Video: Sichere Authentifizierung beim Fernzugriff? Google Authenticator hilft! | Frag FRITZ! 015 (Dezember 2024)
Wahrscheinlich haben Sie eines der Website-Authentifizierungsschemata kennengelernt, bei dem ein einmaliger Code an Ihr Smartphone gesendet und online eingegeben wurde. Die von vielen Banken verwendeten Mobile Transaction Authentication Numbers (mTANs) sind ein Beispiel. Mit Google Authenticator können Sie Ihr Google Mail-Konto auf die gleiche Weise schützen. Verschiedene andere Dienste, beispielsweise LastPass, unterstützen dies ebenfalls. Leider wissen die Bösen schon, wie man diese Art der Authentifizierung untergräbt. Die SMS-Authentifizierung von TextKey ist ein neuer Ansatz, der jede Phase des Authentifizierungsprozesses schützt.
Dreh es um
Bei der alten SMS-Authentifizierung wird dieser einmalige Code an die registrierte Mobiltelefonnummer des Benutzers gesendet. Es gibt keine Möglichkeit, sicherzugehen, dass der Code nicht von Malware abgefangen oder mit einem Klon des Telefons abgefangen wurde. Als nächstes gibt der Benutzer den Code in den Browser ein. Wenn der PC infiziert ist, kann die Transaktion beeinträchtigt werden. In der Tat führt eine Zeus-Variante namens zitmo (für "Zeus im Mobiltelefon") einen Tag-Team-Angriff durch, wobei eine Komponente auf dem PC und eine auf dem Mobiltelefon zusammenarbeiten, um Ihre Anmeldeinformationen und Ihr Geld zu stehlen.
TextKey kehrt den gesamten Prozess um. Es schickt dir nichts. Stattdessen wird eine PIN angezeigt, nachdem Sie Ihren Benutzernamen und Ihr Kennwort eingegeben haben, und Sie werden aufgefordert, diese PIN einem bestimmten Funktionscode zuzuweisen. Mobilfunkbetreiber sind sehr bemüht, sicherzustellen, dass eine Telefonnummer genau mit einem Gerät übereinstimmt. Wenn der TextKey-Server die Nachricht überhaupt empfängt, bedeutet dies, dass der Mobilfunkbetreiber die Telefonnummer und die UDID des Telefons bereits validiert hat. Genau dort erhält TextKey kostenlos zwei zusätzliche Authentifizierungsfaktoren!
Die PIN ist jedes Mal anders und nur für ein paar Minuten gültig. Der Funktionscode variiert ebenfalls. Für eine Website, die TextKey zur Authentifizierung verwendet, muss jeder Benutzer optional eine persönliche PIN erstellen, die an den Anfang oder das Ende der einmaligen PIN angefügt werden muss.
Was passiert, wenn ein Mitarbeiter mit der PIN und dem Kurzcode auf dem Bildschirm surft oder ein böswilliges Programm dem Eigentümer Ihre SMS-Aktivität meldet? Wenn das TextKey-System die richtige PIN von der falschen Telefonnummer erhält, wird die Authentifizierung nicht einfach abgelehnt. Außerdem wird die Telefonnummer als Betrug protokolliert, sodass der Websitebesitzer geeignete Maßnahmen ergreifen kann.
Klicken Sie auf diesen Link, um TextKey auszuprobieren. Zu Demonstrationszwecken geben Sie Ihre Telefonnummer ein. In einer realen Situation ist die Nummer Teil Ihres Benutzerprofils. Beachten Sie, dass Sie den Betrugsalarm auslösen können, indem Sie eine andere als Ihre eigene Nummer eingeben.
Wie bekommst du es?
Leider ist TextKey nicht etwas, das Sie als Verbraucher implementieren können. Sie können davon nur Gebrauch machen, wenn die Bank oder eine andere sichere Site dies implementiert hat. Kleine Unternehmen können für die TextKey-Authentifizierung einen Vertrag auf Basis der Sicherheit als Dienstleistung abschließen, der je nach Anzahl der Benutzer zwischen 5 USD und 0, 50 USD pro Benutzer und Monat liegt. Das ist eine monatliche Pauschalgebühr für eine beliebige Anzahl von Anmeldungen. Großunternehmen, die ihre eigenen TextKey-Server hosten, zahlen eine Einrichtungsgebühr sowie die monatliche Gebühr.
Dieses Schema ist möglicherweise nicht zu 100 Prozent unknackbar, aber es ist weitaus härter als die herkömmliche SMS-Authentifizierung. Es geht weit über zwei Faktoren hinaus; TextPower nennt es "Omni-Factor". Sie müssen das Passwort kennen, das Telefon mit der richtigen UDID besitzen, die angezeigte PIN eingeben, optional Ihre persönliche PIN hinzufügen, den Text von Ihrer registrierten Telefonnummer senden und den zufälligen Funktionscode als Ziel verwenden. Angesichts dessen wird der durchschnittliche Hacker wahrscheinlich abrutschen und stattdessen ein paar Bank-mTANs knacken.
