Zwei-Faktor-Authentifizierung

Sichere Authentifizierung nach Maß: Webzugriffe, Cloud-Applikationen und Remote Zugriffe mit zusätzlichem Faktor absichern. Alle relevanten Authentifizierungsverfahren und für alle Plattformen.

Zwei-Faktor-Authentifizierung ohne Token

Doppelte Sicherheit beim Login

Die Zwei-Faktor-Authentifizierung sichert Remote-Zugänge, Web-Applikationen, virtuelle Umgebungen und Cloud-Services durch einen zweiten Faktor ab. Neben der doppelten Sicherheit schützt die Zwei-Faktor-Authentifizierung auch vor den Folgen von Phishing, Pharming, Brute-Force-Attacken und anderen Angriffsszenarien.

Zwei-Faktor-Authentifizierung – Die Verfahren

► Soft Token über Apps für iOS, Android, Windows Mobile und Blackberry (offline)


► Push Notification


► Voice-Callback für Festnetzanschlüsse (z.B. Home-Office)


► E-Mail Passcodes in Echtzeit oder pre-loaded geliefert


► YubiKey USB Token 


► OTP/Passcodes über QR-Codes, ähnlich der Photo-TAN bei Banken


► 3 Passcodes in einer SMS oder E-Mail mit dynamischer Aktualisierung genutzter OTP


► SMS Passcode in Echtzeit, als Flash-SMS und auch vorab pre-loaded (patentierte Technologie)


► Data Loss Prevention Add-on SecureIdentity DLP


Aktuell: Bereitstellung eines sicheren Zugangs während eines Notfalls (Corona)


Die Zwei-Faktor-Authentifizierung ist die anerkannte und empfohlene Methode zur Absicherung von Remote-Zugriffen auf Netzwerke, Cloud-Dienste und Web-Applikationen. Von einer 2-Faktor-Authentifizierung spricht man nur dann, wenn zwei unterschiedliche Faktoren aus den Bereichen »Haben«, »Wissen« und »Sein« für den Login verwendet werden.

Aktuelle Lösungen verwenden als zweiten Faktor meist sogenannte One Time Passwords bzw. Passcodes (OTP) oder Einmalpasswörter. Diese werden für jeden spezifischen Anmeldevorgang generiert und können nur zur einmaligen Authentifizierung genutzt werden. 
 

Durch die zusätzliche OTP Absicherung schützt die Zwei-Faktor-Authentifizierung vor den Folgen von Identitätsdiebstahl, Phishing, Brute-Force-Attacken und vielen weiteren aktuellen Angriffsmethoden.
 

Bevor »tokenlose« Verfahren entwickelt wurden, waren Hardware-Token die einzige Möglichkeit der Zwei-Faktor-Authentifizierung. Dabei berechnet ein Token für jeden Anmeldevorgang, synchron mit dem Anmeldeserver einen einmalig gültigen Passcode (numerisches Passwort). Diese Lösungen sind im Vergleich zu» tokenlosen« Verfahren sehr kostenintensiv, aufwendig in der Nutzung und in einigen Fällen auch nicht sicher.
 

»Tokenlose« 2-Faktor-Authentifizierung (2FA) spart die Anschaffung traditioneller Hardware-Token und deren Verwaltung und nutzt stattdessen die existierenden mobilen Devices wie Smartphone, Tablets oder Notebooks der Anwender. Unterschiedliche Anmeldeverfahren ermöglichen den optimalen Einsatz, egal wo, wann und wie Anwender sich sicher anmelden wollen. Dabei integriert sich die 2-Faktor-Authentifizierung nahtlos in alle gängigen Anmeldeverfahren wie VPN (von Microsoft, A10, F5, CA, Amazon WebServices u.a.), ADFS, SAML, etc. und Hersteller wie Microsoft (z.B. Office 365, OWA), Cisco (z.B. ACS, ASA, PIX, Router VPN u.a.), Citrix (z.B. Access Gateway, NetScaler, Xen App u.a.), Juniper, Salesforce uvm. und bietet dementsprechend höchste IT-Sicherheit gepaart mit höchstem Anwenderkomfort (Usability).
 

Zwei-Faktor-Authentifizierung vs. Mehrfaktor Authentifizierung

Beide Authentifizierungsverfahren nutzen grundsätzlich ähnliche Prozesse. Um das Authentifizierungsverfahren für den Anmelder bei der Mehrfaktor Authentifizierung nicht langwieriger und schwieriger zu gestalten, wird auch hier lediglich ein zusätzlicher Faktor aus den Bereichen »Haben«, »Sein« und »Wissen« zur erfolgreichen Anmeldung benötigt. Das Einmalkennwort oder OTP schützt auch hier nur den aktuellen Anmeldevorgang zu Login,- Cloud-, Remote und Web-Diensten und Services.  
 

Bei der Mehrfaktor Authentifizierung werden weitere Faktoren berücksichtigt oder in den Anmeldeprozess integriert. Dabei handelt es sich um biometrische Schutzfunktionen bei Smartphones, Tablets oder Notebooks bzw. Passwort- oder Passcode-Abfragen zum Entsperren dieser Endgeräte. Faktoren wie »Geofencing« oder »Geolocation« basieren auf der Überprüfung von IP-Adressen des Anmelders. Ergibt die Lokalisierung einen ungewöhnlichen Standort, kann das Login serverseitig abgelehnt werden. Weitere Faktoren der Mehrfaktor Authentifizierung sind ungewöhnliches Anwenderverhalten oder die Session-ID, also die feste Verknüpfung des zweiten Faktors mit der jeweiligen Sitzungs-ID. 
 

Die Lösung SecurAccess von SecurEnvoy ist nach dieser Definition eindeutig eine Mehrfaktor Authentifizierung. Zwei-Faktor-Authentifizierung ist der Überbegriff für die Absicherung durch einen zweiten Faktor und wird dementsprechend auf dieser Seite hauptsächlich verwendet.

Zwei-Faktor-Authentifizierung mit SecurAccess

Mit »tokenloser« Zwei-Faktor-Authentifizierung Web- und Cloud-Dienste, Windows-Login sowie virtuelle Umgebungen ohne zusätzliche Hardware wirkungsvoll absichern. Die All-in-one Lösung von SecurEnvoy bietet die meisten Authentifizierungsverfahren am Markt für alle gängigen Remote-Access Plattformen.

Aktuell: Temporäre Notfall Mehrfaktor Authentifizierung


Bei Katastrophen oder, wie jetzt im Fall einer beginnenden Corona-Pandemie kann es vorkommen, dass Mitarbeiter nicht in das Unternehmen kommen können oder dürfen. Eine Möglichkeit die Produktivität aufrecht zu erhalten, ist es den Mitarbeitern vom Homeoffice aus, den Zugriff auf Unternehmensdaten und -applikationen zu ermöglichen.

Dazu müssen sich die Mitarbeiter remote anmelden. Die Remote-Verbindung z. B. über VPN und Cloud-Anwendungen muss, bei der Bearbeitung von schützenswerten Daten durch eine zusätzliche Authentifizierung abgesichert werden. Die Mehrfaktor Authentifizierung SecurICE (In Case of Emergency) schützt Remote-Zugriffe temporär im Notfall für beispielsweise 30 oder 60 Tage. Die Einrichtung von SecurICE erfolgt auch in größeren Infrastrukturen über LDAP-Gruppenrichtlinien innerhalb weniger Minuten.
 

Die ausgewählten Mitarbeiter werden per SMS initial über die Situation und die daraus resultierende Umstellung auf eine Zwei-Faktor Authentifizierung informiert. Der zweite Faktor wird als OTP ebenfalls per SMS versandt. Dementsprechend sind weder zusätzliche Software noch Hardware-Token für die sichere Authentifizierung erforderlich. Zusätzliche Benachrichtigungen und Status-Updates an die Mitarbeiter sind ebenfalls über die Lösung möglich. Wenn vom Administrator erlaubt, können die Anwender zwischen Echtzeit SMS Passcode, preloaded (Vorab) SMS Passcode, 3 preloaded SMS Passcodes, E-Mail Passcodes oder Soft Token über Smartphone wählen (siehe unten ->Authentifizierungsverfahren).
 

SecurICE wird Ihnen als temporäre Lizenz für 12 Monate zur Verfügung gestellt. Eine Verlängerung der der Subscription ist jederzeit möglich. Während der Laufzeit können Sie einzelne Gruppen völlig flexibel aktivieren bzw. deaktivieren. Wenn SecurICE zwischenzeitlich nicht eingesetzt werden muss, kann die produktive Nutzungszeit (60-Tage) unterbrochen und zu einem späteren Zeitpunkt wieder aufgenommen werden.

 

Die ideale Lösung im Notfall:
 

Mehr Informationen über SecurICE im aktuellen Webinar,  Datenblatt, der Schritt-für-Schritt Anleitung (inkl. Screenshots) bzw. fragen Sie nach einem unverbindlichen Angebot.

Die Authentifizierungsverfahren

Mit benutzerfreundlichen und flexiblen Lösungen erreichen Sie hohe Anwenderakzeptanz und reduzieren in der Folge den Schulungs- und Supportaufwand. Das trifft auch für die Zwei-Faktor-Authentifizierung zu. SecurEnvoy nennt das »Authentifizierung nach Maß«. Mehr über die angebotenen sicheren Authentifizierungsverfahren erfahren Sie auch in unserem Webinar und auf unserem YouTube Kanal.
 

Alle nachfolgend beschriebenen »tokenlosen« Verfahren sind immer in der Zwei-Faktor-Authentifizierung SecurAccess Lizenz enthalten. Das Kundenunternehmen entscheidet, welche Authentifizierungsverfahren den Usern angeboten werden. Die Anwender wählen selbständig über das webbasierte SelfHelp-Portal die, für Sie aktuell bevorzugte Methode aus. Dabei stehen folgende sicheren Login-Methoden zur Auswahl:
 

  1. Zwei-Faktor-Authentifizierung über Pusch Verfahren

    Der Passcode (numerisches Passwort) wird direkt an das Mobilgerät des Anwenders übermittelt. Die Verifizierung und Zuordnung von Login-Daten und Mobilgerät erfolgt dabei direkt in der Zwei-Faktor-Authentifizierung.
     

    Der User bestätigt die Anmeldung mit einem Wisch auf seinem Smartphone, Tablet bzw. Notebook oder lehnt sie entsprechend ab. Über eventuelle integrierten Fingerprint-bzw. Gesichts-Sensoren kann der Anmeldevorgang zusätzlich einfach bestätigt werden (Mehrfaktor Authentifizierung).

    Für noch mehr Komfort kann diese Funktion auch über Wearables (z.B. Apple Watch) genutzt werden.

     

    Video ansehen

  2. Zwei-Faktor_Authentifizierung über Echtzeit SMS Passcode

    Dieses Verfahren ist u.a. auch von Online-Banking Transaktionen bekannt. Der Passcode wird als SMS oder Flash-SMS (SMS die nur angezeigt aber auf dem Mobiltelefon nicht gespeichert wird) an das Mobiltelefon des Anwenders in Echtzeit gesendet. Dieses sichere Authentifizierungsverfahren ist ideal für Anwender, die nur gelegentlich remote Zugriff über Zwei-Faktor Authentifizierung benötigen oder in Gebieten mit guter GSM-Verbindung unterwegs sind. Die SMS Passcodes können über ein dediziertes Modem, Modem Racks und SMS Gateway Provider versandt werden (siehe SecurEnvoy). Alle SMS Passcodes sind session-based, das heißt sie funktionieren nur in der ursprünglich gestarteten Sitzungs-ID (Schutz vor Man-in-the-middle-Attacken).
     

    Nachteile von SMS Passcodes:
     

    Beim SMS Passcode Verfahren fallen Kosten u. U. auch Roaming-Kosten an und das Mobiltelefon benötigt zum SMS Empfang eine funktionierende GSM-Verbindung. Wird die (Flash-) SMS auch im Sperrbildschirm angezeigt, handelt es sich bei der Auswahl dieses Verfahrens um eine reine Zwei-Faktor-Authentifizierung.

     

    VIDEO ANSEHEN

  3. Zwei-Faktor-Authentifizierung über Soft Token

    Soft Token funktionieren nach einem ähnlichen Prinzip wie traditionelle Hardware Token. Allerdings wird zur Berechnung des One Time Passcodes (OTP) kein Hardware-Token verwendet. Dies passiert genauso sicher in der Soft Token App.
     

    Mit der SecurAccess Soft Token App für Android, iOS, Windows Phone und BlackBerry wird alle 30 Sekunden per Soft Token Technologie ein neuer OTP generiert und angezeigt. Dieses Verfahren der Zwei-Faktor-Authentifizierung funktioniert komplett offline, also auch ohne GSM- bzw. Datenverbindung.
     

    Die App kann vom Anwender aus den jeweiligen App-Store kostenlos geladen werden. Die Konfiguration der App ist über das SelfHelp-Portal durch den Nutzer einfach und sicher durchzuführen.
     

    Das gilt auch beim Wechsel des Smartphones. Die App schützt auch die sogenannten Seed-Records, die hauptsächlich manipulationssicher auf dem SecurAccess Server gespeichert werden. Die App ist die Basis für die ebenfalls hier beschriebenen Verfahren Push, NFC und QR-Code. 
     

    Die App kann an die CI des Unternehmens angepasst werden.
     

  4. Vorab SMS Passcode

    Beim SMS Passcode Verfahren muss zum Zeitpunkt der Anmeldung der SMS-Empfang sichergestellt sein. Beim »preloaded« SMS Passcode wird eine bzw. optional auch 3 SMS Passcodes vorab auf das Anwender Mobiltelefon übertragen (preloaded SMS). Wird ein Passcode zur Anmeldung verwendet, überträgt SecurAccess bei einer funktionierenden GSM Verbindung sofort einen neuen Passcode per SMS. Sind Ihre Anwender häufig in Gebieten ohne zuverlässige GSM Verbindung unterwegs, sind preloaded SMS Passcodes eine gute Alternative zu einmaligen SMS Passcodes.
     

    Dabei nutzt die Zwei-Faktor-Authentifizierung ein patentiertes Verfahren, mit dem der jeweils verwendete Passcode in der SMS aktualisiert wird und nicht jedes Mal eine neue SMS im Speicher des Smartphones angezeigt wird. Dieses Verfahren kann problemlos bei Verbindungsproblemen oder Verzögerungen im SMS Versand eingesetzt werden.
     

    Je nach Konfiguration kann es sich auch hier um eine reine Zwei-Faktor-Authentifizierung handeln. 

    VIDEO ANSEHEN

  5. Authentifizierung über QR-Code

    QR-Codes können mit SecurAccess auch für Zwei-Faktor-Authentifizierung genutzt werden.
     

    Mit der OneSwipe-Technologie kann sich der Nutzer auch ohne Mobilfunk- oder Internetverbindung mit einem einfach zu nutzenden QR-Code authentifizieren.
     

    Die App (Siehe auch Soft Token) erzeugt alle 30 Sekunden einen einmalig gültigen QR-Code, der vom Nutzer zur sicheren Authentifizierung vor die im Notebook integrierte Webcam zur Authentifizierung gehalten wird.
     

    Zusätzlich kann die Eingabe einer weiteren PIN zur Authentifizierung des Anwenders vorab gefordert werden.

  6. E-Mail Passcode

    Wenn Sie unterschiedliche Endgeräte für den E-Mail-Empfang und die 2-Faktor-Authentifizierung verwenden, kann auch das E-Mail Passcode Verfahren sicher genutzt werden.
     

    Der Passcode wird per E-Mail nach erfolgreicher Anmeldung über Name und Passwort übermittelt. Sofern möglich, werden die E-Mail-Passcodes per TLS-Verschlüsselung versandt.
     

    Die E-Mail Passcodes können, wie beim SMS Passcode Verfahren auch vorab übermittelt werden (pre-loaded E-Mail). Dieses Verfahren kann eingesetzt werden, wenn die E-Mail-Umgebung vertrauenswürdig, die E-Mail Übertragung verschlüsselt erfolgt und sowohl Anmeldung als auch die E-Mail Applikation nicht auf dem gleichen System erfolgen.

  7. App für PC und MAC

    Mit der App kann auf Windows und Mac OS Systemen der Soft Token OTP direkt am Bildschirm angezeigt werden.
     

    Werden sowohl die Remote-Anmeldung, als auch die Mehrfaktor Authentifizierung auf dem gleichen System durchgeführt, ist die Sicherheit dieses Verfahrens nicht optimal.
     

    In Fällen in denen Anwender nur an einem System arbeiten und der Zugriff nur durch den berechtigten Nutzer möglich ist, wie z.B. im Home-Office, kann dieses Authentifizierungsverfahren ausreichend sicher sein.

  8. Zwei-Faktor-Authentifizierung über Voice Call

    Bei der sicheren Authentifizierung über Voice Call wird automatisch die, beim Anwender hinterlegte Telefonnummer angerufen. Gibt der Anwender über das Tastenfeld den richtigen Passcode ein, der Zugang ermöglicht.
     

    Dieses Verfahren bietet sich beispielsweise für Nutzer im Home-Office an.


    VIDEO ANSEHEN

Ihr Ansprechpartner bei PKN

Carsten Pehlmann
Carsten Pehlmann
Senior Sales Manager
+49 30 42 26 92 49

Ich habe die Datenschutzerklärung zur Kenntnis genommen. *

Ich stimme einer elektronischen Speicherung und Verarbeitung meiner eingegebenen Daten zur Beantwortung meiner Anfrage zu. Die Einwilligung kann jederzeit für die Zukunft per E-Mail an info(at)pkn.de widerrufen werden.

Ja, ich möchte den Newsletter der PKN Datenkommunikations GmbH abonnieren.

Ich möchte zukünftig per E-Mail Produktinformationen, Angebote, Einladungen zu Veranstaltungen und andere interessante Neuigkeiten und Empfehlungen der PKN Datenkommunikations GmbH und seinen Technologie-Partnern erhalten. Hinweis: Wenn Sie zukünftig keine Informationen mehr von uns erhalten möchten, können Sie der Verwendung Ihrer Daten durch uns jederzeit widersprechen. Nutzen Sie dazu den Abmelde-Link, der jedem unserer Newsletter beigefügt ist oder senden Sie eine E-Mail an info(at)pkn.de. Bitte lesen Sie auch unsere Hinweise zum Datenschutz.

* Pflichtfeld

nach oben