Sicheres Authentisierungsverfahren Tokey

Tokey bringt sichere Authentifizierung Made in Germany

Seite: 3/3

Firma zum Thema

Sichere Transaktionen mit Smartphone App

Der Ablauf einer Transaktion beginnt in der Regel damit, dass der Nutzer des Smartphones beim Einschalten des Geräts die Tokey-App aufruft und durch die Eingabe zweier beliebiger Passworte aktiviert. Sieht er dann einen der Tokey-QR-Codes, beispielsweise auf einem Plakat, einer Zeitungsanzeige, einem Kassenbon, auf einem Bildschirm und so weiter, fotografiert er diesen mit dem Smartphone.

Die Tokey-App verrechnet nun die beiden Anwenderpassworte mit der vom Hersteller des Smartphones stammenden einmaligen Gerätekennziffer (UDI) und dem Inhalt des QR-Codes zu zwei unterschiedlichen Hash-Werten. Der eine geht zu dem Datenserver, an dem dieser spezifische Endkunde sich registriert hat, der andere an einen Schlüssel/App-Server.

Der Datenserver erkennt anhand des Hash-Codes, der anwender- und prozessspezifisch ist, um wen und welchen Prozess es sich handelt und sucht aus dem Datensatz dieser Person diejenigen Daten heraus, die für den Ablauf des gewünschten Prozesses nötig sind, bei einem Kauf zum Beispiel Kontoverbindung und Lieferadresse. Diese verrechnet er mit dem Hashcode, den er vom Endkunden-Smartphone erhalten hat, zu einem neuen Hashcode, der über eine sichere Verbindung an den zuständigen Key/Applikationsserver verschickt wird.

Der Key-/App-Server hat mittlerweile seinen Hash-Code empfangen, der ihm mitteilt, zu welchem Unternehmen die bei ihm eintreffenden Daten vom Datenserver gehören und leitet sie nun immer noch verschlüsselt an den Applikationsserver des Unternehmens weiter. Dort können sie weiter verarbeitet, in CRM/ERP-Systeme eingespeist etc. werden. Der Anwender bekommt von alledem nichts mit. Er muss nur den QR-Code scannen, der Rest läuft im Hintergrund. Tokey geht davon aus, dass in Zukunft viele gerade kleinere Unternehmen ihre Kundendaten gar nicht mehr auf eigenen Servern aufbewahren, sondern dies großen Dienstleistern mit entsprechenden Sicherheitsinfrastrukturen überlassen werden. In diesem Fall erhalten sie über die Transaktion nur noch einen Token.

Zusätzliche Sicherheitsmechanismen

Um die Sicherheit weiter zu erhöhen, sind zusätzliche Schutzmechanismen eingebaut. So sinkt der Sicherheitslevel der App mit der Aktivierungsdauer, nach zwei Stunden muss man sie neu aktivieren: Wurde sie gerade eingeschaltet, ist sie auch für hochsichere Transaktionen beispielsweise am Bankautomaten gut, nach anderthalb Stunden kann man ohne neues Einloggen vielleicht nur noch ein kostenloses Probeheft bestellen. Welches Sicherheitsniveau erwünscht ist, legen die Unternehmen, die Tokey nutzen wollen, selbst individuell für jeden Prozess fest.

Zudem gibt es einen weiteren Sicherheitsmechanismus, der vor allem gegen die beliebte Gewohnheit schützt, Passworte in die Gerätettasche zu stecken oder gar aufs Gerät zu schreiben. „Picturity“ ist ein optionales Tokey-Dienstmerkmal, bei dem jeder Endanwender bis zu 50 selbstgemachte Fotografien auf den Tokey-Server laden kann. Dort werden sie unter die Bilder gemischt, die andere Teilnehmer auf den Server geladen haben. Authentisiert sich ein Anwender, werden ihm jeweils fünfmal Blocks mit 20 beliebigen Fotos gezeigt, unter denen sich jeweils nur eines findet, das er selbst hochgeladen hat. Dieses Bild (es ist in jedem Bildersatz ein anderes) muss er mindestens zweimal erkennen. „Das ist eine individuelle Gedächtnisleistung und damit nicht fälschbar“, ist Simon überzeugt.

(ID:42574204)