Der Aufstieg der smarten Authentifizierung

bei

 / 13. October. 2017

Unterschätze niemals die Macht von „smart“ – Das ist das Marketing-Mantra des 21. Jahrhunderts. Wir haben Smartphones, Smart TV, eine smarte Türklingel und sogar eine smarte Waschmaschine. Lassen wir den Einzelhandel aber mal beiseite und betrachten die wirklich wichtigen Dinge, wie private Informationen vertraulich zu halten, dann kommt die Frage auf: Was ist mit smarter Authentifizierung?

Smarte Authentifizierung muss einfach, bequem und sicher sein

Obwohl die Strategien für Multifaktor-Authentifizierung immer populärer werden, sind sie ein Kompromiss aus Benutzerfreundlichkeit und Sicherheit. Anders gesagt, wenn Authentifizierungslösungen nicht einfach und bequem sind, werden sie von den Usern nicht angenommen. Wenn die Lösungen allerdings nicht sicher sind, werden sie von Hackern ins Visier genommen und schaden den Nutzern.

Das ist weitestgehend der Grund, warum sogenannte smarte Authentifizierungsstrategien aufgekommen sind, um sicherere und benutzerfreundliche Erfahrungen zu machen. Sie kontextualisieren das Nutzerverhalten, indem sie Verhaltensmuster vergleichen, die von ausgeklügelten Algorithmen interpoliert werden. Dazu gehören die kontinuierliche Echtzeit-Überwachung und Bewertung der Art und Weise, wie User mit ihren Computern und mobilen Geräten über Mausbewegungen, Tastenanschläge und Gesten interagieren.

Darüber hinaus, seitdem die Authentifizierung transparent abläuft, sind sich weder User noch Hacker bewusst, dass sie, nennen wir es, „forensisch überwacht“ werden und dass es nicht möglich ist, das System auszutricksen.

Kontextbasierte Authentifizierung erkennt unübliche Transaktionen anhand eines Verhaltensprofils

Die Nutzung dieser kontextuellen Daten zur Authentifizierung eines Benutzers erfordert die Analyse von Mustern, um zu bewerten, ob sie Handlungsweisen entsprechen, die der Benutzer oder Kontoinhaber in der Vergangenheit bereits gezeigt hat oder ob diese Handlungen direkt mit bekannten Hackeraktivitäten in Verbindung gebracht werden können.

So kann zum Beispiel, wenn mit dem Gerät eines Benutzers eine App an einem Ort geöffnet wird, der für Hackeraktivitäten bekannt ist, anstelle des Heimat- oder Bürostandorts des Users oder Kontoinhabers, der Zugang blockiert oder eine Step-Up-Authentifizierung vorgenommen werden. Außerdem kann der Zugriff auf ein Konto zusätzlich eingeschränkt werden, wenn die Anforderung nicht von dem Telefongerät stammt, das bereits mit der Telefonnummer des Benutzers verknüpft ist.

Das heißt nicht, dass Multifaktor-Authentifizierung letztendlich zu abnehmendem Ertrag führt. Ganz im Gegenteil. Wenn das System eine Unregelmäßigkeit in den Mustern des Userverhaltens feststellt, könnten zusätzliche Authentifizierungen (z.B. das Benutzen eines Einmalpassworts, kurz OTP für One Time Pad, das per SMS versendet wird) angefordert werden, bevor der Zugriff gewährt wird. Dadurch authentifizieren sich User nur selbst, wenn sich ihr erwartetes Verhaltensmuster ändert. Gleichzeitig wird das Nutzungserlebnis verbessert und der Wert der Sicherheitsstrategie verstärkt, was nicht nur praktisch, sondern auch benutzerfreundlich ist.

Man kann festhalten, dass sich das Verhalten eines Nutzers zwar ändern kann, er aber immer noch dieselbe Person bleibt.

Sind kontextbasierte Authentifizierung und verhaltensbezogene biometrische Daten nun die ersten smarten Lösungen, an der Schwelle zu einer weiten Verbreitung oder befinden sie sich doch noch irgendwo dazwischen?

Während es sicherlich eher darum geht, in ausgewählten industriellen Nischen Fuß zu fassen, wird der globale Markt für verhaltensbezogene biometrische Daten laut Branchenanalysten im Zeitraum 2016-2020 jährlich um 17,34% wachsen.

Erste Umfrageergebnisse: Biometrische Sicherheit vor Passwörtern

Es gibt bereits erste Studienergebnisse zu der Frage, wie smarte Authentifizierung in der realen Welt angenommen wird.

Eine vom Marktforschungsinstitut YouGov durchgeführte Online-Umfrage hat herausgefunden, dass 56% der Konsumenten im Vereinigten Königreich biometrische Sicherheit gegenüber traditionellen Lösungen wie Passwörtern, vorziehen, um sich online in ihr Bankkonto einzuloggen. In der Tat bevorzugen 33% der Befragten die Fingerabdruckerkennung, um Zugang zu ihren Konten zu erhalten, gefolgt von Irisscanner und Gesichts- und Stimmerkennung. Es überrascht nicht, dass nur 19% der Umfrageteilnehmer Passwörter und sogar noch weniger selbst gewählte Sicherheitsfragen benutzen. Beide Möglichkeiten werden durch den Komfort und die Sicherheit, die biometrische Authentifizierung bietet, verdrängt.

Für die Nutzer von mobilen Banklösungen ist das eine besonders wichtige Entwicklung, da Passwörter die Vorstufe für eine völlig neue Generation von Authentifizierungsmöglichkeiten sind. Das gilt insbesondere, wenn sich Mobiltechnologie weiterentwickelt und Banken und weitere Finanzinstitute versuchen, Verbrauchernachfragen nach biometrischen Sicherheitslösungen mit ihrer Verfügbarkeit zu vereinbaren.

In diesem neuen „Zeitalter des Kunden“ kann es sehr gut sein, dass ein mehrschichtiger Ansatz, einschließlich verhaltensbezogener biometrischer Daten und Geräteerkennung, die sicherste Grundlage darstellt, auf der positive Kundenerfahrungen aufgebaut werden kann.

Kurz gesagt, smarte Geräte sind gut und schön und sie werden in absehbarer Zeit sicher nicht verschwinden. Dennoch werden sie, wenn sie durch smarte Authentifizierung ergänzt werden, Benutzerfreundlichkeit und Sicherheit gleichermaßen erreichen. Und das hält letztendlich eine produktive, sichere und langlebige Kundenbeziehung aufrecht.

David Vergara, Autor des Artikels über smarte Authentifizierung.

Der Autor: David Vergara ist Head of Global Marketing beim Sicherheitsexperten VASCO und verfügt über mehr als zehn Jahre Erfahrung im Bereich Softwaresicherheit. Vor seiner Tätigkeit bei VASCO war er Vice President Marketing bei Accertify, einem Unternehmen von American Express, und leitete die Markteinführungsstrategie für deren Lösung zur Aufdeckung von Online-Betrug. In seiner Position als Senior Director Product Marketing bei IBM war er für das Produktmarketing im Bereich Advanced und Predictive Analytics verantwortlich.
Er lebt in der Nähe von Chicago und interessiert sich für den Rennsport. Wenn er gerade nicht als Missionar für eine starke Authentifizierung, Mobile App Security and Fraud Management tätig ist, verbringt er seine Freizeit mit seinem Sohn beim Schrauben an Sportwagen.

Vorheriger ArtikelMachtlos gegen Ransomware und Co.?
Nächster ArtikelSichere Authentifizierung im Unternehmen – Passwort-Manager, SSO und welche Fehler Sie vermeiden sollten