Starke Authentifizierung

Was ist starke Authentifizierung?

Die starke Authentifizierung verwendet die Multi-Faktor-Authentifizierung (MFA), um die Identität eines Kunden bei der Anmeldung und Transaktionsautorisierung zu authentifizieren. Es verwendet auch die risikobasierte Authentifizierung (RBA), um Betrug zu verhindern, indem es die Risikostufe für jede Online- oder Mobile-Banking-Transaktion bestimmt und festlegt, welche Stufe der Authentifizierung für jede Transaktion erforderlich ist.

Wie funktioniert die starke Authentifizierung?

Erstens: Die Multi-Faktor-Authentifizierung (MFA) verwendet drei gemeinsame Faktoren:

  • Etwas, das Sie wissen: Die gängigste Authentifizierung ist "etwas, das Sie wissen". Das kann ein Passwort oder eine einfache persönliche Identifikationsnummer (PIN) sein. Allerdings ist es auch am einfachsten für Betrüger zu schlagen.
  • Etwas, das Sie haben: Der Faktor "etwas, das Sie haben" bezieht sich auf Gegenstände wie ein mobiles Gerät oder Hardware-Authentifikator-Tokens, die einen einmaligen Passcode (OTP) erzeugen. Die Hardware-Authentifizierung bietet eine Zwei-Faktoren-Authentifizierung (2FA). Handy-basierte Optionen, wie eine Push-Benachrichtigung und ein One-Time-Passcode (OTP), bieten ebenfalls 2FA.
  • Etwas, das Sie sind: Biometrie ist der "Etwas, das Sie sind"-Faktor und kann Fingerabdrücke oder Gesichtsscans sein und ist Teil der Verlagerung zu passwortlosen Logins, insbesondere im Mobile Banking. Es gibt auch eine Reihe von Laptops mit Fingerabdrucksensoren, die auch auf USB-Sticks verfügbar sind.

Um eine Multi-Faktor-Authentifizierung zu erreichen, müssen mindestens zwei verschiedene Technologien aus mindestens zwei verschiedenen Technologiegruppen für den Authentifizierungsprozess verwendet werden. Ein Kunde, der eine PIN mit Gesichtserkennung als zweiten Faktor verwendet, würde MFA nutzen. Ein Kunde, der eine PIN in Verbindung mit einem Passwort verwendet, würde jedoch eine Zwei-Faktor-Authentifizierung (2FA) und keine Multi-Faktor-Authentifizierung verwenden.

Unter Zeitdruck stehende Kunden wünschen sich zunehmend eine reibungslose Authentifizierung. Mit anderen Worten: Sie wollen verifiziert werden, ohne dass die Verifizierung tatsächlich durchgeführt werden muss. Die Implementierung von MFA hilft, Betrug zu verhindern, da Passwörter und Benutzernamen als schwache Sicherheit gelten. Passwörter und Benutzernamen sind leicht zu stehlen und auszunutzen, und sie stehen im Dark Web zum Verkauf und warten darauf, von Kriminellen gekauft zu werden.

Zweitens ist die risikobasierte Authentifizierung (RBA) Teil der starken Authentifizierung:

Dierisikobasierte Authentifizierung hilft durch den Einsatz von maschinellem Lernen und einer Risiko-Engine, Kontoübernahmen und andere Betrugsangriffe zu verhindern. RBA analysiert Tausende von Datenpunkten, wie z. B. das Gerät des Kunden, die IP-Adresse, den Standort, das Netzwerk, die Tageszeit und die Transaktion selbst, um in Echtzeit eine Risikobewertung zu erstellen. Abhängig von der Risikobewertung kann die risikobasierte Authentifizierung bei Bedarf eine sofortige Authentifizierungsanfrage auslösen. Eine Risikobewertung kann auch die Historie der Sicherheitsvorfälle des Benutzers, die Anzahl der Anmeldungen und die Sensibilität der Daten, auf die zugegriffen wird, berücksichtigen. Der Grund dafür, dass eine Risikobewertung auf einer Kombination vieler kontextbezogener und anderer Datenpunkte basiert, liegt darin, dass ein Datenpunkt allein von einem Angreifer überlistet werden kann und wird. Die risikobasierte Authentifizierung wird auch als adaptive Authentifizierung oder Step-up-Authentifizierung bezeichnet und nutzt bei Bedarf die Multi-Faktor-Authentifizierung.

Hier ein Beispiel für eine risikobasierte Authentifizierung, bei der festgestellt wird, dass eine Transaktion ein geringes Risiko darstellt: Ein legitimer Kunde meldet sich mit einem bekannten Gerät, das bei der Bank registriert ist und denselben Browser verwendet, den er normalerweise verwendet, bei seinem Bankportal an. Der Kunde prüft seinen Kontostand oder tätigt eine kleine Zahlung. In diesem Fall stellt das System fest, dass das Betrugsrisiko so gering ist, dass der Kunde sich nicht erneut authentifizieren muss, nachdem er sich angemeldet hat.

Wenn das Verhalten des Kunden jedoch von seiner normalen Aktivität abweicht, fügt das risikobasierte System weitere Authentifizierungsmechanismen hinzu, was zu höheren Sicherheitshürden für riskantere Transaktionen wie eine Banküberweisung führt. In diesem Fall würde der Kunde aufgefordert werden, sich in der einen oder anderen Form zu authentifizieren, z. B. mit einem Fingerabdruck in Verbindung mit einem einmaligen Passcode, was eine Mehrfaktor-Authentifizierung wäre. Wenn sie erfolgreich sind, würden sie ihr Geschäft weiterführen. Wenn nicht, würde die Transaktion abgebrochen.

Wie bereits erwähnt, bieten statische Passwörter und Benutzernamen angesichts der sich ständig weiterentwickelnden Bedrohungslandschaft und regelmäßiger Datenschutzverletzungen nicht mehr genügend Sicherheit. Die risikobasierte Authentifizierung mit Hilfe der Multi-Faktor-Authentifizierung ermöglicht es Finanzinstituten, Authentifizierungselemente wie mobile Apps und Hardware-Token zu unterstützen, über die Sie selbst verfügen. Es unterstützt auch biometrische Daten wie Fingerabdrücke und Gesichtsscans, die etwas sind, das Sie sind, und unterstützt das Element "Etwas, das Sie wissen" wie eine PIN.

Verschiedene Arten von Multi-Faktor-Authentifizierungstechnologien

  • Hardware-Token: Kleine, einfach zu bedienende Hardware-Geräte, wie z. B. Schlüsselanhänger oder Smartcards, die ein Besitzer bei sich trägt, um den Zugriff auf einen Netzwerkdienst zu autorisieren. Sie unterstützen eine starke Authentifizierung mit Einmal-Passwörtern (OTPs). Hardware-Token liefern den Besitzfaktor für die Multi-Faktor-Authentifizierung. Sie sind physisch schwer zu knacken und zu manipulieren, helfen beim Datenschutz, da keine Kundendaten gespeichert werden, und sind weniger anfällig für Angriffe.
  • Soft-Token: Software- oder App-basierte Token generieren eine einmalig zu verwendende Anmelde-PIN. Diese Token werden oft für die Multi-Faktor-Authentifizierung verwendet, bei der das Smartphone den Faktor "Besitz" liefert, also etwas, das man hat. Soft-Tokens machen das Merken von Passwörtern überflüssig, können mit technologischen Innovationen Schritt halten und verkürzen die Einführungszeit für den Endbenutzer von Tagen auf Minuten.
  • Push-Benachrichtigungen: Push-Benachrichtigungen liefern den Authentifizierungscode oder das Einmalpasswort über eine Push-Benachrichtigung auf dem mobilen Gerät der Person. Anstelle einer SMS-Nachricht erscheint die Push-Benachrichtigung auf dem Sperrbildschirm des Geräts der Person.
  • Visuelles Kryptogramm: Ein visuelles Kryptogramm wie Cronto® ist eine Mehrfaktor-Authentifizierungslösung, die eine eindeutige visuelle Herausforderung verwendet, die in einem grafischen Kryptogramm enthalten ist, das aus einer Matrix aus farbigen Punkten besteht. Der Kunde scannt mit der Kamera seines Mobilgeräts das Kryptogramm und entschlüsselt die darin enthaltenen Transaktionsdaten.
  • Mobile Authentifizierung: Die mobile Authentifizierung bietet eine Möglichkeit, einen Kunden über sein Telefon zu verifizieren oder das Gerät selbst zu verifizieren. So kann sich der Kunde an sicheren Standorten anmelden und von überall aus mit erhöhter Sicherheit auf Ressourcen zugreifen.
  • Biometrische Authentifizierung: Die biometrische Authentifizierung umfasst die Verwendung eines Fingerabdruck-Scans oder einer Gesichtserkennung im Authentifizierungsprozess, um Kunden in der Regel auf ihren mobilen Geräten genau und sicher zu authentifizieren, sowie die verhaltensbasierte Authentifizierung, die hinter den Kulissen Sicherheit bietet, die sie kontinuierlich durch die einzigartige Art und Weise authentifiziert, wie sie mit ihren Geräten interagieren. Dazu gehören die Kadenz ihrer Tastenanschläge, ihre Wischmuster und mehr.

Wie starke Authentifizierung hilft, Betrug zu verhindern

Starke Authentifizierungsmethoden können dazu beitragen, Betrugsangriffe aufgrund von Multi-Faktor-Authentifizierung und risikobasierter Authentifizierung zu verringern.

Die Multi-Faktor-Authentifizierung erschwert es Betrügern, sich in ein Kundenkonto einzuloggen, da es drei Authentifizierungsfaktoren zur Validierung gibt: etwas, das Sie wissen, etwas, das Sie haben und etwas, das Sie sind. MFA bietet zusätzliche Sicherheit, wenn das Gerät des Kunden beispielsweise nicht erkannt wird oder wenn der Kunde versucht, eine Transaktion von einem ungewöhnlichen Ort aus durchzuführen. Außerdem hilft es, einige der häufigsten Cyberangriffe zu verhindern, darunter Phishing, Credential Stuffing, Man-in-the-Middle-Angriffe und Keylogger. Ein Phishing-Angriff kann dazu führen, dass die Anmeldedaten einer Person gestohlen werden, aber der Hacker erhält z. B. keinen Fingerabdruck. Die Verwendung von Multi-Faktor-Authentifizierung stoppt nicht alle Arten von Angriffen, aber sie fügt zusätzliche Schichten starker Authentifizierung hinzu, die Cyberangriffe erschweren können. Wenn ein Faktor kompromittiert oder gebrochen wird, muss der Angreifer immer noch mindestens eine weitere Barriere überwinden, bevor er Zugriff auf das Konto eines Kunden erhält.

Die risikobasierte Authentifizierung hilft auch bei der Betrugsprävention, denn das Betrugspräventionssystem trifft in Echtzeit Entscheidungen über die genaue Sicherheitsstufe der Authentifizierung, die für jede Kundentransaktion erforderlich ist, um unbefugten Zugriff zu verhindern. Für einen Betrüger ist es schwierig, sich als legitimer Kunde auszugeben, da RBA auf der kontextbezogenen Sicht auf das Verhalten der Person, Transaktionsdaten und Gerätedaten basiert.

Mit der Zeit wird der Risiko-Score zu einem zuverlässigeren Indikator für die Kompromittierung von Konten und aufkommende Betrugsmuster. Als Werkzeug zur Risikobewertung trifft RBA auch sofortige Entscheidungen darüber, welche Authentifizierungsmethoden in welchen Kombinationen eingesetzt werden sollen, um Betrug zu verhindern. Hier ein Beispiel für risikobasierte Authentifizierung in Aktion: Wenn jemand versucht, 90 % der auf einem Bankkonto verfügbaren Gelder mit einem unbekannten und nicht bei der Bank registrierten Gerät und zu einer Tageszeit zu überweisen, die nicht mit den historischen Mustern des Kunden übereinstimmt, würde er aufgefordert werden, seine Identität mit einer starken Authentifizierung weiter zu verifizieren, z. B. mit einem einmaligen Passcode in Verbindung mit einem Fingerabdruckscan oder einer biometrischen Gesichtserkennung. Darüber hinaus kann der Einsatz von RBA riskante Anmeldeversuche identifizieren und gegebenenfalls den Zugriff oder Transaktionen ganz verweigern.

Die starke Authentifizierung führt Finanzinstitute weg von der Abhängigkeit von Passwörtern, die leicht zu hacken sind und eine Hauptursache für Sicherheitsverletzungen und Kontobetrug darstellen. Ein Teil des Problems mit Passwörtern ist, dass die modernen Betrugsmethoden so ausgeklügelt sind, dass ein Passwort praktisch keine Chance hat, sie zu verhindern.

Vorteile der starken Authentifizierung?

Die starke Authentifizierung bietet mehr Sicherheit als die veraltete Benutzerauthentifizierung mit nur einem Benutzernamen und Passwort. Wenn Banken neue Online-Dienste und neue Möglichkeiten zur Bedienung ihrer zunehmend mobilen Kunden hinzufügen, kann eine starke Authentifizierung dabei helfen, mit den Sicherheitsherausforderungen Schritt zu halten und den Kunden ein möglichst unaufdringliches Erlebnis zu bieten.

Es ist auch eine gewinnbringende Bedingung, die dazu beitragen kann, Loyalität zu schaffen und letztendlich zu Wachstum zu führen, weil es eine reibungslose und sichere Erfahrung für Kunden ist. Kunden haben wenig Geduld für zu viele Authentifizierungsebenen und sie wollen einfach nicht viel Zeit für den Zugriff auf ihre Konten aufwenden. Als Teil der digitalen Transformation einer Bank beseitigt die starke Authentifizierung auch unnötige Schritte der Identitätsüberprüfung. Es wendet die genaue Menge an Sicherheit zum richtigen Zeitpunkt für jede Transaktion an, basierend auf dem Risikoniveau, und bietet eine reibungslose Erfahrung, wenn zusätzliche Sicherheit erforderlich ist. Die Kundenerfahrung wirkt sich direkt auf die Kundenbindung aus. Studien haben gezeigt, dass Kunden, die jederzeit und überall problemlos mit ihrem Finanzinstitut interagieren können, mit geringerer Wahrscheinlichkeit zu einem anderen Finanzinstitut wechseln. Wie bereits erwähnt, hilft eine starke Authentifizierung auch Finanzinstituten, Betrugsverluste zu reduzieren.

Compliance

Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist eine neue Anforderung der überarbeiteten Zahlungsdiensterichtlinie (PSD2), die zusätzliche Sicherheitsebenen für elektronische Zahlungen vorsieht. Zum Beispiel ist MFA notwendig, um die Anforderung der starken Authentifizierung zu erfüllen. PSD2 schreibt auch den Einsatz von Transaktionsrisikoanalysen vor, um betrügerische Zahlungen zu verhindern.

Was Analysten sagen

Das Marktforschungsunternehmen Forrester stellt fest, dass die risikobasierte Authentifizierung, die Teil der starken Authentifizierung ist, für Finanzinstitute relevanter denn je ist, da Online- und mobile Transaktionen immer beliebter werden. Forrester sagt, dass die Fähigkeit, Unannehmlichkeiten und Ärger für Kunden zu reduzieren, ohne die Sicherheit zu opfern, ein Wettbewerbsunterscheidungsmerkmal ist. Das Marktforschungsunternehmen sagt auch, dass ein Anti-Betrugssystem in der Lage sein muss, so viele Benutzer-, Geräte- und Transaktionsdaten wie möglich über alle digitalen Kanäle hinweg zu analysieren, um einen möglichst genauen Risiko-Score zu generieren.

Nehmen Sie Kontakt mit uns auf

Setzen Sie sich mit einem unserer Sicherheitsexperten in Verbindung, um mehr darüber zu erfahren, wie unsere Lösungen Ihnen bei Ihren digitalen Sicherheitsanforderungen helfen können