Was ist Out-of-Band-Authentifizierung?
Die Out-of-Band-Authentifizierung ist eine Art der Zwei-Faktor-Authentifizierung (2FA), die eine zweite Verifizierungsmethode über einen separaten Kommunikationskanal erfordert. Es betrifft zwei verschiedene Kanäle: die Internetverbindung des Kunden und das drahtlose Netzwerk, in dem sein Mobiltelefon arbeitet. Die Möglichkeit, dass zwei Kanäle, das Internet und das Mobilfunknetz des Kunden, gleichzeitig von einem Angreifer kompromittiert werden, während der Kunde versucht, sich anzumelden oder eine Transaktion durchzuführen, ist im Vergleich zu einem Anmeldeversuch in einem Ein-Band-System deutlich geringer.
Die Out-of-Band (OOB)-Authentifizierung wird von Finanzinstituten und anderen Organisationen mit hohen Sicherheitsanforderungen verwendet, um unberechtigten Zugriff zu verhindern. OOB trägt zur Verbesserung der Cybersicherheit bei, da es das Hacken eines Kontos erschwert, da zwei separate und unverbundene Authentifizierungskanäle gleichzeitig kompromittiert werden müssten, damit ein Angreifer Zugriff erhält.
So funktioniert Out-of-Band-Authentifizierung
In einem Out-of-Band-Authentifizierungssystem (OOBA) ist der Kanal, der zur Authentifizierung eines Kunden verwendet wird, völlig getrennt von dem Kanal, den der Kunde zur Anmeldung oder Durchführung einer Transaktion verwendet. Bei der Out-of-Band-Authentifizierung handelt es sich um eine Art Zwei-Faktor-Authentifizierung (etwas, das Sie kennen, z. B. ein Passwort, und etwas, das Sie haben, nämlich Ihr mobiles Gerät) und nicht um eine Multi-Faktor-Authentifizierung (MFA). Ein Kunde, der beispielsweise eine Online-Banking-Transaktion auf seinem Desktop durchführen möchte, erhält ein Einmalpasswort (OTP) per SMS oder Push-Benachrichtigung auf sein mobiles Gerät, was zwei verschiedene Kanäle - das Internet und ein drahtloses Netzwerk - erfordert. Die Verwendung eines separaten Kanals verringert die Möglichkeit von Man-in-the-Middle- und anderen Angriffen aufgrund von Datenverletzungen.
Welche Out-of-Band-Authentifizierung wird an mobile Geräte gesendet?
Out-of-Band-Passcodes können auf verschiedene Weise an mobile Geräte übermittelt werden:
Beispiel für Out-of-Band-Authentifizierung 1: Push-Benachrichtigungen
Push-Benachrichtigungen liefern einen Authentifizierungscode oder einen OTP-Einmalpasscode über eine Benachrichtigung, die auf dem Sperrbildschirm des mobilen Geräts eines Kunden erscheint.
Beispiel für Out-of-Band-Authentifizierung 2: Cronto-Codes
Ein Cronto®- oder QR-ähnlicher Code kann eine finanzielle Transaktion authentifizieren oder autorisieren. Der Kunde sieht ein grafisches Kryptogramm, das einem QR-Code ähnelt und über einen Webbrowser angezeigt wird. Nur das registrierte Gerät des Kunden kann den Cronto-Code lesen, was ihn sehr sicher macht. Wenn Sie eine Transaktion durchführen wollen, geben Sie die Zahlungsdaten in der Online-Banking-Anwendung im Browser ein. Sie sehen dann den QR-ähnlichen Code und scannen ihn mit der Kamera Ihres Telefons. Ihr Gerät entschlüsselt sie, entschlüsselt die Zahlungsdaten und zeigt sie Ihnen auf Ihrem Handy im Klartext an. Es bietet Datenschutz und Datensicherheit. Außerdem erfüllt dieser Ansatz die Anforderungen an die dynamische Verknüpfung, die in den technischen Regulierungsstandards der überarbeiteten Zahlungsdiensterichtlinie der Europäischen Union (PSD2) festgelegt sind.
Beispiel 3 für Out-of-Band-Authentifizierung: Sprachauthentifizierung
Bei der Sprachauthentifizierung wird der Kunde angerufen, um ihm mitzuteilen, dass eine Anmeldeanfrage vorliegt, die genehmigt oder abgelehnt werden muss. Typischerweise kann der Kunde eine Taste oder einen Knopf drücken, um die Anfrage anzunehmen oder sie durch Auflegen abzulehnen.
Beispiel 4 für Out-of-Band-Authentifizierung: Biometrieleser an einem Laptop
Ein biometrisches Lesegerät auf einem Laptop kann als eine Möglichkeit der Out-of-Band-Authentifizierung betrachtet werden, sofern es einen separaten Kommunikationskanal implementiert, der von der Betriebsumgebung des primären Kommunikationskanals nicht zugänglich ist.
Wie Out-of-Band-Authentifizierung hilft, Betrug und Cyberattacken zu verhindern
Wenn eine risikoreiche Transaktion von der Risiko-Engine einer Bank markiert wird, liefert sie einen Score, der die Betrugsneigung auf Basis von Algorithmen widerspiegelt. Ein höherer Risiko-Score löst höhere Authentifizierungsschritte oder zusätzliche Sicherheitsanforderungen aus, wie z. B. eine Out-of-Band-Authentifizierung, um den Kunden zur erneuten Bestätigung der Transaktion aufzufordern (bei der es in der Regel um einen hohen Geldbetrag geht). Die Risiko-Engine und der zugehörige Score können eine Änderung im Authentifizierungs-Workflow auslösen, um ein OTP an das vertrauenswürdige Mobilgerät eines Kunden zur zusätzlichen Überprüfung zu senden.
Bei OOB ist das Besitzelement das Mobiltelefon, auf dem der Benutzer einen Authentifizierungscode erhält. Das Element Wissen oder Inhärenz wird eingegeben:
- Das Bankgerät für die Zwei-Geräte-Authentifizierung (Desktop und Mobile)
- Oder ein mobiles Gerät für die Zwei-App-Authentifizierung (zwei verschiedene Apps, die auf demselben mobilen Gerät laufen)
- Oder eine mobile App-Authentifizierung, bei der der Kunde ein einziges Gerät und eine einzige App verwendet, um Transaktionen zu initiieren und zu authentifizieren.
Out-of-Band-Authentifizierung vereitelt Man-in-the-Middle-Angriffe
OOB hilft Finanzinstituten auch bei der Reduzierung von Malware-Angriffen. OOB kann zum Beispiel helfen, Man-in-the-Middle-Angriffe zu verhindern, bei denen sich Betrüger zwischen Finanzinstitut und Benutzer stellen, um unbemerkt Kommunikation abzufangen, zu bearbeiten, zu senden und zu empfangen. Sie können zum Beispiel den Kommunikationskanal zwischen dem Gerät des Benutzers und dem Server der Bank übernehmen, indem sie ein bösartiges Wi-Fi-Netzwerk als öffentlichen Hotspot einrichten.
Selbst wenn sich der Kunde in seinem Mobilfunknetz befindet, würde ein solcher Angriff verhindert, da der Betrüger nur Zugriff auf einen der Kanäle hätte. Wie bereits erwähnt, macht die Out-of-Band-Authentifizierung Angriffe für Hacker oder Betrüger viel schwieriger, da sie in der Lage sein müssen, die Kontrolle über beide getrennten Kommunikationskanäle zu übernehmen. gleichzeitig, um den Benutzerauthentifizierungsprozess zu kompromittieren. Die Out-of-Band-Authentifizierung ist für Finanzinstitute ein wichtiges Instrument zur Betrugsbekämpfung.
Einhaltung gesetzlicher Vorschriften
Die Out-of-Band-Authentifizierung hilft Organisationen, die Anforderungen der zweiten Zahlungsdiensterichtlinie der Europäischen Union (PSD2) zu erfüllen, insbesondere Artikel 97, der von Zahlungsdienstleistern verlangt, einen Benutzer zu authentifizieren, wenn er:
- Zugriff auf ein Online-Zahlungskonto
- Eine elektronische Zahlungstransaktion einleiten
- Ausführen von Aktionen über einen Remote-Kanal, die das Risiko eines Zahlungsbetrugs beinhalten können
- Es erfüllt auch die GDPR-Konformität in Bezug auf Datenschutz und Privatsphäre
Die Out-of-Band-Authentifizierung erfüllt die Anforderungen des NIST, des National Institute of Standards and Technology. Im Jahr 2016 schlug das NIST vor, die SMS-Zwei-Faktor-Authentifizierung aufgrund von Schwachstellen als Out-of-Band-Faktor in Multi-Faktor-Authentifizierungsumgebungen zu "verwerfen". Aufgrund der Verwirrung über den Begriff "veraltet" und darüber, ob SMS-Zwei-Faktor-Authentifizierung erlaubt war oder nicht, änderte das NIST 2017 seine Richtlinien und legte fest, dass SMS in die Kategorie "eingeschränkt" fällt, in der Kunden und Organisationen ein Risiko bei der Verwendung von SMS 2FA eingehen würden. Ein Out-of-Band-Authentifizierungsansatz wie ein Push-basiertes OTP (Senden eines Codes an ein mobiles Gerät über eine App wie Google Authenticator), das kryptografisch signiert ist und nicht über den SMS-Kanal übermittelt wird, vermeidet jedoch die Schwachstellen der SMS-Nachricht.
Was Analysten über Out-of-Band-Authentifizierung sagen
Laut Allied Market Research sind der "Anstieg des Volumens von Online-Transaktionen, die kontinuierliche Zunahme fortschrittlicher und komplexer Bedrohungen einige der wichtigsten Faktoren, die das Wachstum des Out-of-Band-Authentifizierungsmarktes vorangetrieben haben. Allerdings hemmen die Risiken der OOB-Authentifizierung mit SMS und die hohe Produktkostenassoziation das Marktwachstum. Umgekehrt wird erwartet, dass die zunehmende Akzeptanz durch kleine und mittlere Unternehmen zahlreiche Chancen für diesen Markt bietet." Der globale Markt für Out-of-Band-Authentifizierung wurde 2016 auf 274 Millionen US-Dollar geschätzt und wird voraussichtlich 1,1 Milliarden US-Dollar im Jahr 2023 erreichen, wobei er von 2017 bis 2023 mit einer CAGR-Rate von 22,8 % wächst.
Research and Markets stellt fest, dass "OOB ein leistungsfähiges Werkzeug ist, um Betrug zu verhindern, da die OOB-Authentifizierungssoftware mit einem gesicherten Kommunikationskanal arbeitet. Bei risikoreichen Transaktionen nutzen Unternehmen diese Technologie, um die Identität eines Benutzers zu überprüfen und zu authentifizieren. Die Analysten prognostizieren für den globalen Markt für OOB-Authentifizierungssoftware für den Zeitraum 2016-2020 ein Wachstum von 23,57 % (CAGR).