Digitale Identität „zum Frühstück“ beim Digital Breakfast
Sichere, digitale und persönliche Identität, das war der Titel bei unserem online Frühstück. Bei uns drehte sich heute morgen alles um die Identität, warum Passwörter als Schutz nicht mehr ausreichen und welche modernen, sicheren passwortlosen Verfahren an Akzeptanz gewinnen.
In diesem Beitrag möchten wir nochmal die spannenden Fragen und Antworten aus unserer Diskussionsrunde mit euch teilen.
Frage 1: Passwörter werden gehasht abgelegt. Auch wenn Kriminelle Zugang zu meinen Passwörtern erhalten, können sie geändert werden, biometrische Verfahren nicht. Wie werden biometrische Verfahren sicher gemacht?
Passwörter sind mittlerweile mit wenig Aufwand, verschiedenen Attacken zu erraten und zu missbrauchen. Biometrische Verfahren sind hingegen deutlich komplexer.
Bei dem Fingerprint, der FaceID des Smartphones, Windows Hello oder anderen biometrischen Verfahren des Endgerätes sind und bleiben die biometrischen Authentifizierungsverfahren auf dem Endgerät. Im Prinzip fragt cidaas hierbei nach einem Authentifizierungsevent, sodass das Endgerät mit der Abfrage eins hinterlegten, biometrischen Verfahrens einblendet. Nachdem der Nutzer erfolgreich seine Identität bestätigt, teilt das Endgerät cidaas mit, dass die Authentifizierung stattgefunden hatte und der Nutzer authentifiziert ist.
Frage 2: Wie sicher sind Device Biometrics vor Cyberkriminalität?
Passwörter, die im Browser eingegeben werden, können durch verschiedene Attacken, wie Phishing, Credential Stuffing etc. erraten werden. Daneben sind sie deutlich anfälliger für Virenangriffe.
Die Endgeräte selbst schützen diese sensiblen, biometrischen Verfahren ebenfalls nochmal durch technisch getrennte, sichere Bereiche im Device selbst. Damit sind diese Verfahren, insbesondere im Vergleich zu Attacken zur Erlangung von Passwörtern, sicherer.
Frage 3: Wie ist die Akzeptanz von biometrischen Verfahren?
Viele unserer Kunden bieten Ihren Nutzern bereits passwortlose Verfahren an, unter anderem auch biometrische Verfahren. Insgesamt sehen wir eine steigende Akzeptanz der passwortlosen Verfahren, ob One-Time-Passwörter oder Device Biometrics.
Ein beeinflussender Faktor bei der Entscheidung für ein Authentifizierungsverfahren sind demografische Merkmale, vor allem das Alter.
Wir schätzen, dass in etwa 10% der Nutzer bereits gelegentlich passwortlose Verfahren einsetzen und diese Zahl ist steigend. Treibend hierfür ist der Komfort auf den unterschiedlichen Endgeräten, nämlich Smartphone, aber zukünftig auch Smarthome Devices.
Frage 4: Wie sieht das ganze aus Nutzerperspektive aus? Kann ich meine eigene Identität mitbringen und mein präferiertes Verfahren einsetzen?
Beim Verwalten der eigenen Identität treten wir ein weiterer Bereich ein, die Self Sovereign Identity. Dabei geht es darum, seine eigene Identität mitzubringen. Die gängigen Identity Provider hierbei sind Facebook, Twitter, Office365 oder andere Social Login Provider. Zunehmend bilden sich auch andere Identity Provider.
Bei Self Souvereign Identity wird die Authentifizierung durchgeführt. Was auf allen digitalen Kanälen kritisch ist, ist das Berechtigungsmanagement, d.h. worauf hat der Nutzer Zugriff, was ist er berechtigt zu sehen. Hierfür benötigt man cidaas, das Login Provider im pluggable Ansatz reibungslos hinzufügen kann.
Frage 5: Verliert man bei der Registrierung mit Social Login nicht die Sicherheit von biometrischen Verfahren?
Wenn ein Social Login erfolgt, ist es dennoch möglich, dass der registrierten Nutzer sich noch ein anderes Verfahren z.B. TouchID einrichten kann. Aus Sicht von cidaas werden dann sowohl Social Login als auch das neueingerichtete Authentifizierungsverfahren TouchID akzeptiert.
Frage 6: Inwieweit haben Social Login Provider dann Zugriff auf die Nutzerdaten?
Pauschal kann man das nicht für alle Anbieter sagen. In den meisten Fällen werden die Anbieter mindestens nachvollziehen, wann ein Nutzer eine Authentifizierung auf einer Plattform durchgeführt hat.
Frage 7: Wie bringe ich Customer Experience in Zusammenhang mit Sicherheit?
Prinzipiell kann man sagen, dass je umkomfortabler Verfahren sind, desto leichtsinniger gehen Nutzer mit diesen um. Passwörter mit ihren Passwortregeln können sich Nutzer verständlicherweise nicht mehr merken, daher tendieren viele zu leicht zu merkenden und wiederverwendeten Passwörtern.
Customer Experience steht bei cidaas für Komfort bei der Authentifizierung, aber auch Komfort bei der Registrierung z.B. indem bei B2B Kunden, keine E-Mail mehr mit Namen gesendet werden muss, um weitere Teammitglieder onzuboarden. Stattdessen verwaltet der Manager mit der Gruppenfunktionalität von cidaas, als delegierter Admin selbst seine Mitarbeiter und deren Berechtigungen. Auch können Verfahren, die der Kunde bei sich intern einsetzt, direkt im Portal integriert und für ihn freigeschalten werden, wie Office365.
Unsererseits besteht auf jeden Fall Wiederholungsbedarf! Schreibt uns gerne an.
Den ganzen Vortrag findet ihr auch in Youtube.