Wie Seed Records zum Sicherheitsrisiko für Unternehmen werden können
Frankfurt/London, 15. April 2014 – Wer durch die Hintertür kommt, hat oftmals etwas zu verbergen – das gilt auch im IT-Umfeld. So können Datenspione z.B. über sogenannte Backdoors in token-basierten Authentifizierungslösungen Informationen über Firmen ausspähen. Wie sich Unternehmen vor fremden Einblicken schützen können, erläutert SecurEnvoy im Rahmen der Infosecurity Europe (29. April bis 01. Mai, London) an Stand H10. In Vortrag “Revolutionising 2FA to enhance the user experience” beleuchten Andrew Kemshall und Phil Underwood am Markt erhältliche Zwei-Faktor-Authentifizierungslösungen. Außerdem gehen sie auf die Sicherheit von Seed Records ein, spezifischen Algorithmen zur Erstellung von Passcodes für die Nutzeridentifizierung.
An allen drei Messetagen findet im von SecurEnvoy gesponserten Technical Theatre jeweils von 11:20 bis 11:45 Uhr der Vortrag von Andy Kemshall, SecurEnvoy-Mitgründer, und Phil Underwood, Global Head of Pre and Post Sales, statt. Zunächst erfahren die Hörer mehr über die aktuell am Markt verfügbaren Varianten der Zwei-Faktor-Authentifizierungslösungen und deren Login-Möglichkeiten. Die Nutzererfahrung bzw. Bedienfreundlichkeit (“user experience”, kurz UX) macht dabei einen wesentlichen Part aus. In puncto Sicherheit stehen die sogenannten Seed Records im Vordergrund. Dabei handelt es sich um spezifische Algorithmen, mit denen die Passcodes erstellt werden. Manche Anbieter speichern Kopien dieser Seeds. Das Problem dabei: Je nach Gesetzgebung können Regierungsbehörden ohne Erlaubnis des betroffenen Unternehmens Einsicht in diese Kopien verlangen. Danach ist es den Behörden möglich, die Seeds zu reproduzieren und unbemerkt von der jeweiligen Firma Login-Vorgänge nachzuvollziehen.
Zweigeteilter Seed Record erhöht Sicherheit
Um dies zu verhindern, splittet SecurEnvoy die Seed Records in zwei Teile. In ihrem Vortrag erläutern Kemshall und Underwood die genaue Vorgehensweise und stellen klar, warum keine Seed Records bei SecurEnvoy gespeichert werden. Stattdessen werden diese lokal beim Kunden generiert. Bei der von SecurEnvoy entwickelten, patentierten tokenlosen Zwei-Faktor-Authentifizierung werden Mobilgeräte als Token-Ersatz genutzt. Dadurch ergeben sich flexible Zustellungsoptionen des zur Identifizierung nötigen Passcodes. Der Nutzer kann ihn per SMS, E-Mail und Festnetzanruf erhalten oder in der Soft Token App generieren. In der kürzlich erschienenen Server-Version 7.2 ist die Option “One Swipe” neu hinzugekommen. Für sie benötigt der Nutzer weder Internet- noch Mobilfunk- oder Festnetzverbindung. Zur Authentifizierung generiert er in der Soft Token App für Smartphone einen einmalig gültigen QR-Code, den er anschließend mit der Webcam seines Laptops o.Ä. abfotografiert. So weist sich der User eindeutig aus.
Weitere Informationen zu Soft Tokens sind unter http://securenvoy.de/zwei-faktor-authentifizierung/was-sind-soft-tokens/ verfügbar.
Über SecurEnvoy:
SecurEnvoy ist der Erfinder patentierter tokenloser Lösungen für die Zwei-Faktor-Authentifizierung. Millionen Anwender weltweit profitieren bereits vom schnellsten mobilen Authentifizierungsprozess, der kein Token benötigt. Die Methode setzt auf Endgeräte wie Mobiltelefone, Smartphones, Tablets und Laptops, um den Passcode für die Identifizierung bereitzustellen. Sogar ohne Mobilfunk- oder Internetverbindung kann der User den Code mittels Voice Call empfangen oder sich über die One Swipe-Technologie ausweisen, die auf einem QR-Code-Scan basiert. Teil der Produktpalette des Unternehmens mit Sitz in London (UK), Frankfurt (D) und San Diego (USA) ist die Lösung SecurAccess. Die Administrations-Tools lassen sich unkompliziert in bestehende IT-Infrastrukturen integrieren und ermöglichen die Einbindung von bis zu 100.000 Usern pro Stunde. Neben der Auszeichnung von SecurAccess als “Best Buy” durch das SC Magazine wurde SecurEnvoy im Gartner Magic Quadrant als “Visionary” eingestuft. SecurEnvoy hat sich einen Kundenstamm in vertikalen Märkten aufgebaut, darunter Banken, Finanzen, Versicherungen, Behörden, Produktion, Marketing, Einzelhandel, Telekommunikation, Charity, Justiz und Baugewerbe aufgebaut. Dabei arbeitet der Authentifizierungsexperte mit Partnern wie AEP, Astaro, Cisco, Checkpoint, Citrix, Juniper, F5, Palo Alto, Sophos etc. zusammen. Weitere Information unter www.securenvoy.de.
SecurEnvoy Ldt.
Steve Watts
Mainzer Landstrasse 27 – 31
60329 Frankfurt am Main
02661-912600
swatts@securenvoy.com
http://www.SecurEnvoy.com
Sprengel & Partner GmbH
Olaf Heckmann
Nisterstrasse 3
56472 Nisterau
02661-912600
bo@sprengel-pr.com
http://www.sprengel-pr.com