschläge, Schreibgeschwindigkeit, Touchscreen-Druck und Swiping-Verhalten erfasst, da diese Faktoren bei jedem Menschen einzigartig sind. So kann der Benutzer zu jedem Zeitpunkt der Online-Sitzung automatisch ohne störende Unterbrechungen authentifiziert werden. Bei einer guten Implementierung ermöglichen Systeme, die maschinelles Lernen für die Analyse der verhaltensbezogenen Daten nutzen, ein hohes Maß an Erfolg bei der Erkennung und Vorbeugung von Betrug.

Fazit. Um den stetig größer werdenden Cybergefahren entgegenzuwirken, wird Biometrie in Zukunft unumgänglich sein, denn die passwortfreie Authentisierung ist die Authentisierung der Zukunft. Sie vereint Nutzerfreundlichkeit und Sicherheit bei gleichzeitig sinkendem Administrationsaufwand. Davon profitieren sowohl Internetnutzer als auch Unternehmen und Dienstleister.



Stephan Schweizer, Chief Product Officer
NEVIS bei AdNovum Informatik AG

 

Illustration: © marketlan/shutterstock.com

 

71 Artikel zu „Biometrie“

Biometrie als Authentifizierungsmethode deutlich vor PIN und Passwort

Biometrische Authentifizierungsfaktoren rangieren in Sachen Sicherheit vor PINs und Passwörtern. Deutsche nutzen dennoch im Schnitt mindestens acht Passwörter für mehr als zehn Accounts. Biometrie gewinnt bei deutschen Verbrauchern als Authentifizierungsmethode an Ansehen: 60 Prozent denken positiv über Biometrie und 42 Prozent der Deutschen halten die Authentifizierung per Stimme, Fingerabdruck oder Iris-Scan für den sichersten Weg,…

Bequemer Reisen mit Biometrie

Das Identitätsmanagement mit biometrischen Daten wird die Passagierabfertigung verändern. Die biometrische Technologie entwickelt sich für Fluggesellschaften und Flughäfen zu einer der besten Lösungen, um automatisierte Identitätskontrollen bei steigenden Passagierzahlen durchzuführen. Dies berichtet der kürzlich von SITA veröffentlichte Report »Biometrics for Better Travel: An ID Management Revolution«. Er legt dar, wie die Nutzung von biometrischen Daten…

Neue Biometrie-Technologie auf der Grundlage individueller Gehirnsignale – keine Daten in der Cloud

Nutzer haben völlige Kontrolle über ihre Daten und benötigt keine zweite Authentifizierungsstufe. Aerendir Inc. präsentiert NeuroPrint, eine neue Technologie zur Authentifizierung, Identifizierung und Verschlüsselung auf der Grundlage physiologischer Daten. Damit ist das Unternehmen Vorreiter auf dem Gebiet der biometrischen Authentifizierung. NeuroPrint ist die einzige biometrische Technologie, die in keiner Weise Cloud-Dienste nutzt. Die gesamten Daten liegen…

Biometrie, Blockchain und Co. – Die Identity-Trends für 2018

Ob Equifax, Dropbox oder WannaCry – Das Jahr 2017 bleibt vielen durch groß angelegte Cyberangriffe und Datenschutzverletzungen in Erinnerung. Dabei waren Privatpersonen ebenso betroffen wie Unternehmen, Politiker und ganze Länder. Die Absicherung von Infrastrukturen und der Schutz persönlicher Information wird auch in diesem Jahr eine wichtige Rolle in der IT einnehmen, denn Cyberkriminelle werden weiterhin…

Biometrie : Bezahlen per Fingerabdruck

Auch biometrische Autorisierungsverfahren wie Iris-Scan und Stimmprofil sind im Kommen. Kurz den Daumen auf den Scanner gelegt, schon ist die Freigabe erteilt: Was heute zum Entsperren von Smartphones oder Tablets üblich ist, wird künftig auch beim Bezahlen verbreitet sein. 8 von 10 Deutschen (81 Prozent) wollen in Zukunft den Fingerabdruck nutzen, um bargeldlose Bezahlvorgänge abzusichern.…

Biometrie ist Teil des intelligenten Wohnens

Für Fraunhofer-Forscher in Darmstadt ist intelligentes Wohnen das Ziel. Den Komfort gewinnt es auch durch Biometrie. Das Forschungszentrum »Smart Living & Biometric Technologies« steht nun für diesen Ansatz. Biometrie wird von den Forschern des Fraunhofer IGD nicht in erster Linie als Sicherheitstechnologie gesehen. Sie sehen hierin vor allem eine Komforttechnologie. Menschen sollen nicht mehr auf…

Passwort-Zeitalter noch lange nicht vorbei: Trotz Biometrie bleiben sichere Passwörter der Standard

Passwörter sind seit Einführung des PCs der sicherste Schutz von wertvollen Unternehmensdaten und das wird auch auf absehbare Zeit so bleiben. Auch wenn Microsoft mit Windows 10 endgültig den Weg zur biometrischen Nutzererkennung beschreiten will, werden sie so schnell nicht aus der Mode kommen. Gerade bei kleinen und mittelständischen Unternehmen ist Sicherheit ist weniger eine Frage der Technologie als eine Sache klarer Regeln, die konsequent umgesetzt werden müssen.

Umgang mit Passwörtern bleibt Hauptproblem für IT-Sicherheit in Unternehmen

Dritter jährlicher »Global Password Security Report« belegt weit verbreitete Wiederverwertung von Passwörtern trotz höherer Investitionen in Sicherheitstools wie Multifaktor-Authentifizierung.   Die Studie von LastPass von LogMeIn liefert Einblicke, wie Mitarbeiter mit Passwörtern umgehen und zeigt neue Trends im Bereich Identitäts- und Zugriffsmanagement in Unternehmen weltweit auf. Zu den wichtigsten Ergebnissen des diesjährigen Reports gehört, dass…

Hacker erraten 60 Prozent aller Passwörter

Nach neun Monaten Penetrationstests verdeutlicht eine Studie von Rapid7 die effektivsten Methoden, mit denen Hacker Passwörter knacken. 73 Prozent der Hackereinbrüche basieren auf gestohlenen Passwörtern. Die Hälfte von ihnen können zu 60 Prozent ganz einfach von Hackern erraten werden. Das zeigt die Studie »Under the Hoodie« von Rapid7, die auf den Ergebnissen von 180 in…