Passwortlose Authentifizierung

Zentrale Zugriffskontrolle und passwortlose Authentifizierung

Die sichere Authentifizierung ist die Basis einer jeden Zugriffskontrolle. Damit bestätigt eine Person seine Identität, traditionell durch Eingabe von Name und Passwort. Erst nach erfolgreicher Validierung dieser Merkmale erhält ein Anwender Zugriff auf sensible Bereiche und Daten. Dank neuer Verfahren ist sichere Authentifizierung auch ohne Passwort möglich. Und sicherer!

Werden nur Name und Passwort abgefragt, spricht man von einer statischen Authentifizierung. Statisch, weil Nutzername und Passwort sich nur selten bis gar nicht verändern. Sind diese Merkmale einem anderen Anwender bekannt, kann dieser mit der gestohlenen Identität meist unbemerkt auf Daten und Netzwerke zugreifen.

Lesen Sie dazu auch unseren Beitrag im ProBlog Sichere Authentifizierung braucht kein Passwort mehr

Warum Sie auf passwortlose Authentifizierung setzen sollten

Das hybride Arbeitsmodell, das immer mehr zur Norm wird, erzeugt diffuse Netzwerk-Perimeter und erschwert damit auch die sichere Authentifizierung von Benutzern. Zusätzlich liegen Applikationen nicht mehr nur auf internen firmeneigenen Servern, sondern sind auf verschiedenen Webservern Cloud-Datenbanken.

Passwörter sind nicht die Lösung, sondern das eigentliche Problem. Anwender verwenden schwache, einfach zu merkende und häufig auch identische Passwörter für mehrere Accounts. Hacker haben es auf Passwörter bzw. Identitäten abgesehen und versuchen über Phishing, Social Engineering und Keylogger Passwörter zu stehlen oder sie zu «errechnen», wenn sie nur mit unsicheren Verfahren wie MD5 geschützt werden.

Die passwortlose Authentifizierung besteht aus einem öffentlichen und privaten Schlüssel. Der private Schlüssel wird entweder durch einen externen Security-Token oder ein biometrisches Merkmal, beispielsweise in Form eines Fingerabdrucks, lokal am Endgerät validiert. Der private Schlüssel muss zum öffentlichen Schloss der jeweiligen Anwendung passen.

Dem FIDO2-Standard der nicht kommerziellen FIDO Alliance ist ein Challenge Response Verfahren, das die passwortlose Authentifizierung einheitlicher und sicherer machen soll. Wesentliche Bestandteile von FIDO2 sind das Client to Authenticator Protocol (CTAP) und die WebAuthn API.

Die Zwei-Faktor-Authentifizierung als sichere Alternative

Ein anderer Ansatz, der genauso valide ist, ist die Zwei-Faktor-Authentifizierung bzw. Mehrfaktor-Authentifizierung. Durch den Einsatz von nur einmalig gültigen One Time Passcodes (OTP), sind statische Login-Daten ziemlich wertlos. Angreifer müssen zusätzlich Session-basierte, einmalig gültige Passcodes für eine erfolgreiche Anmeldung »erbeuten«.

GateKeeper bietet ein drahtloses Login mittels passwortloser Annäherungs-Authentifizierung. Um das zu erreichen, benötigt der User den Bluetooth Halberd Token (Faktor Haben) als drahtlosen Schlüssel. Nähert sich ein Anwender, mit dem Bluetooth Token, einem Endgerät oder einer CAM-Produktionsmaschine, wird er automatisch angemeldet bzw. der PC oder Maschine entsperrt sich. Umgekehrt sperrt sich der PC, wenn sich der Anwender aus dem definierten Bereich entfernt bzw. wird er dann abgemeldet.

Der Security Token mit Bluetooth Smart Technologie unterstützt ab Windows 10 auch interne Bluetooth-Empfänger. Der Nahbereich kann festgelegt werden und mit den optional angebotenen USB-Näherungssensoren (Bluetooth-Empfänger) sogar bis auf wenige Zentimeter eingegrenzt werden. Dies ist notwendig, wenn mehrere Systeme nebeneinander stehen und unterschiedliche Benutzer damit arbeiten. Eine weitere Option ist die Touch-Authentifizierung, also eine Anmeldung direkt am USB-Näherungssensor. Pro PC können mehrere Anmeldeprofile hinterlegt werden. Die Kommunikation zwischen Token und der Enterprise Software erfolgt ausschließlich über 256-Bit AES Verschlüsselung.

Mit Gatekeeper kann optional auch eine Zwei-Faktor-Authentifizierung umgesetzt werden. Nach dem drahtlosen Login wird der Anwender aufgefordert, PIN bzw. Passcode zusätzlich bei der Anmeldung einzugeben. Neben den berührungslosen Verfahren werden auch Fingerabdruck-Scanner der Hersteller DigitalPersona und Eikon Touch unterstützt.

Automatisierte An- bzw. Abmeldung in OT-Umgebungen

Durch die hohe Usability ist Gatekeeper in Produktion & Fertigung (OT) eine einfache und sichere Möglichkeit, um digitale Produktionsmaschinen (CAM) vor unbefugten Zugriff  zu schützen, sobald sich der Anlagenführer entfernt. 

GateKeeper Halberd Bluetooth-Token können in kleinen Umgebungen auch ohne zentrale Verwaltung eingesetzt werden.

Bestellen Sie passwortlose Authentifizierung mit GateKeeper Bluetooth Token im ProSecurity B2B-Portal online.

Gesundheitsdaten fallen in die besondere Kategorie personenbezogener Daten und sind auch bei hoher Arbeitsbelastung besonders zu schützen.

Der oft turbulente Arbeitsalltag in Arztpraxen, in der Pflege sowie in Krankenhäusern erschwert den vorgeschriebenen Umgang mit sensiblen personenbezogenen Patientendaten. Ärzte und Fachpersonal wechseln ständig zwischen Patienten und Behandlungszimmern und trotzdem muss gewährleistet werden, dass übergreifende Behandlungsdaten z. B. durch die elektronische Patientenakte ePa zwar für behandelnde Ärzte, nicht aber für den nachfolgenden Patienten einsehbar sind. Zusätzlich müssen alle im Zusammenhang eines Patienten relevanten Daten hinterlegt und dokumentiert sein.

Eine Fallstudie zeigt, welche Herausforderungen ein Gemeinschaftspraxis in Kanada mit Gatekeeper Token lösen konnte:

1. Wie kann sichergestellt werden, dass alle unbeaufsichtigten Behandlungs-Computer zu 100 % gesperrt sind.
2. Aus Gründen der Compliance muss nachweisbar sein, wer welche Eingaben durchgeführt hat
3. Es ist eine optimale Balance zwischen Datensicherheit und schnellen Datenzugriff zu erreichen

Laden Sie sich hier die Fallstudie Passwortlose Authentifizierung im Gesundheitswesen kostenlos herunter:

Download Fallstudie

Berührungslose Authentifizierung für alle Benutzer

GateKeeper verwendet entweder integrierte Bluetooth-Schnittstellen oder USB-Näherungssensoren. Das kontaktlose Login erfolgt über Halberd Token als Gegenstück. Die Hardware Token werden pro Anwender am Server registriert und dienen als eindeutige Kennung für den User. Nur registrierte Token werden erkannt und zur Authentifizierung verwendet.

Netzwerk-Integration mit GateKeeper Enterprise

In IT- und OT-Infrastrukturen ist die Integration der Token, deren Zuordnung sowie Verwaltung und Protokollierung erforderlich. Mit GateKeeper Enterprise weisen Sie über Richtlinien Benutzer bestimmten Token und /oder Arbeitsstationen zu und erstellen Zugriffslisten für Computer. Sie fügen sehr schnell und einfach Zugriffsberechtigungen auf Endpoints hinzu bzw. widerrufen diese wieder. Durch die Kombination von Benutzern, Passwörtern, Token und Computern, ermöglicht GateKeeper die Festlegung von Richtlinien für die privilegierte Zugriffssteuerung auf Basis von Gruppen oder einzelnen Benutzern. Mehrere Benutzer sowie deren Anmeldeinformationen und Token können auch über eine CSV-Datei hochgeladen und damit angelegt werden. Damit verwalten Sie sowohl Domänen-, lokale-, Web- und OTP-Anmeldeinformationen für alle Benutzer und legen Sicherheitseinstellungen für einzelne Computer, Benutzer und Gruppen fest.

Mehrfaktor Authentifizierung inklusive

Bei höheren Sicherheitsanforderungen oder räumlichen Gegebenheiten kann die Mehrfaktor-Authentifizierung obligatorisch vorgegeben werden. Alle An- und Abmeldevorgänge bzw. Versuche werden auch protokolliert.