Passwörter allein reichen natürlich nicht aus, um Unternehmensressourcen, Netzwerke, Anwendungen und Daten zu schützen. Laut Analysten von Verizon waren 2017 81% der Datenlecks weltweit auf den Missbrauch von Anmeldeinformationen, gestohlenen oder schwachen Passwörtern zurückzuführen. Die Anzahl der Lecks sowie die Kosten der Unternehmen und die Folgen dieser Verstöße nehmen jährlich zu. Um diese Risiken zu minimieren, sollte das Unternehmen auf keinen Fall vergessen, die Sicherheit seiner Daten zu gewährleisten.
Die Multifaktorauthentifizierung ist in der heutigen digitalen Umgebung nach wie vor ein unverzichtbares Element. Die jährliche Gesamtwachstumsrate des Hardware-Token-Marktes beträgt 8%. Die Authentifizierung hilft, das Sicherheitsniveau zu erhöhen, indem ein oder mehrere „Faktoren“ kombiniert werden, um die Person zu identifizieren, die den Zugriff anfordert, und um zu überprüfen, ob sie genau der ist, für den sie sich ausgibt. Zu diesen Faktoren gehört, was Sie haben (eine Smartcard oder eine mobile Kennung, die auf einem Smartphone oder einem anderen Gerät gespeichert ist); Was Sie wissen (zum Beispiel PIN) und was Sie sind (biometrische Daten).
Eine wachsende Anzahl von Unternehmen bemüht sich um die Einhaltung gesetzlicher Vorschriften, und eine starke Authentifizierung mit einem Ereignisprotokoll wird zu einer ziemlich dringenden Anforderung. Zwei bemerkenswerte Beispiele sind die Vorschriften der Europäischen Union zur PSD2-Zahlungsrichtlinie für Finanzinstitute und die Vertraulichkeitsanforderungen der Allgemeinen Datenschutzverordnung (DSGVO) für Bürger. Diese Anforderungen gelten jedoch nicht nur für EU-Unternehmen, sondern auch für viele Organisationen aus anderen Teilen der Welt. Die meisten Unternehmen werden von der DSGVO sowie von Regierungsinitiativen in ihren Ländern wie der HIPAA für das US-Gesundheitswesen betroffen sein.
Eine der zuverlässigen Methoden zum Bereitstellen der Multi-Faktor-Authentifizierung für Mitarbeiter ist die Verwendung eines Hardware-Tokens. Dies ist häufig ein kleines Handheld-Gerät, das eine Folge von Zahlen berechnet, die für einen begrenzten Zeitraum gültig sind und als Einmalkennwort (OTP) verwendet werden. Der Benutzer gibt diesen Code (etwas, das er hat) sowie einen PIN-Code (etwas, das er kennt) ein, um seine Identität zu bestätigen und Zugriff zu erhalten. Tatsächlich wird dieser Wert mit dem Wert verglichen, der auf der internen Serverauthentifizierungsplattform unter Verwendung derselben Techniken und Quelldaten berechnet wurde, einschließlich Zeit- und Ereigniszählern, Authentifizierungsschlüsseln und Algorithmen. Wenn das OTP mit dem empfangenen Wert übereinstimmt, erhält der Benutzer Zugriff und dieses Ereignis wird im Plattformüberwachungsprotokoll protokolliert.
Hardware-Token gibt es seit mehr als einem Jahrzehnt und sie sind immer noch bei vielen Unternehmen beliebt. Die Mitarbeiter verstehen, wie man sie verwendet, und die Token selbst versagen nicht lange. Darüber hinaus haben Token bereits den Standardformfaktor in Form eines Schlüsselanhänger überschritten. Heute gibt es Geräte, die in eine Brieftasche passen. Sie sind langlebig genug, um betrieben zu werden, und selbst sehbehinderte Menschen können sie verwenden.
Der Anwendungsbereich von Hardware-Token kann völlig unterschiedlich sein:
- Authentifizierung für den Zugriff auf Jobs, Cloud-Anwendungen und Remotezugriff auf Ressourcen;
- Durchführung von Finanztransaktionen, Aktualisierung von Daten, Ausführung von Aufträgen;
- Verschlüsselung von Signaturen, Festplatten, E-Mails usw.
Nicht alle Authentifizierungsanforderungen sind für Unternehmen gleich, und viele Unternehmen suchen nach einem „Kompromiss“ zwischen verschiedenen Arten von Authentifizierern. Für die Bequemlichkeit des Geschäfts gibt es heute viele verschiedene Arten von Token auf dem Markt. Unter ihnen:
- Einmalige Passwortgeneratoren. OTP-Token generieren ein zufälliges Passwort, das nicht wiederverwendet werden kann. Die Verwendung dieser Geräte kann Teil einer PSD2- und GDPR-Konformitätsstrategie sein.
- BlueTooth-Token. Diese Geräte senden aus Gründen der Benutzerfreundlichkeit und Sicherheit einen eindeutigen Sicherheitscode über Bluetooth und NFC. Hilft bei der Erfüllung der PSD2-, GDPR- und FIPS 140-Anforderungen.
- Intelligente USB-Token. Sie unterstützen alle Funktionen einer Smartcard, die auf einer Public-Key-Infrastruktur (PKI) basiert, ohne dass Kartenleser verwendet werden müssen. Stellen Sie sicher, dass FIPS 140 eingehalten wird.
Moderne Geräte, die heute auf dem Markt angeboten werden, haben auch eine Reihe von Vorteilen:
- Sicherheit Geräte sind autonom und bruchsicher. Sie unterstützen verschiedene Varianten von Sicherheitsstandards wie 3DES, OATH und FIDO.
- Flexibilität. Heutzutage gibt es viele Token-Formfaktoren. Sie sind bequem zu bedienen (per Mausklick) und haben eine recht lange Lebensdauer.
- Komplexität Normalerweise wird ein vollständiges Ökosystem von Token zusammen mit der Infrastruktur bereitgestellt, um eine effektive Unterstützung zu bieten.
- Einhaltung der Anforderungen. Viele Unternehmen auf der ganzen Welt benötigen eine starke Authentifizierung, um einen sicheren Zugriff zu gewährleisten und vertrauliche Informationen zu schützen. Die Verwendung von Hardware-Token trägt dazu bei, die Einhaltung komplexer gesetzlicher Anforderungen sicherzustellen.
In der heutigen dynamischen Umgebung ist eine umfassende Lösung zur persönlichen Identifizierung erforderlich, deren Basis eine starke Authentifizierung ist, um Benutzern zu vertrauen, die ihre persönlichen Daten präsentieren, und um den Zugriff auf Ressourcen effektiv zu verwalten. Die Einführung solcher Lösungen erhöht die Zuverlässigkeit der Benutzeridentifikation und bietet dem Unternehmen einen wirksamen Schutz vor aktuellen und zukünftigen Bedrohungen.
Olivier Firion, Marketingdirektor für globale Lösungen, IAM Solutions HID Global