Sicher und benutzerfreundlich: WebAuthn und Step-Up Authentication
Im heutigen digitalen Zeitalter ist es wichtig Online-Konten vor Hackern und unberechtigtem Zugriff zu schützen. Eine effektive Möglichkeit, dies zu tun, ist die Verwendung der Zwei-Faktor-Authentifizierung (2FA). Diese ist heutzutage nicht mehr wegzudenken, jedoch aus Anwendersicht meist störend und vielen zu kompliziert. In diesem Post, zeigen wir auf, welche technischen Möglichkeiten es gibt die Sicherheit zu erhöhen und dabei die Benutzerführung im Login-Prozess nicht unnötig zu erschweren.
Unsere Ausgangslage
Die mobile MY-Applikation eines Kunden, welche bisher Zeiterfassung, Auftragsverwaltung sowie Mitarbeiterkommunikation beinhaltet, wird insgesamt von mehreren tausend Mitarbeiter genutzt und mit persönlichen Logins geschützt.
Die Applikation soll nun ebenfalls sensitive Mitarbeiterdokumente verwalten, welche besonders geschützt werden müssen. Um die Sicherheit zu gewährleisten sol nun das Login um 2FA erweitert werden.
Zwei Faktor Authentifizierung
Die Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, die zwei Formen der Verifizierung für den Zugriff auf ein Konto erfordert. Der erste Faktor ist in der Regel ein Passwort oder eine PIN, und der zweite Faktor ist in der Regel ein physisches Gerät wie ein Smartphone, ein Token oder ein USB-Stick. Das physische Gerät generiert einen eindeutigen Code, der nur für einen kurzen Zeitraum gültig ist und zusammen mit dem Passwort oder der PIN eingegeben werden muss, um Zugang zu erhalten.
2FA ist ein leistungsfähiges Instrument zum Schutz vor unbefugtem Zugriff, denn selbst wenn es einem Hacker gelingt, Ihr Passwort zu stehlen, benötigt er immer noch Zugriff auf das physische Gerät, um Zugang zu Ihrem Konto zu erhalten. Die klassische 2FA Variante funktioniert mit Time-Base One-Time Password (TOTP) oder SMS. Für TOTP werden üblicherweise Apps wie z.B Google/Microsoft Authenticator verwendet, um zeitgesteuerte Codes abzufragen.
Die Benutzung von TOTP ist eine einfache und effektive Methode, um 2FA umzusetzen. Es fallen keine Kosten an im Vergleich zu SMS Codes und die Anwendung ist den meisten Benutzern vertraut. Ein grosser Nachteil ist jedoch die Benutzerführung im Login-Prozess. Denn bei der Aufforderung zur Code Eingabe, muss der Mobilbenutzer die App mit dem Login in den Hintergrund befördern und zur Authenticator App wechseln, sich den Code merken oder kopieren und wieder zurück in die Ursprungsapplikation wechseln. Was für geübte Benutzer kein Problem darstellt, ist für viele Anwender ein aufreibender Ablauf mit Einsatz von fortgeschrittener Fingerakrobatik.