Verhaltensbiometrie - Eine diskrete Sicherheitsebene für mobile Apps

Giovanni Verhaeghe, 27. Februar 2018

Mobile Banking-Apps und die Geräte, auf denen sie ausgeführt werden, sind zunehmend dem Risiko ausgesetzt, von Cyberkriminellen kompromittiert zu werden. Neue, ausgefeilte Angriffsmethoden haben das klassische Benutzername-Passwort-Schema völlig überholt. Selbst die sicherere, aber immer noch grundlegende Zwei-Faktor-Authentifizierung scheint unzureichend zu sein, da Hacker Möglichkeiten gefunden haben, Benutzer dazu zu verleiten, Passwörter in gefälschte Benutzeroberflächen einzugeben.

Die größte Herausforderung bestand immer darin, ein Sicherheitsschema zu entwickeln, das dynamisch genug ist, um Hacker zu vereiteln - ohne die Benutzerfreundlichkeit zu beeinträchtigen. Aus Anwendersicht ist das ständige Hinzufügen neuer Anmeldeinformationen wie sicherer Kennwörter und eindeutiger Benutzernamen problematisch und kann ein Grund sein, zu einem anderen Dienstanbieter zu wechseln. Es führt auch zu Abkürzungen im Verhalten, z. B. indem dasselbe Kennwort für mehrere Plattformen verwendet wird oder einfache Kennwörter verwendet werden, die leicht abzurufen sind. Dies untergräbt an sich die Sicherheit, da es Kriminellen leichter fällt, Schwachstellen zu finden, die sie ausnutzen können. Mobile Geräte sind besonders anfällig, da Benutzer weniger auf Sicherheit achten als auf Desktops oder Laptops.

L. ayers errichtet, Schichten kollabieren

Wie auf FinancialIT.net erwähnt, werden neu hinzugefügte Sicherheitsebenen auch durch fehlerhafte Implementierungen oder die inhärenten Schwächen mobiler Geräte und ihrer Betriebssysteme gefährdet. Cyberkriminelle arbeiten ständig daran, neue Wege zu finden, um diese Sicherheitslücken auszunutzen. Jeder erfolgreiche Hack bedeutet, dass Entwickler entweder vorhandene Sicherheitsebenen verbessern oder eine neue Ebene hinzufügen müssen, die zur Gesamtkomplexität beiträgt. Technologie ist jedoch nicht das einzige Element, auf das Cyberkriminelle abzielen. Sie versuchen, das mangelnde Wissen der Benutzer auszunutzen. Stellen Sie sich einfach Malware vor, bei der dem Benutzer ein gefälschter Anmeldebildschirm angezeigt wird. Der Kunde gibt seine Anmeldeinformationen und den per SMS gesendeten Authentifizierungscode ein, während die Malware beispielsweise die Zielkontonummer heimlich ändert.

Aus diesen Gründen haben Finanzinstitute ihren Apps zu Recht mehr diskrete Sicherheit verliehen - Sicherheit, die die Benutzerfreundlichkeit nicht beeinträchtigt. Durch die Berücksichtigung von Zeit und Ort, an dem sich Benutzer bei ihren Mobile-Banking-Apps anmelden, können Banken potenziell verdächtige Anmeldeversuche schnell erkennen. Wenn jemand mitten in der Nacht aus der halben Welt versucht, eine große Transaktion durchzuführen, stimmt normalerweise etwas nicht. Das Blockieren der Transaktion bis zu einer zusätzlichen Überprüfung ist die beste Vorgehensweise. Finanzinstitute können dem Mix jedoch neben Zeit und Ort weitere Verhaltenselemente hinzufügen. Beispiele hierfür sind Fingerdruck beim Tippen oder Wischen auf den Touchscreen des Smartphones oder Tippgeschwindigkeit. Wenn etwas nicht stimmt, wurde möglicherweise ein Gerät gestohlen oder der Benutzer verwendet unwissentlich ein von Cyberkriminellen eingerichtetes Overlay anstelle der eigentlichen Banking-App.

Verhaltensbasierte Biometrie: Mehr Sicherheit, bessere Kundenerfahrung
WEISSES PAPIER

Verhaltensbasierte Biometrie: Mehr Sicherheit, bessere Kundenerfahrung

Entdecken Sie die Herausforderungen bei der Authentifizierung eines mobilen Kunden, wie Verhaltensbiometrie (auch bekannt als Behaviometrics) funktioniert, wie Sie einen risikobasierten Ansatz für die Online-Sicherheit etablieren,…

Jetzt herunterladen

Verhalten als zusätzlicher Faktor

Diese Art der Sicherheit ist bekannt geworden als Verhaltensbiometrie und kann als zusätzliche Ebene zu Sicherheitslösungen hinzugefügt werden. Durch die Erfassung der Art und Weise, wie der Benutzer das Gerät normalerweise über einen bestimmten Zeitraum verwendet, können verhaltensbiometrische Algorithmen eine Art „Fingerabdruck“ definieren. Wenn die Aktionen des Benutzers mit diesem Fingerabdruck übereinstimmen, besteht eine höhere Wahrscheinlichkeit, dass sie legitim sind, und es besteht keine Notwendigkeit, die Benutzererfahrung zu stören und möglicherweise zu beeinträchtigen. Eine plötzliche Verhaltensänderung kann jedoch auf etwas Verdächtiges hinweisen. Die Bank kann dann eingreifen und eine zusätzliche Überprüfung anfordern.

Wie auf FinancialIT.net erwähnt, verlagert sich die Sicherheitslast vom Benutzer weg, da die Verhaltensbiometrie eine diskrete Methode zur Überprüfung von Transaktionen darstellt. Benutzer bemerken die Ebene normalerweise nicht, da sie keine zusätzlichen Aktionen von ihnen verlangt. Dies bedeutet wiederum, dass der Zeitaufwand für die Authentifizierung eines Benutzers minimiert wird, sodass der Benutzer mehr Zeit mit der eigentlichen Anwendung verbringt. Währenddessen ist die Sitzung auf dem Niveau gesichert, das Benutzer erwarten würden.

Die Verhaltensbiometrie reduziert Betrug und minimiert das Auftreten von Fehlalarmen. Außerdem greift es nicht annähernd in die Privatsphäre der Benutzer ein, wie dies bei herkömmlichen biometrischen Daten wie Datenbanken mit Fingerabdrücken, Iris-Scans oder Sprachabdrücken der Fall ist. Das Verhaltensmuster eines Benutzers wird als mathematische Gleichung gespeichert, die für Kriminelle, die nach persönlichen Daten suchen, unbrauchbar ist.

Die Verhaltensbiometrie bietet Sicherheit von Transaktion zu Transaktion. Es sichert nicht nur eine Allee. Dies macht es für Kriminelle sehr schwer zu überwinden, da es keine einzige Schwäche gibt, die ausgenutzt werden kann. Gleichzeitig wird der Benutzer nicht mit den Unannehmlichkeiten belastet, die zusätzliche Sicherheitsebenen normalerweise mit sich bringen.

Weitere Informationen zur Biometrie finden Sie unter:

Verhaltensbasierte Biometrie: Mehr Sicherheit, bessere Kundenerfahrung

Der folgende Artikel, verfasst von Giovanni Verhaeghe, Director Market and Product Strategy, VASCO, erschien erstmals am 04.02.2008 in der Finanzieller IT.net-Blog .

Giovanni Verhaeghe ist Vice President Corporate Development und Hardware Operations bei OneSpan. Er trat im Jahr 2000 in das Unternehmen ein und trug maßgeblich zum signifikanten Wachstum des Unternehmens bei. Giovanni war OneSpans Director of Product and Product Management und in jüngerer Zeit