inWebo 2FA Lösungen im Überblick

Warum Benutzerkonten mit robuster 2FA schützen

Egal ob Benutzer Mitarbeiter sind, die mit Anwendungen arbeiten, Systemadministratoren in Ihrer IT-Abteilung oder Kunden die auf Ihre Plattform zugreifen, Benutzerkonten sind da, wo Ihr Unternehmen Geschäft macht, wofür der Name Ihres Unternehmens steht und wo es nicht schutzlos ausgesetzt werden sollte.. 2FA (2-Faktor-Authentifizierung) bezeichnet im weitesten Sinne jede Sicherheitslösung die über benutzerdefinierte Passwörter (nicht verschlüsselt) und Kennwortrichtlinien hinausgeht (nicht anwendbar oder unwirksam, weil sie zu komplex für die Benutzer sind).

Jede 2FA-Lösung ist ein Kompromiss zwischen einer Sicherheitsstufe, dem Zusatzaufwand für die Benutzer und die Kosten und Aufwände für die Organisation. Im Gegensatz zu Legacy- (Hardware-Token) oder Vanille- (SMS-basierte Authentifizierung) Benutzerauthentifizierungslösungen, ist inWebo sehr stark in allen drei Dimensionen, nicht nur in Puncto Sicherheit.

Schnittstellen.

inWebo unterstützt etablierte Standards wie Radius und SAML v2. Gerade mit diesen beiden, können Sie unsere Authentifizierungslösungen für die meisten, wenn nicht alle – VPN (Cisco, Juniper / Pulse), Reverse-Proxy (F5 Big-IP, Citrix NetScaler, …), SaaS-Anwendungen (Office 365, Sales , Google Apps und vieles mehr), sowie Produkte anderer Hersteller (Sailpoint IdentityIQ, CyberArk, Wallix und viele mehr), die lokal installiert sind, verwenden.

Wir bieten auch eine REST API an, die in 3 Fällen interessant ist ,

  • Wenn Sie eine Website haben, die ein Content Management System wie WordPress, Drupal oder Joomla nutzt. Wir haben die Authentifizierungs-Plugins für diese Lösungen mit unserer API entwickelt;
  • Wenn Sie Federation oder Access-Management-Produkte wie ADFS, Shibboleth, Forge OpenAM, Gluu Server, PingFederate, Memority, Ilex … verwenden. Module für diese Produkte wurden mit unserer API ebenfalls entwickelt. Weitere Module werden sukzessiv folgen. Diese Module bieten mehr Flexibilität und Möglichkeiten als Radius oder SAML v2.
  • Wenn Sie Ihre eigenen Back-End, Web oder mobile Anwendung entwickeln. In dem Fall können Sie direkt unsere API integrieren. Sie ist vollständig auf unserer Entwickler-Webseite. Projektbeispiele stehen für mehrere Frameworks zur Verfügung.

Passwörter geräteabhängig erstellen

inWebo erweitert statische Passwörter durch eine Sicherheitsebene, indem geräteabhängige Einmalpasswörter hinzugefügt werden. Unsere Technologie verwandelt jedes Benutzergerät in ein robustes Authentifizierungsgerät, wie zum Bsp. Laptops, Handys, Tablets. Bei der Anmeldung wird ein vom Benutzer ‘autorisiertes Gerät´ verwendet, um ein geräteabhängiges Einmalpasswort zu erzeugen. Man beachte, dass dieses Passwort nicht an den Benutzer gesendet wird.

Wie kann inWebo helfen Benutzerkonten sicher zu machen? Jemand der auf ein Benutzerkonto zugreifen möchte muss das Passwort kennen – so wie es im Fall ohne 2FA ist – zusätzlich muss er einen Zugang zu einem der autorisierten Geräte haben, weil es keine andere Möglichkeit gibt, ein gültiges geräteabhängiges Einmalpasswort zu erhalten. Der eine oder andere Faktor ist alleine nicht ausreichend, da beide erforderlich für die Anmeldung sind.

Alle Geräte, keine Voraussetzungen, keine Abhängigkeit.

Was wir mit einem autorisierten Gerät meinen, ist eigentlich nicht das Gerät selbst, sondern ein Web-Browser oder eine native App (oder Client). inWebo unterstützt folgende Authentifizierungsmethoden:

  • App-basierte Authentifizierung: inWebo Authenticator Mobile App wird verwendet, um ein Einmalpasswort zu generieren, entweder bei Bedarf oder wenn der Benutzer eine von der inWebo Plattform ausgelöste Aufforderung erhält. inWebo Authenticator ist verfügbar für iOS, Android, Windows und Blackberry.
  • in-App-Authentifizierung: inWebo mAccess SDK macht aus Ihren eigenen Apps oder Clients ein Einmalpasswort-Generator. inWebo mAccess ist in C, Java und C # verfügbar.
  • Browser-basierte Authentifizierung: Der Browser ist der Authentifizierungs “Token”, d.h. der Einmal-Passwort-Generator. Virtual Authenticator und inWebo Helium sind für alle Browser verfügbar.

Darüber hinaus können Authentifizierungsmethoden einfach durch die Festlegung von Gruppenrichtlinien hinzugefügt werden. Sie müssen nie wissen welcher Benutzer welches Gerät(e) benutzt. Auch die Integration unserer Technologie in neue Versionen ist völlig transparent, Sie brauchen nichts zu ändern, wenn ein Geräte- oder OS-Anbieter neue Versionen veröffentlicht.

Mehrere Geräte, eine PIN.

Anders als bei den meisten Lösungen, bei denen ein Benutzer immer sein Token mit sich tragen muss, um auf seine Anwendungen zuzugreifen, verwaltet inWebo mehrere sichere Geräte für einen Benutzer. Ein sicherer Zugriff ist daher nicht nur mit einem einzigen autorisierten Gerät möglich. Darüber hinaus müssen Sie sich nicht um das Hinzufügen oder Abmelden von autorisierten Geräten kümmern.

Auch in einem 2FA Szenario, bei dem Einmalpasswörter mit einem autorisierten Gerät und der Eingabe einer PIN generiert werden, hat der Benutzer die gleiche PIN für alle seine autorisierten Geräte. Wenn sie geändert, zurückgesetzt oder entsperrt wird, muss dies nur einmal durchgeführt werden und nicht für jedes Gerät separat. Die PIN wird nicht auf einem autorisierten Gerät gespeichert und bei Eingabe auch nicht über das Internet gesendet.

Die Erfahrung ist daher identisch, egal auf welcher Art und Weise der Benutzer auf seinen Dienst zugreift. Dies könnte im Rahmen einer statischen Passwort-Authentifizierung offensichtlich scheinen, in der 2FA Welt aber nicht selbstverständlich.

Flexible Authentifizierung.

Diese Authentifizierungsmethoden decken sehr flexibel die meisten Anwendungsfälle. Sie können inWebo 2FA-Lösung an alle Benutzer verteilen, ohne dass beachtet werden muss, ob ein Benutzer ein Smartphone besitzt, nicht besitzt oder noch nicht besitzt. Ein bestimmter Benutzer könnte sich mit einer Browser-basierten, “freihändigen” Methode an seinem üblichen Computer anmelden und eine Mobile-basierte Authentifizierung in den seltenen Fällen verwenden, wenn er sich von einem neuen oder nicht autorisierten Gerät verbindet – dies ist selbst möglich, wenn das Gerät kein Netz oder WiFi zur Verfügung hat..

Reibungslos, akzeptiert, weniger Risiko.

Im Gegensatz zu Legacy-2FA Lösungen, fügt inWebo den Passwort-basierten Authentifizierungen keine zusätzlichen Hürden hinzu, und in den meisten Fällen machen sie die Anmeldung sogar einfacher. Da es keine zusätzlichen Aufwände für den Benutzer gibt, stellt sich nicht mehr die Frage, ob 2FA eingesetzt werden oder bestimmte Transaktionen eventuell zusätzlich gesichert werden sollten, sondern nur wann. Das Risiko auf sich zu nehmen eine 2FA nicht einzuführen, kann nur von Nachteil sein.

Eine schlüsselfertige Lösung.

Benutzer zu authentifizieren ist alles in einem eine einfache Aufgabe. Dafür gibt es viele Technologien, sowie Standards, RFCs, Industrie-Allianzen, Lieferanten und smarte Entwickler. Die Herausforderung, die sich Ihr Unternehmen mit einer 2FA-Lösung stellt, ist all diese technologischen Möglichkeiten in einem Managed-Service zusammen zu führen. Dies beinhaltet die Integration, Testung, Bereitstellung, Registrierung, Benutzerunterstützung, Verwaltung, Audit, Analyse, usw. Die meisten großen Unternehmen durchlaufen diese Aktivitäten für ihre internen und genehmigten Anwendungen mit vielen Prozessen, Tools und Ressourcen.

Wir haben darauf geachtet, dass diese Prozesse mit unserer Lösung abgedeckt werden. Dank unserer API, können Sie diese Prozesse immer noch mit den vorhandenen Tools ausführen. Bereitstellung und Registrierung können vollständig von Ihrer Identity-Management-Plattform abgewickelt werden, die Benutzerunterstützung von Ihrer Service-Management-Plattform, die Informations-Zusammenführung von Ihrem SIEM System, usw.

Da jedoch alle diese Prozesse auch direkt von unserer Administrationskonsole aus verwaltet werden können, müssen Sie nicht unsere API von Anfang an integrieren. Tatsächlich gibt es gute Chancen, dass Sie überhaupt ohne Integration beginnen können. Für User Provisioning brauchen Sie eine automatisierte Lösung IWDS (inWebo Directory Sync) wurde genau zu diesem Zweck entwickelt, es hilft Benutzer, Gruppen und Policies mit Ihrem inWebo Authentifizierungsdienst zu synchronisieren. Logs können manuell erzeugt und exportiert werden, wenn Sie die Log Collect API. noch nicht integrieren wollen. Integrierte und anpassbare On-Boarding Tools werden Ihnen helfen die 2FA-Lösung auszurollen, ohne vorher Workflows zu erstellen.

Unsere 2FA Lösung zu implementieren ist viel einfacher als Sie es sich hätten vorstellen können.

Verfügbar, robust, zertifiziert.

Da Sie natürlich erwarten, dass ein Authentifizierungsdienst immer verfügbar sein soll, haben wir technisch vollständig redundante Plattformen entwickelt. Eine Plattform ist ein Cluster aus mehreren (derzeit 3) unabhängigen Server-Infrastrukturen in verschiedenen zertifizierten Rechenzentren verteilt. Wir könnten die Verbindung zu allen bis auf einen Server verlieren, ohne eine Auswirkung auf den Authentifizierungsdienst zu haben. Anders als bei den meisten Lösungen, sind unsere Plattformen nicht nur von einem einzigen Provider abhängig. Diese Architektur hat in den letzten 5 Jahren zu einer 100% Service-Verfügbarkeit geführt. Zum Vergleich: Dienste wie Google Mail oder AWS haben niedrigere Verfügbarkeitsraten.

Sicherheit für 2FA ist nicht selbstverständlich. Als Benutzer müssen Sie etwas wissen (Faktor 1) und etwas besitzen (Faktor 2), das fühlt sich sicherer an als eine kennwortbasierte Authentifizierung. Aber die Optionen für einen Angreifer, um ein Benutzerkonto zu übernehmen sind nicht wesentlich anders (lesen Sie für mehr Details unsere White-Paper zu diesem Thema). Was eine 2FA-Lösung sicher macht, ist sein Design und seine Umsetzung sowohl auf der Benutzer- als auch Server-Seite. Die Implementierung unserer patentierten Algorithmen verleihen ein sehr hohes Maß an Sicherheit, welches die meisten CISOs und Security-Spezialisten die wir getroffen haben, vor allem von einer softwarebasierten Lösung, nicht erwartet haben. In unseren Plattformen laufen, zum Schutz gegen serverseitige Angriffe oder Mißbräuche, die Authentifizierungsalgorithmen innerhalb von Security Appliances (auch als Hardware-Sicherheitsmodule bekannt, HSMs). Im Gegensatz zu herkömmlichen Cloud-basierten Authentifizierungslösungen steuert und schützt inWebo den gesamten Prozess.