Fünf Fragen an Phil Dunkelberger zur FIDO Alliance und Nok Nok Labs Starke Authentifizierung so einfach wie das Internet
Man stelle sich vor, das Internet würde nicht auf offenen Standards und Protokollen wie TCP/IP basieren, sondern jede Firma würde ihr eigenes Süppchen kochen. Man hätte ungefähr den Stand, den die IT-Industrie derzeit beim Thema „strong authentication“ hat.
Anbieter zum Thema

Bei der Authentifizierung im Internet ist der kleinste gemeinsame Nenner, auf den sich Techniologieanbieter und das Business einigen können Benutzername und Passwort. Aber jedem Sicherheitsexperten ist klar, dass diese Lösung auf Dauer unsicher ist. Natürlich gibt es sichere Authentifizierungstechniken, wie biometrische Erkennung von Finger, Gesicht oder Sprache oder auch Zertifikatsbasierte Token, aber es mangelt derzeit noch an offenen Standards zur starken Authentifizierung im Internet.
Nok Nok Labs hat deshalb mit Unternehmen wie PayPal, Lenovo, Validity, Agnitio und Infineon die Non-Profit-Organisation „FIDO Alliance“ gegründet. Diese arbeitet unter dem Slogan „Vergesst Passwörter“ an einem offenen Industriestandard, um für eine Interoperabilität bestehender Authentifizierungslösungen zu sorgen.
Ein Jahr nach dem Start der FIDO Allianz und zwei Jahre nach der Gründung von Nok Nok Labs haben wir uns mit Phil Dunkelberger, CEO von Nok Nok Labs getroffen und nachgefragt, wie weit das Unternehmen und die FIDO Allianz schon mit ihrer Mission, starke Authentifizierung im Internet zu vereinfachen, gekommen sind.
Security-Insider: Können Sie Auftrag und Ziel der FIDO Alliance und von Nok Nok Labs kurz zusammenfassen?
Phil Dunkelberger: Die Aufgabe der FIDO Alliance und von Nok Nok Labs ist schnell beschrieben. Der Erfolg von Online-Transaktionen, Cloud-Services und M-Commerce ist abhängig von einem mittlerweile 50 Jahre alten IT-Konstrukt, das sich nicht mehr für den ihm zugedachten Zweck eignet: dem Passwort.
Die FIDO Alliance engagiert sich daher für die Einführung eines neuen, starken Authentifizierungsprotokolls, das es erlaubt, eine einzige zentrale Infrastruktur für jede beliebige Authentifizierungsmethode und jedes Gerät einzusetzen. Im Ergebnis wird die Authentifizierung so sicherer und einfacher, was sowohl die Sicherheitsanforderungen der branchenspezifischen und staatlichen Regulierer als auch den Wunsch der Endanwender nach einer hohen Benutzerfreundlichkeit erfüllt.
Security-Insider: Was ist der aktuelle Stand der Bestrebungen der FIDO Alliance, die Implementierung sicherer Authentifizierungslösungen zu vereinfachen?
Dunkelberger: Die FIDO Alliance wurde am 12. Februar 2013 durch die sechs Gründungsmitglieder Lenovo, PayPal, Infineon, Nok Nok Labs, Validity Sensors und Agnitio ins Leben gerufen. Seitdem ist sie auf fast 80 Mitglieder angewachsen - darunter so wichtige Unternehmen der Branche wie Google, Microsoft, MasterCard oder RSA. Zudem wurden große Fortschritte innerhalb der einzelnen Arbeitsbereiche erzielt - etwa durch die Erweiterung um eine Datenschutz-Arbeitsgruppe und ein Zertifizierungsprogramm.
Security-Insider: Welche signifikanten Schritte hin zu einer breiten öffentlichen Nutzung der Online-Authentifizierung auf Basis von FIDO-Technologien wurden in den letzten zwölf Monaten gemacht?
Dunkelberger: Die FIDO Allianz arbeitet derzeit an den ersten öffentlichen Versionen seiner zwei Protokolle - Unified Authentication Framework (UAF) und Universal 2nd Factor (U2F) -, deren öffentlicher Prüfungszeitraum in diesem Februar beginnen soll. Dann werden Interessenten in der Lage sein, die Spezifikationen über die FIDO-Website abzurufen.
Darüber hinaus wurden eine Reihe von Authentifizierungstechnologien einem Interoperabilitäts-Testverfahren unterzogen, um ihnen bescheinigen zu können, dass sie FIDO Ready sind. Diese Tests wurden unter dem Einsatz der Client- und Server-Infrastruktur von Nok Nok Labs abgeschlossen.
Security-Insider: Die erste nach FIDO-Spezifikationen entwickelte Server-Applikation stammt von Nok Nok Labs. Was ist der Status der Software und wie hat die Branche reagiert?
Dunkelberger: Nok Nok Labs hat bislang schon mehrere Versionen seiner Client- und Server-Software ausgeliefert. Diese ist inzwischen als NNL S3 Authentication Suite bekannt und umfasst die drei Komponenten Multifactor Authentication Server (MFAS), Multifactor Authentication Client (MFAC) Mobile Edition und Multifactor Authentication Client (MFAC) Desktop Edition.
Der Server bietet dabei eine einheitliche, flexible Authentifizierungsinfrastruktur für eine benutzerfreundliche, starke Authentifizierung unabhängig von eingesetzten Geräten, Authentifizierungsinstanzen und Applikationen.
Der mobile Authentifizierungs-Client unterstützt Android- und iOS-Geräte, und ermöglicht Anwendern, sich über die vorhandenen Sicherheitsoptionen ihrer Mobilgeräte für beliebige Applikationen zu authentifizieren.
Die Desktop-Version des Authentifizierungs-Client unterstützt Windows 7 und Windows 8 und ermöglicht eine benutzerfreundliche, starke Authentifizierung für jede Anwendung durch die Nutzung der vorhandenen Sicherheitsoptionen in Desktops und Laptops.
Die ersten Reaktionen auf diese Software waren positiv. Nok Nok Labs arbeitet mit einer Reihe von Geräteherstellern, Authentifizierungsanbietern und Halbleiterproduzenten strategisch zusammen, um den Multifactor Client als eingebettete Lösung zu realisieren - hierzu zählen Lenovo, Agnitio, Fingerprint Cards und andere mehr. Zudem wird der Server von Nok Nok Labs in einer Reihe von Pilotimplementierungen für umfangreiche Internet-Services eingesetzt. Wir haben unsere Lösung auch erfolgreich auf etlichen Veranstaltungen präsentiert, unter anderem letzten November auf der CARTES in Paris.
Security-Insider: Was waren die wichtigsten Meilensteine für Nok Nok Labs in den letzten zwölf Monaten?
Dunkelberger: Zu den maßgeblichen Meilensteinen für Nok Nok Labs in den letzten zwölf Monaten zählen die erfolgreiche Vorstellung des Unternehmens auf der RSA Conference 2013, die Präsentation der ersten Versionen unserer Produkte Multifactor Authentication Client und Server, die Einstufung unseres Unternehmens als innovatives Start-Up durch die Network World, die Computer Reseller News, bei den SINET-Awards und auf der RSA Conference und schließlich der Aufbau der ersten Testsuite für FIDO Ready-Lösungen für Interoperabilitätstests der FIDO Allianz.
(ID:42558728)