Skip to main content

Drei gute Alternativen zur Zwei-Faktor-Authentifizierung per SMS

Nach einer Serie von Hacking-Vorfällen hat sich Twitter letzte Woche mit Leuten wie Google und Facebook zusammengetan und eine Zwei-Faktor-Authentifizierung eingeführt. Benutzer, die sich für die Verwendung des neuen Sicherheitstools entscheiden, müssen jetzt bei jeder Anmeldung beim Microblogging-Dienst einen Code eingeben, der sie per SMS an ihre Mobiltelefone sendet.

Die Entscheidung von Twitter, Kontoinhaber mit Zwei-Faktor-Authentifizierung auszustatten, ist gut Nachrichten - insbesondere angesichts der Kette von Nachrichtenorganisationen und großen Marken wie Jeep und Burger King, die in den letzten Monaten gehackt wurden - einige Experten warnen, dass es nicht genug sein wird, um die Entführung von hochkarätigen Konten zu verhindern.

Für eine Sache, die neue Sicherheitsoption wird wahrscheinlich Organisationen nicht helfen, die viele Mitarbeiter auf einem einzigen Twitter-Konto veröffentlichen. Offensichtlich benutzen sie nicht alle dasselbe Mobiltelefon. Es schützt Benutzer auch nicht vor Man-in-the-Middle-Angriffen, durch die ein Benutzer auf eine gefälschte Twitter-Anmeldeseite gelockt wird, gibt seine Anmeldeinformationen und das sechsstellige Zwei-Faktor-Authentifizierungskennwort ein und gibt dadurch einen Fehler Guy-Eintrag zum Account.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Bei Marken kann ein gehackter Twitter-Account verheerend sein. Es ist nicht nur kostspielig, ein Konto zu schließen und es aus der Kontrolle eines Hackers herauszulösen, sondern es müssen auch Kundenbeziehungs- und Reputationsmanagement-Angelegenheiten berücksichtigt werden. Die Aktienkurse können sogar schlagen, wie im April, als der Bericht der Associated Press verletzt wurde und Hacker über Explosionen im Weißen Haus getwittert haben.

Die gute Nachricht ist, dass SMS-Codes, die an Mobiltelefone gesendet werden, bei weitem nicht der einzige Weg sind Sie können die Zwei-Faktor-Authentifizierung zum Schutz Ihrer Marke verwenden. Hier sind drei weitere gute Optionen zu beachten:

Hardwaretoken: Der YubiKey

Der YubiKey, hergestellt von einer schwedisch-amerikanischen Firma namens Yubico, ist ein kleines Stück Hardware, das wie ein USB-Stick aussieht, den Ihre Kunden oder Mitarbeiter an den USB-Port des Computers anschließen. Jedes Mal, wenn sich ein Benutzer auf Ihrer Website oder Ihrem System anmeldet, muss er eine Schaltfläche auf dem YubiKey drücken, um ein einmaliges Passwort zu generieren, mit dem bestätigt wird, dass es sich bei der Person um die Person handelt, von der sie sagt, dass sie sie ist. Yubico stellt auch eine Nahfeldkommunikations- (NFC-) Variante des Geräts namens YubiKey NEO her, die eine kontaktlose Kommunikation zur Sicherung von NFC-fähigen Mobilgeräten ermöglicht.

Scharen von hochkarätigen Unternehmen rüsten Mitarbeiter, Benutzer und Kunden mit YubiKeys aus, darunter Google, Microsoft, das US-Verteidigungsministerium und die türkische Regierung. Yubico arbeitet auch mit mehreren Single-Sign-On-Diensten zusammen, darunter OneLogin und Clavid, so dass der YubiKey über Dutzende von Diensten wie Adobe, Salesforce, LinkedIn und mehr funktioniert. Es funktioniert auch mit Passwort-Managern wie LastPass, PasswordSafe und Passpack. In der Tat sagt das Unternehmen, dass mehr als eine Million Benutzer in 120 Ländern das Hardware-Token verwenden.

"Ein Service-Provider, der YubiKey-Unterstützung hinzufügen möchte, könnte OATH [den offenen Authentifizierungsstandard], unsere kostenlose Open Source, verwenden Serverkomponenten oder unseren Hosted Service, die YubiCloud ", sagt Yubico CEO Stina Ehrensvard. "Mit einer einfachen Web-API dauert die Integration der YubiCloud, die mit einem im Yubico-Webshop erworbenen YubiKey out-of-the-box funktioniert, etwa 20 Minuten."

Ein Unternehmen mit bis zu 5.000 Benutzern, die Yubicos Hardware verwenden , Software und Services können pro YubiKey $ 13 pro Jahr kosten - das sind ungefähr $ 318.000 für fünf Jahre. Für kleinere Unternehmen sagt Ehrensvard, dass es möglich ist, ein Tablett mit 50 YubiKeys aus Yubicos Webshop zu kaufen. Dies ist eine einmalige Kosten von $ 750 und es funktioniert mit der kostenlosen Version von YubiCloud oder freie Open-Source-Software.

Ehrensvard sagte, dass ihre Firma mit Google und anderen IT-Giganten an einem neuen offenen Authentifizierungsstandard arbeitet: "Dies wird voraussichtlich im Jahr 2014 eingeführt werden, damit unser Premium-YubiKey, der YubiKey NEO, mit den Google-Diensten und eine Reihe anderer Cloud- und Finanzdienste. "

Standort eines Benutzers: Toopher

Die Toopher-Zwei-Faktor-Authentifizierungslösung kann mit nur wenigen Codezeilen auf der Website eines Unternehmens installiert werden und funktioniert über eine App auf dem Telefon eines Benutzers. Wenn sich die Person auf einer Site anmeldet, überprüft die Software ihre Identität, indem sie erkennt, welchen Computer sie verwendet und wo sich ihr Telefon befindet.

Toopher ist ein ambitioniertes Zwei-Faktor-Authentifizierungs-Tool.

Nach der Installation die Toopher-App, der Benutzer verbindet es mit Ihrem Web-Service. Wenn die Person das erste Mal versucht, sich von einem neuen Standort aus bei Ihrer Website anzumelden, muss sie die entsprechende Erlaubnis über die App erteilen. Nach dieser ersten Anmeldung von einem bestimmten Standort aus kann ein Benutzer Berechtigungen automatisch vergeben, sodass die App im Hintergrund ausgeführt wird und unsichtbar funktioniert. Auf diese Weise unterscheidet es sich von der SMS-basierten Zwei-Faktor-Authentifizierung von Twitter, Google und Facebook, bei der Benutzer bei jeder Anmeldung einen Code eingeben müssen.

Toopher-Chef Josh Alexander behauptet, dass Ärger bestehen bleiben wird Die Einführung der neuen Two-Factor Authentication-Option von Twitter: "Sie müssen Ihr Telefon jedes Mal aus der Tasche ziehen, wenn Sie etwas so Willkürliches wie das Anmelden machen wollen."

Toopher ist für Unternehmen mit 50 Jahren kostenlos Benutzer oder weniger. Während der Preis für interne Bereitstellungen bis zu 2,50 US-Dollar pro Benutzer und Monat betragen kann, kann er für Websites und Unternehmen mit Tausenden von Benutzern auf ein paar Cent pro Monat und Benutzer skaliert werden.

Eine intelligente Ergänzung zu Zwei-Faktor-Lösungen

Wile it isn Als Anbieter von Zwei-Faktor-Authentifizierungssystemen schützt das Impermium mit Sitz in Redwood City, Kalifornien, Websites und einzelne Benutzer vor Account-Hijacking mit proprietären statistischen und maschinellen Lernmodellen, um Bedrohungsdaten und risikobasierte Authentifizierung bereitzustellen.

Gestartet im Jahr 2010 von Mark Risher, der früher General Manager von Yahoo Mail war, hat das Unternehmen rund 500.000 Unternehmen als Kunden gewonnen, darunter CNN, Pinterest, Typepad und Tumblr.

Die Ziehung? Da Impermium überwacht, wie sich Menschen auf all diesen vielen Websites verhalten, einschließlich der Verwendung sozialer Medien, kann das Unternehmen feststellen, ob jemand, der versucht, sich auf einer Website anzumelden, ein Missbrauchsmuster oder ein Muster guten Verhaltens aufweist. Auf diese Weise kann vorhergesagt werden, ob ein Angriffsversuch wahrscheinlich ist. Im Grunde erkennt es Abweichungen des Nutzerverhaltens in all diesen Online-Territorien und betrachtet, welche Geräte die Benutzer verwenden, ihr Netzwerk und ihre physischen Standorte sowie die soziale Reputation derjenigen, die sich auf einer Site anmelden.

Imperiums Accountability-Service überwacht Aktivitäten auf den Social-Networking-Sites Ihres Unternehmens.

Impermium bietet zwei Produkte an: eins für geschäftliche Benutzer von Software als Service-Plattformen und ein anderes, das Firmen-Websites schützt.

Ersteres, genannt Accountability, ist ein neuer Dienst, der überwacht Twitter-, Salesforce-, Box-, Facebook- und Marketo-Konten und sendet E-Mail- oder Textnachrichtenbenachrichtigungen an Benutzer, wenn diese fischige Aktivitäten erkennt. Im Moment ist der Beta-Service kostenlos.

Impermiums zweites Produkt namens CloudSentry hilft Web-gehosteten Anwendungen, verdächtiges Verhalten zu erkennen.

"Es integriert sich in den Login-Fluss der Website und führt Analysen der Umstände durch Jemand versucht sich zu verbinden ", sagt Risher. "Wenn Sie sich also von [Ihrer gewohnten Stadt] aus von Ihrem normalen iPad aus einloggen, das Sie ständig verwenden, ist das ein Szenario mit geringem Risiko und wir würden es als solches identifizieren. Wenn sich jemand mit Ihren Zugangsdaten aus einem Cybercafé in Indonesien anmeldet, ist dies ein Szenario mit höherem Risiko. Daher würden wir eine höhere Risikoeinstufung geben und vorschlagen, dass [ein Kunde] das Konto möglicherweise aussetzt, ihm eingeschränkte Privilegien gewährt oder Fragen Sie nach einer sekundären Authentifizierung wie Toopher. "

Risher vergleicht das, was Impermium dem Alarmsystem bietet, das die Schlösser an der Haustür verstärkt, und stellt auf diese Weise eine wichtige Ergänzung zu Zwei-Faktor-Authentifizierungslösungen dar.

"YubiKey und Toopher ... sind beide sehr angesehene Produkte stärke die Haustür. Aber ein Standort und eine Anwendung brauchen Intelligenz, sie brauchen Echtzeit-Risikoanalysen, um feststellen zu können, ob jemand den Schlüssel hat, ob wir ihn einlassen oder nicht? "