Security first
Push-Authentifizierung – wie das sicherste 2FA-Verfahren den Mainstream erobert
Security first
Push-Authentifizierung – wie das sicherste 2FA-Verfahren den Mainstream erobert
In den letzten zwei Jahren verzeichneten Downloads von Paketen für Zwei-Faktor-Authentifizierung (2FA) einen Anstieg um satte 320 Prozent – das berichtet der Entwicklerdienst npm. Die Verbrauchernachfrage nach 2FA explodiert förmlich; ein Blick auf twofactorauth.org zeigt aber auch, dass nur die Hälfte der 1000 populärsten Websites 2FA bereits implementiert hat.
In den letzten zwei Jahren verzeichneten Downloads von Paketen für Zwei-Faktor-Authentifizierung (2FA) einen Anstieg um satte 320 Prozent – das berichtet der Entwicklerdienst npm. Die Verbrauchernachfrage nach 2FA explodiert förmlich; ein Blick auf twofactorauth.org zeigt aber auch, dass nur die Hälfte der 1000 populärsten Websites 2FA bereits implementiert hat.
Warum setzt sich 2FA nur derart schleppend durch? Zwei Punkte sind hier wesentlich: Verbraucher wissen nicht um die 2FA-Option oder werden erst darauf aufmerksam, nachdem ihr Konto gehackt wurde. Gleichzeitig versäumen es Websites, eine nahtlose 2FA-Benutzererfahrung bereitzustellen und ihren Usern schmackhaft zu machen.
Ein weiterer Grund für die zögerliche Akzeptanz von 2FA bei Verbrauchern ist die bereits 30 Jahre alte umständliche Identifizierung per SMS oder separatem Authentifizierungsgerät. Hierbei muss zur Verifizierung der eigenen Identität beim Login ein zugesendeter Code eingetippt werden. Dieser wenig ideale Prozess stößt bei Benutzern auf geringe Gegenliebe, weshalb er in Anwendungen selten standardmäßig voreingestellt ist. Gleichzeitig wünschen sich Benutzer aber auch einen effektiveren Schutz ihrer Accounts. Deshalb lohnt es sich, bei der Implementierung von 2FA ab sofort einen proaktiven statt einen reaktiven Ansatz zu verfolgen.
Für Verbraucher, die sich nach einem unkomplizierten Login sehnen, steht eine Lösung parat: Push-Authentifizierung. Dieser Ansatz ist dem Versand einer einmaligen Passphrase per SMS weit überlegen und das sicherste Verfahren für 2FA. Unternehmen wie der Zahlungsdienstleister TransferWise setzen Push-Authentifizierung bereits bei grenzüberschreitenden Geldtransfers ein, während die Krypto-Börse Gemini mit Push-Authentifizierung lukrative Krypto-Wallets schützt.
Das sind nur zwei Belege für den Vormarsch von Push-Authentifizierung in den Bereichen Online Finance und Kryptowährung – das Risiko ist hier besonders hoch, während gleichzeitig schnelle, sichere Transaktionen ein Muss sind. Global Player wie Yahoo, Google, Microsoft und seit Kurzem auch Salesforce haben Push-Authentifizierung bereits implementiert. Nun ist es an der Zeit, andere Unternehmen sowie die Verbraucher ins Boot zu holen und eine Ära der sicheren Online-Identität einzuläuten.
Push-Authentifizierung auf dem Vormarsch
Das Prinzip von Push-Authentifizierung ist äußerst simpel. Bei der Anmeldung bei einem Dienst wird eine Nachricht an ein vertrauenswürdiges Mobil- oder Desktopgerät gesendet, das mit dem Benutzerkonto verknüpft ist. Darin wird der Benutzer aufgefordert, die Anmeldung zuzulassen oder zu verweigern. Darüber hinaus erhält er Informationen zur Anfrage, etwa zum Gerätestandort, zum verwendeten Browser und zum Gerätetyp. Anhand dieser Daten kann der Anwender zuverlässig rechtmäßige Anfragen zulassen oder verdächtig erscheinende ablehnen.
Im Gegensatz zur SMS, deren Inhalt in der Regel unverschlüsselt ist, basiert Push-Authentifizierung auf neuesten Sicherheitsverfahren. Die Technik nutzt verschlüsselte End-to-End-Kommunikation zwischen der Anwendung und einem sicheren Authentifizierungsdienst.
Zweifellos sorgt Push-Authentifizierung für eine spürbare Verbesserung der Benutzererfahrung – ein Anreiz für Entwickler, 2FA nicht nur optional, sondern standardmäßig einzubinden. Als Folge könnten hohe Sicherheitsstandards für Onlinekonten noch flächendeckender Anwendung finden. Die Einsatzmöglichkeiten von Push-Authentifizierung sind nicht allein auf 2FA beschränkt. Das Beispiel Gemini zeigt, dass die Technologie auch für sichere Transaktionen mit Kryptowährung verwendet werden kann. Darüber hinaus haben Tech-Giganten wie Google und Yahoo Logins ohne Kennwort entwickelt, bei denen die Beantwortung einer Anfrage auf einem vertrauenswürdigen Gerät zur Anmeldung ausreicht.
Ein kleiner Schritt für Push-Authentifizierung, aber ein großer Schritt für die Sicherheit
Push-Authentifizierung allein kann Onlinesicherheit nicht revolutionieren; vielmehr müssen Entwickler die Angelegenheit in die eigene Hand nehmen und Benutzer über 2FA und potenziell kennwortfreie Authentifizierungsverfahren aufklären. Mag Push-Authentifizierung auch der Königsweg zu zeitgemäßer 2FA sein – wenn Benutzer die Implikationen von Account-Sicherheit nicht verstehen, sind sie gegenüber neuer Funktionalität wenig aufgeschlossen.
Weitere Punkte, die zu beachten sind, um den Weg für Push-Authentifizierung zu ebnen, sind die folgenden:
- Einfache Aktivierung: Das größte Hindernis für 2FA liegt oft darin, diese Option zum einen zu finden und zum anderen sie zu aktivieren. Unternehmen müssen dafür sorgen, dass die Funktion sichtbar ist und bequem hinzugeschaltet werden kann. Dafür erforderlich: eine intuitive Benutzeroberfläche, E-Mail-Erinnerungen für mehr Sicherheit sowie anwendungsinterne Benachrichtigungen.
- Verpflichtende 2FA, wenn hohe Geldsummen im Spiel sind: Optionale 2FA erscheint für neue Benutzerkonten als praktikabelster Weg. Wenn es jedoch um hohe Geldbeträge geht, wird die Technologie unverzichtbar. Der Albtraum ist ein unzureichend geschützter Benutzer mit einem Vermögen von hunderttausenden Euro, der sich der vorhandenen Sicherheitsoptionen nicht bewusst ist und deshalb für sein Konto einen zu niedrigen Schutzgrad gewählt hat.
- Push als Standard, SMS als Ausweichoption: Bei der Implementierung von 2FA sollte Push-Authentifizierung als Standardoption vorgegeben sein. Da es jedoch die Installation einer Zusatzanwendung (entweder Ihre eigene oder ein spezielles Authentifizierungsgerät) erfordert, muss auch auf Benutzer Rücksicht genommen werden, die gerade kein Smartphone zur Hand haben oder die keine neuen Apps herunterladen können. Deshalb hat die SMS als Ausweichlösung weiterhin eine Daseinsberechtigung.
- Hintergrundinfos für mehr Sicherheit: Bei der Verwendung von Push-Authentifizierung sollten dem Benutzer relevante Details zur Verfügung gestellt werden. Im Falle einer Geldüberweisung sollte der entsprechende Geldbetrag daher in der Anfrage aufgeführt werden. Ist der Standort des sich anmeldenden Benutzers bekannt, sollte dieser ebenfalls in der Anfrage erscheinen. Je mehr Informationen bereitgestellt werden, desto zuverlässiger kann der Benutzer die richtige Entscheidung treffen.
- Augen auf bei abgelehnten Anfragen: Vorsicht ist geboten, wenn Benutzer eine Push-Authentifizierung „ablehnen“. Wiederholt sich dieser Vorgang, sind Maßnahmen zu ergreifen, denn die Wahrscheinlichkeit ist hoch, dass das Konto angegriffen wird und proaktiv für fortwährenden Schutz gesorgt werden muss.
Geduldsspiel
Push-Authentifizierung gehört die Zukunft – das haben Google, Microsoft und andere bereits bewiesen. Heutige Verbraucher sind sicherheitsbewusst wie nie zuvor. Anstatt auf eine größere Verbreitung von Push-Authentifizierung zu warten, können Unternehmen bereits jetzt das Vertrauen von Verbrauchern in sie stärken, indem sie selbst die Initiative ergreifen.
Primär gibt es zwei Möglichkeiten, diese Authentifizierungstyp in die Anwendung eines Unternehmens zu integrieren: Die Erlaubnis, dass Benutzer sich entweder über ein Google- oder über ein Yahoo-Konto anmelden können – Voraussetzung ist hierbei jedoch, dass der Benutzer diesen Authentifizierungstyp aktiviert hat. Auf diese Weise können Unternehmen und Entwickler einen wichtigen Beitrag dazu leisten, dass sich Push-Authentifizierung zum bevorzugten Authentifizierungsverfahren aufschwingt.
Warum setzt sich 2FA nur derart schleppend durch? Zwei Punkte sind hier wesentlich: Verbraucher wissen nicht um die 2FA-Option oder werden erst darauf aufmerksam, nachdem ihr Konto gehackt wurde. Gleichzeitig versäumen es Websites, eine nahtlose 2FA-Benutzererfahrung bereitzustellen und ihren Usern schmackhaft zu machen.
Ein weiterer Grund für die zögerliche Akzeptanz von 2FA bei Verbrauchern ist die bereits 30 Jahre alte umständliche Identifizierung per SMS oder separatem Authentifizierungsgerät. Hierbei muss zur Verifizierung der eigenen Identität beim Login ein zugesendeter Code eingetippt werden. Dieser wenig ideale Prozess stößt bei Benutzern auf geringe Gegenliebe, weshalb er in Anwendungen selten standardmäßig voreingestellt ist. Gleichzeitig wünschen sich Benutzer aber auch einen effektiveren Schutz ihrer Accounts. Deshalb lohnt es sich, bei der Implementierung von 2FA ab sofort einen proaktiven statt einen reaktiven Ansatz zu verfolgen.
Für Verbraucher, die sich nach einem unkomplizierten Login sehnen, steht eine Lösung parat: Push-Authentifizierung. Dieser Ansatz ist dem Versand einer einmaligen Passphrase per SMS weit überlegen und das sicherste Verfahren für 2FA. Unternehmen wie der Zahlungsdienstleister TransferWise setzen Push-Authentifizierung bereits bei grenzüberschreitenden Geldtransfers ein, während die Krypto-Börse Gemini mit Push-Authentifizierung lukrative Krypto-Wallets schützt.
Das sind nur zwei Belege für den Vormarsch von Push-Authentifizierung in den Bereichen Online Finance und Kryptowährung – das Risiko ist hier besonders hoch, während gleichzeitig schnelle, sichere Transaktionen ein Muss sind. Global Player wie Yahoo, Google, Microsoft und seit Kurzem auch Salesforce haben Push-Authentifizierung bereits implementiert. Nun ist es an der Zeit, andere Unternehmen sowie die Verbraucher ins Boot zu holen und eine Ära der sicheren Online-Identität einzuläuten.
Push-Authentifizierung auf dem Vormarsch
Das Prinzip von Push-Authentifizierung ist äußerst simpel. Bei der Anmeldung bei einem Dienst wird eine Nachricht an ein vertrauenswürdiges Mobil- oder Desktopgerät gesendet, das mit dem Benutzerkonto verknüpft ist. Darin wird der Benutzer aufgefordert, die Anmeldung zuzulassen oder zu verweigern. Darüber hinaus erhält er Informationen zur Anfrage, etwa zum Gerätestandort, zum verwendeten Browser und zum Gerätetyp. Anhand dieser Daten kann der Anwender zuverlässig rechtmäßige Anfragen zulassen oder verdächtig erscheinende ablehnen.
Im Gegensatz zur SMS, deren Inhalt in der Regel unverschlüsselt ist, basiert Push-Authentifizierung auf neuesten Sicherheitsverfahren. Die Technik nutzt verschlüsselte End-to-End-Kommunikation zwischen der Anwendung und einem sicheren Authentifizierungsdienst.
Zweifellos sorgt Push-Authentifizierung für eine spürbare Verbesserung der Benutzererfahrung – ein Anreiz für Entwickler, 2FA nicht nur optional, sondern standardmäßig einzubinden. Als Folge könnten hohe Sicherheitsstandards für Onlinekonten noch flächendeckender Anwendung finden. Die Einsatzmöglichkeiten von Push-Authentifizierung sind nicht allein auf 2FA beschränkt. Das Beispiel Gemini zeigt, dass die Technologie auch für sichere Transaktionen mit Kryptowährung verwendet werden kann. Darüber hinaus haben Tech-Giganten wie Google und Yahoo Logins ohne Kennwort entwickelt, bei denen die Beantwortung einer Anfrage auf einem vertrauenswürdigen Gerät zur Anmeldung ausreicht.
Ein kleiner Schritt für Push-Authentifizierung, aber ein großer Schritt für die Sicherheit
Push-Authentifizierung allein kann Onlinesicherheit nicht revolutionieren; vielmehr müssen Entwickler die Angelegenheit in die eigene Hand nehmen und Benutzer über 2FA und potenziell kennwortfreie Authentifizierungsverfahren aufklären. Mag Push-Authentifizierung auch der Königsweg zu zeitgemäßer 2FA sein – wenn Benutzer die Implikationen von Account-Sicherheit nicht verstehen, sind sie gegenüber neuer Funktionalität wenig aufgeschlossen.
Weitere Punkte, die zu beachten sind, um den Weg für Push-Authentifizierung zu ebnen, sind die folgenden:
- Einfache Aktivierung: Das größte Hindernis für 2FA liegt oft darin, diese Option zum einen zu finden und zum anderen sie zu aktivieren. Unternehmen müssen dafür sorgen, dass die Funktion sichtbar ist und bequem hinzugeschaltet werden kann. Dafür erforderlich: eine intuitive Benutzeroberfläche, E-Mail-Erinnerungen für mehr Sicherheit sowie anwendungsinterne Benachrichtigungen.
- Verpflichtende 2FA, wenn hohe Geldsummen im Spiel sind: Optionale 2FA erscheint für neue Benutzerkonten als praktikabelster Weg. Wenn es jedoch um hohe Geldbeträge geht, wird die Technologie unverzichtbar. Der Albtraum ist ein unzureichend geschützter Benutzer mit einem Vermögen von hunderttausenden Euro, der sich der vorhandenen Sicherheitsoptionen nicht bewusst ist und deshalb für sein Konto einen zu niedrigen Schutzgrad gewählt hat.
- Push als Standard, SMS als Ausweichoption: Bei der Implementierung von 2FA sollte Push-Authentifizierung als Standardoption vorgegeben sein. Da es jedoch die Installation einer Zusatzanwendung (entweder Ihre eigene oder ein spezielles Authentifizierungsgerät) erfordert, muss auch auf Benutzer Rücksicht genommen werden, die gerade kein Smartphone zur Hand haben oder die keine neuen Apps herunterladen können. Deshalb hat die SMS als Ausweichlösung weiterhin eine Daseinsberechtigung.
- Hintergrundinfos für mehr Sicherheit: Bei der Verwendung von Push-Authentifizierung sollten dem Benutzer relevante Details zur Verfügung gestellt werden. Im Falle einer Geldüberweisung sollte der entsprechende Geldbetrag daher in der Anfrage aufgeführt werden. Ist der Standort des sich anmeldenden Benutzers bekannt, sollte dieser ebenfalls in der Anfrage erscheinen. Je mehr Informationen bereitgestellt werden, desto zuverlässiger kann der Benutzer die richtige Entscheidung treffen.
- Augen auf bei abgelehnten Anfragen: Vorsicht ist geboten, wenn Benutzer eine Push-Authentifizierung „ablehnen“. Wiederholt sich dieser Vorgang, sind Maßnahmen zu ergreifen, denn die Wahrscheinlichkeit ist hoch, dass das Konto angegriffen wird und proaktiv für fortwährenden Schutz gesorgt werden muss.
Geduldsspiel
Push-Authentifizierung gehört die Zukunft – das haben Google, Microsoft und andere bereits bewiesen. Heutige Verbraucher sind sicherheitsbewusst wie nie zuvor. Anstatt auf eine größere Verbreitung von Push-Authentifizierung zu warten, können Unternehmen bereits jetzt das Vertrauen von Verbrauchern in sie stärken, indem sie selbst die Initiative ergreifen.
Primär gibt es zwei Möglichkeiten, diese Authentifizierungstyp in die Anwendung eines Unternehmens zu integrieren: Die Erlaubnis, dass Benutzer sich entweder über ein Google- oder über ein Yahoo-Konto anmelden können – Voraussetzung ist hierbei jedoch, dass der Benutzer diesen Authentifizierungstyp aktiviert hat. Auf diese Weise können Unternehmen und Entwickler einen wichtigen Beitrag dazu leisten, dass sich Push-Authentifizierung zum bevorzugten Authentifizierungsverfahren aufschwingt.
