Sicherheit in Logins: Was sind 2FA und MFA?

tomatoagTomato

Logins und Authentifizierung mit nur einem Faktor bergen erhebliche Risiken und mögen beim Online Zeitunglesen dienlich sein. Im Zahlungsverkehr im privaten e-banking oder wenn ein Corporate Mitarbeiter das e-banking nutzt sind mindestens Zwei – Faktor – Identifizierungen nötig. Das mag dem einen lästig sein. Die vielen leider erfolgreichen Missbräuche von Social – Engineering, Phishing, CEO – CFO – Fraud zeigen, dass Sicherheit unabdingbar ist.

2FA bedeutet Zwei-Faktor-Authentifizierung, MFA heisst Multi-Faktor-Authentifizierung. Der Bericht und White Paper im CIO beschreibt exzellent die Risiken und Verfahren. Durch die Kombination mehrerer Authentifizierungsfaktoren steigt auch die Gewissheit, dass der Benutzer, der gerade versucht sich zu authentifizieren, tatsächlich der ist, der er vorgibt zu sein.

Bei der MFA müssen sich Benutzer anhand von zwei oder mehr Faktoren aus unterschiedlichen Kategorien authentifizieren.

Bei der Wahl einer passenden Authentifizierungsmethode für Ihr Unternehmen sollten Sie eine Reihe von Faktoren berücksichtigen. Dazu gehören unter anderem:

  1. Leistungsstärke: Wie gut schützt die Lösung Ihr Unternehmen vor typischen Bedrohungen?
  2. IT-Kosten und -Aufwand: Was sind die Kosten pro Benutzer? Sind zusätzliche Ressourcen erforderlich?
  3. Benutzerfreundlichkeit: Können Benutzer die Lösung einfach und unkompliziert einführen? Können sie die Authentifizierungs-mechanismen frei wählen? Bietet die Lösung ein mobiles SDK, das eine Einbettung von MFA-Funktionen in ihre eigene mobile Umgebung ermöglicht?
  4. Einfache Implementierung: Lässt sich die Lösung einfach implementieren und warten?
  5. Einhaltung von Branchenstandards: Erfüllt sie die Compliance-Standards, die Sie einhalten müssen?
  6. Standards: Unterstützt sie Identitätsstandards wie FIDO?
  7. Flexibilität: Unterstützt sie eine dynamische Step-up-Authentifizierung?


PSD2: Neue e-Banking Regeln ab 14.9.19

tomatoagTomato

DEUTSCH: Wer in der EU ab 14. September noch eine TAN von einem Zettel nutzen will, (iTAN-Verfahren), dürfte eine Überraschung erleben: Die TANs werden nicht mehr funktionieren. Hintergrund ist die Zweite Europäische Zahlungsdienstrichtlinie PSD2, die neben mehr Wettbewerb im Finanzsektor auch für mehr Sicherheit sorgen soll. TANs, auf Papierzettel sind nicht dynamisch und bis zur Abfrage zeitlich unbegrenzt gültig, sind ein grundsätzliches Sicherheitsproblem. Vor allem bei Phishing-Angriffen sind diese iTANs verwundbar.

Was ändert sich im PSD2-Raum ab 14. September im e-banking?

  • Zwei-Faktor-Authentifizierung beim Login und Online-Kartenzahlungen
  • Abschaltung der iTAN-Liste
  • Zugriff auf Zahlungsverkehrskonten bei Drittanbietern

Informationen dazu:

mTAN oder sms-TAN sind gemäss PSD2 weiterhin erlaubt. Das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rät allerdings von ihrer Verwendung ab.

Do you prefer English?

PSD2 (the payment service directive 2) is currently one of the most disruptive developments in banking and fintech. In effect since January 2018, it forces banks to open their customer data to third party providers. Banks typically are not in the business of competing with tech giants or start-ups, so this puts enormous pressure on them.

Watch PSD2 explained in 4 minutes presented by digitalscouting.de or

Henri Arslanian’s TED-Talk on Fintech and Banking (14 mins) distributed in October 2016. Henri Arslanian started his career as a financial markets and funds lawyer in Canada and Hong Kong,

In der Schweiz (als nicht PSD2 Raum) sind Multi-Faktor-Authentifizierung (MFA) schon länger in Betrieb. Bei e-Banking Login in der EU und USA kann man bzw. konnte man die Kontosalden mittels einfachen Logins und Passwort einsehen (2FA). Um Zahlungen auszulösen sind zusätzliche Sicherheiten nötig. Scrollen Sie weiter auf Punkt 3 und lesen Sie dazu den nachstehenden Bericht 2FA versus MFA.