Tokenlose Authentifizierung

Ist der Token bald Geschichte?

Zugangssysteme zuverlässig abzusichern, bedarf heute oft noch zusätzlicher physikalischer Tokens wie Smartcards. Die tokenlose Authentifizierung, beispielsweise via Smartphone, macht sich derweil auf zur Wachablösung.
Via Smartphone werden tokenlos Passcodes übertragen.
Via Smartphone werden tokenlos Passcodes übertragen.
Foto: SecurEnvoy

Seit einigen Jahren lautet die Devise bei der Optimierung vieler IT- und Netzwerk-technologien "weniger ist mehr": ohne Kabelverbindung im Internet surfen, ohne Tasten mobile Endgeräte bedienen, ohne firmeneigenen Laptop im Unternehmensnetzwerk arbeiten. Komponenten, die zuvor als unerlässlich galten, sind plötzlich überflüssig. So geht es derzeit auch den Token. Insbesondere im Bereich Zwei-Faktor-Authentifizierung verschwinden sie langsam aus dem Fokus: Die tokenlose Variante nutzt Smartphones oder Tablets zur Übertragung dynamischer Passcodes. In Kombination mit persönlichen Login-Daten sichern sie den Identifizierungsprozess doppelt ab.

Durch das Arbeiten im Home Office oder von unterwegs aus sowie durch den Einsatz internetfähiger Smartphones tragen viele Mitarbeiter ihr Arbeitsgerät auch privat mit sich - beziehungsweise sind Privat- und Firmenhandy ein und dasselbe Gerät. 75 Prozent der Deutschen verlassen ihr Zuhause nur noch mit ihrem Handy oder Smartphone, wie der Branchenverband BITKOM in einer repräsentativen Befragung von mehr als 1.000 Personen ermittelte. Der Bring-your-own-Device-Trend ist ein daraus entstandenes Phänomen. Hier sehen sich Unternehmen allerdings zu einem Spagat gezwungen. Einerseits soll der Arbeitnehmer größtmögliche Flexibilität genießen, andererseits sollen Netzwerke und Daten des Arbeitsgebers bestmöglich abgesichert sein. Das Tüpfelchen auf dem i wären möglichst unkomplizierte Login-Prozesse.

Doppelte Kombination für mehr Sicherheit

Um Personen eindeutig zu identifizieren, eignet sich die Zwei-Faktor-Authentifizierung (2FA). Diese Methode kommt bereits - wenn auch womöglich unbewusst - im Alltag seit langem zum Einsatz, beispielsweise beim Geldabheben am Bankautomaten. Der Kunde nutzt seine persönliche Bankkarte und eine (hoffentlich) auswendig gelernte Geheimzahl (PIN). Nur die korrekte Kombination aus beiden Faktoren ermöglicht eine erfolgreiche Transaktion. Somit gewährleistet die Zwei-Faktor-Authentifizierung eine doppelte Absicherung. Es sind stets zwei der drei folgenden Komponenten für eine Identifizierung notwendig:

  • Faktor "Wissen": etwas, das nur der Nutzer selbst kennt, wie eine PIN

  • Faktor "Haben": etwas Materielles, das ausschließlich der Nutzer besitzt, wie einen Token (USB-Stick, Smartcard.)

  • Faktor "Sein": etwas, das untrennbar zu einem Nutzer gehört, wie der Fingerabdruck.

Um zunächst beim Beispiel des Geldabhebens zu bleiben: Der Nachteil an dieser Vorgehensweise ist, dass die Person stets ihre Bankkarte mit sich führen muss. Auch beim Online-Banking geben Banken ihren Kunden so genannte TAN-Generatoren an die Hand, mit denen sie Überweisungen oder Daueraufträge nur mit einem Transaktionsnummern generierenden Zusatzgerät vornehmen können. Dies sind so genannte Hardware-Tokens, zu deren Gruppe auch Smartcards gehören. Sie werden in Unternehmen oft zu Authentifizierungszwecken verwendet. Der Kunde / Mitarbeiter muss Gerät oder Karte ständig bei sich tragen. Neben dieser eher lästigen Pflicht müssen Firmen zudem die Kosten für Tokens berücksichtigen. Die schlagen sowohl bei der Anschaffung als auch beim Austausch - infolge von Verlust, Diebstahl oder Defekt - zu Buche.