Starke Authentifizierung im Onlineshop

Die EU-Datenschutzgrundverordnung (EDSGVO) verbietet nicht direkt die Authentifizierung mit Nutzername und Passwort. Allerdings fordert Sie, dass personenbezogene Daten vor unbefugtem Zugriff sicher sein müssen. Ein über das Internet erreichbares Portal, welches nur mit Nutzername und Passwort geschützt ist, erfüllt diese Voraussetzung nicht.  

Die Zwei-Faktor-Authentifizierung (2FA) oder auch Multi-Faktor-Authentifizierung (MFA) kombiniert zwei oder mehr der folgenden Faktoren miteinander:  

• „Wissen“: Etwas, das der Anwender weiß, wie zum Beispiel ein Passwort, eine PIN oder ein sonstiges Geheimnis.
• „Besitz“: Etwas, das der Anwender besitzt, wie zum Beispiel ein Smartphone, eine Smartcard oder einen Einmal-Passwort-Generator (OTP) / Token
• „Sein“: Etwas, das der Anwender „ist“ (biometrisches Merkmal), wie zum Beispiel ein Fingerabdruck, die Stimme oder das Gesicht.  

Durch die Kombinationsmöglichkeiten mehrerer Faktoren werden gewünschte Sicherheitslevel von low bis high je nach Bedarf erreicht. Ist ein Passwort kompromittiert – sei es durch Passwort-Diebstahl, eine Brute-Force-Attacke (Passwort Knacken) oder durch Phishing (Passwort Abfangen) – so erhält der Angreifer dennoch keinen Zugriff auf das Shopping-Portal, da die Anmeldung zusätzlich eine Karte, das Smartphone oder die biometrischen Merkmale des Kunden erfordert.

Sichere Anmeldung im Onlineshop

Viele der genannten Faktoren kommen für die Anmeldung von Kunden am Shopping-Portal nicht in Frage. Beispiel Smartcard: Die Anschaffung eines Kartenlesers wäre für viele Endverbraucher ein unliebsamer Investitionsaufwand. Auch Onlineshop-Anbieter kämen nicht günstig davon, denn sie müssten (falls nicht die Online-Funktion des Personalausweises genutzt werden soll) für jeden ihrer Kunden eine Smartcard ausstellen und verwalten.  

Für die starke Authentifizierung in Kundenportalen empfiehlt sich eine Smartphone-basierte Variante:  

• Passwort + Authentifizierungs-App (in Kombination mit PIN Eingabe oder dem integrierten Fingerabdruckleser/Gesichtserkennung)
• Passwort + Einmal-Passwort per SMS  

Das Versenden von Einmal-Passwörtern per SMS ist bereits durch das TAN-Verfahren der Banken bekannt. Allerdings werden Einmal-Passwörter oft unverschlüsselt per SMS oder E-Mail versendet und können abgefangen werden. Zudem sind die Algorithmen für die Berechnung der Passwörter nicht unbedingt sicher.

Authentifizierung per Smartphone-App

Ein Smartphone besitzt mittlerweile fast jeder. So bietet es sich an, die Geräte für die Authentifizierung im Webshop zu verwenden. Ruft ein Kunde den Webshop auf, gibt er im Onlineshop-Anmeldeformular seinen 1. Faktor „Benutzernamen“ ein. In seinem Account ist bereits der zweite Faktor hinterlegt: die Authentifizierungs-App. Über sie wird er zur Eingabe des zweiten Faktors  (PIN, One-Time-Passwort, Fingerabdruck oder Gesichtserkennung) aufgefordert. Erst dann wird im Backend der Zugang zum Webshop freigegeben und der Kunde hat Zugriff auf seinen Account.   Authentifizierungs-Apps sind PKI-basiert (Public Key Infrastructure), verwenden also asymmetrisch verschlüsselte, digitale „Schlüssel“, die eine höhere Sicherheit versprechen.  

Für die Authentifizierung können auch Identitäten verwendet werden, die der Anwender bereits nutzt. Beziehen können Nutzer diese beispielsweise von Google +, Amazon, Facebook oder Verimi. Alternativ kann dies eine einfach Post ID sein, die in Deutschland bereits bei vielen Authentifizierungsverfahren Einsatz findet. 

„Authentication as a Service“ aus der Cloud

SAAS aus der Cloud zu beziehen wird gerade für kleinere Unternehmen immer attraktiver. Für die Authentifizierung benötigten Identitäten werden hierbei direkt aus der Cloud eines Sicherheitsanbieters bezogen. Dies kann kostengünstiger sein als eine eigene Identity-Management-Software zu kaufen und zu verwalten.

Foto: Fotolia/stokkete

Weitere Informationen: https://knowledge.nexusgroup.com