Authentifizierung ohne Token

in-App MFA  

Die Nutzung einer Mobile App ist bei einem Authentifizierungsprozess weitaus bequemer und benutzerfreundlicher als wenn ein Schlüsselanhänger oder USB-Dongle als Token eingesetzt wird. Allerdings erfordert es, dass alle Benutzer ein Smartphone besitzen oder einsetzen wollen und das die MFA App installiert und dann aktiviert wird. Es gibt durchaus viele Situationen bei denen Unternehmen oder Organisationen die Nutzung von Smartphones nicht wünschen oder erlauben. Daher haben wir uns die Frage gestellt, wie wir diese Einschränkung beseitigen können.

Diese Frage die wir von diversen Kunden gestellt bekommen haben, führte uns zu der idee von In-App MFA. Anstatt das der Benutzer ein Token (Hardware oder App) verwendet und ein Einmalpasswort in die Anmeldeschnittstelle eingibt (Desktop-Client, Mobile App, Anmeldeseite in einem Browser), warum das Einmalpasswort nicht direkt in dieser Schnittstelle generieren? Das würde die Notwendigkeit für den Einsatz von Token, Smartphones oder MFA Apps und selbst SMS Codes verringern.

InWebo In-App-Authentifizierungsmethoden und wie sie implementiert werden

Seitdem wir die Idee von in-App MFA im Jahre 2010 entwickelt haben, sind 2 Authentifizierungsmethoden released und erfolgreich bei zahlreichen Kunden im Einsatz:

  • inWebo mAccess, eine Bibliothek für clientbasierte MFA für native Anwendungen (Mobile Apps sowie Desktop-Clients). mAccessst ist für alle Plattformen verfügbar (iOS, Android, Windows Phone, Desktop-Clients). Um es zu implementieren, muss die Bibliothek dem Anwendungscode hinzugefügt werden.
  • inWebo Virtual Authenticator und inWebo Helium, JavaScript-Bibliotheken für browserbasierte MFA für Web-Anwendungen. Um sie zu implementieren, müssen einige Zeilen HTML zum Code der Anmeldeseite der Anwendung hinzugefügt werden.

Die In-App Bibliotheken und ihre Dokumentationen sind auf der inWebo Entwickler Webseite verfügbar. Beachten Sie, dass die In-App Bibliothek mit der Anwendung (nativ oder im Web) integriert ist und der Benutzer somit nichts extra installieren muss, weder App noch Plugin. Wir nennen diese Authentifizierungsmethode auch “Tokenless MFA”.

Wie funktioniert diese Methode?

Die App, der Client oder der Browser muss zunächst aktiviert und mit einem Benutzer verknüpft werden. Dies geschieht genauso wie bei einem MFA-Soft Token. Diese App oder der Client oder Browser wird dann buchstäblich zu einem MFA-Token, in dem Anmeldeinformationen gespeichert werden, die für die Authentifizierung verwendet werden. Die Bibliothek verwaltet diese Anmeldeinformationen: Ausstellung oder Austausch mit dem inWebo-Authentifizierungsserver, Aktualisierung, Schutz und Verwendung.

Bei der Anmeldung in einer App, einem Client oder einem Webbrowser wird der Benutzer zur Eingabe eines Passworts oder einem biometrischen Merkmal aufgefordert (bei einem zweistufigen Authentifizierungsszenario auch keine zusätzliche Eingabe nötig). Die Bibliothek verwendet diese Informationen sowie die Anmeldedaten der App- / Client- / Browser-Authentifizierungsinformationen zum generieren eines Einmalpasswortes (OTP). Das OTP wird in der Authentifizierungsanforderung verwendet, die an den Server gesendet wird.

Für den Benutzer bedeutet dies keine Änderung der Anmeldeprozedur im Vergleich zu einer normalen Authentifizierung ohne MFA. Die Benutzerfreundlichkeit ist einer der großen Vorteile der In-App Authentifizierung. Dies wird in einem kurzen inWebo Erklärungsvideo auf der Startseite veranschaulicht.

Welches Sicherheitsmodell befindet sich hinter dieser Lösung?

In-App MFA erscheint im ersten Moment vielleicht magisch, da das OTP nicht anzeigt wird und es für den Benutzer wie eine normale kennwortbasierte Authentifizierung aussieht. Die Benutzererfahrung ist hervorragend, aber wie ist es mit der Sicherheit?

Die kurze Antwort lautet, In-App ist genauso sicher wie bei der Verwendung eines 2FA-Token. Es gibt zwei Aspekte, die berücksichtigt werden müssen:

  • Um ein gültiges OTP zu fälschen und auf ein Benutzerkonto zuzugreifen, benötigt ein Hacker die “Bibliotheksdaten” des Benutzers und was der Benutzers weiß (oder biometrisches Merkmal). Die Tatsache, dass die Bibliotheksanmeldeinformationen mit der App, dem Client oder dem Browser des Benutzers gespeichert sind bedeutet, dass der Hacker auch noch das Gerät in Besitz haben muss mit dem sich der Benutzer anmeldet. Dies gilt aber genauso auch für eine Authentifizierung mit einer MFA-App.
  • Wenn die App, der Client oder der Browser kompromittiert ist, kann der Hacker Transaktionen erstellen und unbemerkt bleiben sobald eine authentifizierte Sitzung gestartet wurde, nicht vorher. Dies gilt für alle Authentifizierungsmethoden egal ob In-App oder Out-of-Band (um dies zu verhindern, müssen Transaktionssignaturen über einen zweiten Authentifizierungskanal verwendet werden). In dieser Hinsicht ist In-App MFA, wie andere Authentifizierungsmethoden, genauso sicher wie die App, der Client oder der Browser der für die Anmeldung verwendet wird.

Sichere Authentifizierung ohne Token für jede App, Client- oder Web-Anwendung

Zusammenfassend lässt sich sagen, dass In-App MFA, clientbasiert oder browserbasiert, im Gegensatz zu allen anderen 2-Faktor Methoden wie Smartcards, Hardware-Token, MFA-Apps oder SMS, eine optimale Sicherheit für jede Mobile App, jeden Desktop-Client oder jede Web-Anwendung bietet, ohne das die Benutzerfreundlichkeit darunter leidet.

KOSTENLOS ANMELDEN       DEMO ANFORDEN       ANDERE TUTORIALS