Out-of-Band-Authentifizierung
Die Out-of-Band-Authentifizierung erhöht die Sicherheit, indem ein separater Kommunikationskanal oder ein "Band" für die Authentifizierung gegenüber dem primären Kanal oder dem verwendeten Gerät verwendet wird. Dies steht im Gegensatz zur "In-Band-Authentifizierung", bei der die Anmeldedaten über denselben In-Band-Kanal gesendet werden und ein separater, unabhängiger "Out-of-Band"-Kanal für einen zusätzlichen Authentifizierungsschritt verwendet wird.
Einfacher ausgedrückt bedeutet Out-of-Band, dass die Authentifizierung unabhängig vom Gerät erfolgt - selbst wenn ein Gerät kompromittiert wird, ist die Authentifizierung nicht betroffen.
Die gesichtsbiometrische Lösung von iProov nutzt eine echte Out-of-Band-Authentifizierung. Der Authentifizierungsprozess findet in der Cloud statt und nicht auf dem Gerät des Nutzers selbst. Dadurch wird die Authentifizierungsebene von der Geräteebene getrennt.
Zu den Vorteilen dieser Architektur gehören:
- Absicherung gegen kompromittierte Geräte: Wenn ein Angreifer vollständigen Zugriff auf das Gerät eines Benutzers erhält, bleibt der Out-of-Band-Authentifizierungsprozess sicher, da die Authentifizierung unabhängig vom Gerät verarbeitet wird; sie ist von diesem kompromittierten Gerät isoliert.
- Vermeiden von In-Band-Schwachstellen: Die In-Band-Authentifizierung bietet weniger Sicherheit als vermutet. Wenn eine Organisation zum Beispiel Einmal-Passwörter (OTPs) an den kompromittierte mobilen Gerät sendet, um eine Person zu authentifizieren, bietet der OTP-Code eigentlich keine zusätzliche Sicherheit. Der Betrüger kann die auf dem Gerät generierten E-Mail-, Authentifizierungs- oder SMS-OTPs kopieren, da sie an das Gerät gesendet werden, auf das der Betrüger bereits Zugriff hat. Der Zugriff auf das Gerät ermöglicht den Zugriff auf das OTP. Dies ist eine kritische Sicherheitslücke.
- Bequemlichkeit für den Endbenutzer: Die Cloud-basierte biometrische Authentifizierung ermöglicht Ihnen eine echte Out-of-Band-Authentifizierung, ohne dass mehrere Geräte verwendet werden müssen. Stellen Sie sich vor, jemand gibt sein Passwort auf seinem Desktop ein, hat aber sein Telefon nicht dabei (oder verliert es ganz) - er ist zu diesem Zeitpunkt komplett vom Authentifizierungsprozess ausgeschlossen, was die Erfolgsquote senkt.
Entscheidende Schwachstellen bleiben bestehen, wenn alle Authentifizierungsfaktoren immer noch auf demselben Gerät zentralisiert sind. Wenn ein Nutzer beispielsweise etwas über eine mobile App kauft und der App-Anbieter einen SMS-Code an dieses mobile Gerät sendet, um den Kauf zu bestätigen, bietet der SMS-Code eigentlich keine zusätzliche Sicherheit - der Code wird an dasselbe Gerät gesendet und ist daher "in-band". Wenn das Gerät kompromittiert wurde, ist das OTP wertlos.
iProov geht davon aus, dass das Gerät nicht vertrauenswürdig ist, und führt die Authentifizierung sicher und vertraulich in der Cloud durch, so dass sie unabhängig vom verwendeten Gerät ist. Selbst wenn ein böswilliger Akteur vollen Zugriff auf das Gerät eines anderen hätte, bliebe der Authentifizierungsprozess sicher.
Unternehmen sollten einen umfassenden und mehrschichtigen Ansatz für die Sicherheit wählen. Das ideale Szenario ist die Dezentralisierung von Identitätssignalen über mehrere vertrauenswürdige Quellen hinweg - die Kombination von Out-of-Band-Authentifizierung mit biometrischen und anderen Signalen, die unabhängig voneinander über verschiedene Kanäle unter der Überwachung einer Sicherheitszentrale gesammelt werden.