Suchen

Alternative Möglichkeit der Authentifizierung per Smartphone

Wie Mobilgeräte das Passwort-Dilemma lösen können

Seite: 3/3

Firmen zum Thema

Die Voraussetzungen sind oft schon gegeben

Etliche Unternehmen nutzen bereits Smartcards und Token mit PKI für die Verwaltung von Nutzeridentitäten. Es liegt auf der Hand, die Funktionen dieser Smartcards und Token auf Smartphones auch für andere Firmenzwecke zu verwenden. So lassen sich etwa Einkäufe mit dem Handy anstelle einer Kreditkarte bezahlen, es kann aber auch zur Authentifizierung für den Zugang eines Mitarbeiters zu einer Einrichtung, einem Raum oder anderen Anlagen verwendet werden.

Die meisten mobilen Geräte verfügen über einen Schlüsselspeicher innerhalb eines PIN-geschützten Systembereichs, der geheime, mit Zertifikaten verknüpfte Schlüssel enthält, die bei jeder Authentifizierung verwendet werden. Eine einzige PIN entsperrt alle Zugangsdaten und erlaubt einen Remote-Login, ohne dass ein anwendungsspezifisches Passwort erinnert werden muss.

Eine interessante Eigenschaft ist die Tatsache, dass PKI-Zugangsdaten serverseitig gesperrt werden können: Wird ein Gerät als verloren, gestohlen oder infiziert gemeldet, werden durch das Widerrufen der entsprechenden Nutzerzertifikate auf dem Server die Zugangsdaten außer Kraft gesetzt. Dabei muss nicht abgewartet werden, bis das Gerät über ein drahtloses Netzwerk verbunden ist, um den Sperrbefehl zu aktivieren, obwohl auch dies immer sinnvoll ist, um Datenlecks zu mindern.

Vorteile des PKI-gestützten Identity Managements

Die Ausgabe PKI-basierter digitaler Identitäten an Geräte, Nutzer und Anwendungen, erlaubt Firmen die Erstellung von Punkt-zu-Punkt-Verbindungen auf vertrauenswürdigen Wegen (Trusted Paths) über jedes Netzwerk. Die Peers können dabei eigenständig gegenseitig ihren Traffic authentifizieren und verschlüsseln, ohne dass manuelles Eingreifen erforderlich wird.

Digitale Zugangsdaten erlauben eine feinere Unterscheidung bei den Zugangsrechten. Die direkte Ausgabe digitaler Identitäten an Geräte statt an ihre Nutzer ermöglicht es, nur bestimmten Geräten den Zugang zu Firmenressourcen zu gestatten. So können zum Beispiel Mobiltelefone einen reinen E-Mail-Zugriff erhalten, während Tablets umfangreichere Zugangsrechte zuerkannt werden.

Dieselbe Logik gilt auch für unterschiedliche professionelle Anwendungen auf einem Gerät, die jede für sich ihre eigene digitale Identität mit speziellen Zugangsrechten erhalten. Die Ausgabe einer PKI an mobile Geräte zur Steigerung der Produktivität der Angestellten und der Effizienz der Geschäftsvorgänge, erfordert natürlich das Wissen, wie Zertifikate ausgegeben, gespeichert und verwendet werden sowie einen Partner, der hierfür die notwendigen Produkte und Services bereithält.

Mobile Sicherheit folgt im Wesentlichen den Prinzipien, die auch bei der stationären IT-Nutzung galten. Im ersten Schritt wurde die passwordbasierten Authentifizierung vom Desktop auf mobile Geräte übertragen, was sich weder als komfortabel noch als sicher erwies. Die sowohl client- als auch serverseitigen Angriffe auf soziale Netzwerke offenbarten die Schwächen in der Passwortverwaltung.

Viele webbasierte Dienste sind entsprechend zur Zwei-Faktor-Authentifizierung übergegangen, entweder über einen externen Token oder eine mobile App. Unternehmen, die einen höheren Grad an Sicherheit benötigen, beschreiten den Weg einer zertifikatsbasierten Authentifizierung, Signatur und Verschlüsselung.

Über den Autor

Roland Hamann, Regional Director Central & Eastern Europe.

(ID:42452804)