2-Faktor Authentifizierung für sichere Webportale

2-Faktor-Authentifizierung

Das Benutzerdaten auf Webseiten verschlüsselt übertragen werden, sollte nun eigentlich schon Standard sein. Nicht zuletzt dadurch, dass in 2017 die Browser angefangenen hatten, unsichere Webseiten zu kennzeichnen (wir berichteten hier: SSL ab 2017 Pflicht)

Doch was ist, wenn ein einfacher Passwort-Schutz über abgesicherte Daten nicht mehr ausreichend ist? Wenn es um z.B. personenspezifische Daten im Portal oder hoch sensible Daten bei Finanztransaktionen geht. Oder schlicht und einfach man den Zugriff auf bestimmte Bereiche eines Webportals gesondert regeln möchte, um so vielleicht Lösungen im Rahmen der Datenschutz Grundverordnung 2018 anbieten zu können?

Hierfür bietet sich natürlich ein klassisches Rollen Rechte System in der individuellen Webprogrammierung an. Das würde aber nicht das Problem von unsicheren Passwörtern lösen. Ist erst  einmal ein Passwort gehackt und liefert das Rollen Rechte System die für diese Person aufbereiteten Daten aus dem Webportal unproblematisch aus.

Die Lösung liegt außerhalb der Webseite. Benutzerkonten und/oder Aktionen werden mit einem weiteren Mechanismus abgesichert. So ist z.B. aus dem Online Banking das Pin-Tan-Verfahren bekannt, wo mittlerweile auf MobileTans (also zur aktuellen Zeit generierte Tans und übermittelt an vorher hinterlegte Mobilfunknummern) umgeschwenkt wurde.

2-Faktor Authentifizierung auf Webanwendungen

Zur Absicherung von Webdatenbanken kann somit neben der verschlüsselten Verbindung und den individuellen Benutzerlogins (mit z.B. zyklisch variierenden Passwörtern) auch noch eine separate Hardware eingesetzt werden. Diese sogenannten Hardware-Token oder Security-Token sind einmalig einer Person übergeben worden und sichern, nach einmaliger Verknüpfung seinen  Login ab. Man spricht hier von einer 2-Faktor Authentifizierung.

Oft werden Sie über den USB-Port mit dem Computer verbunden. Browser der neueren Generation können mittlerweile auf die USB Schnittstelle zugreifen und erkennen, ob der Computer mit einem Security-Token verbunden ist. Im Firefox muss man leider noch diese automatischen Zugriff aktivieren

Im Firefox 2-Faktor Authentifizierung aktivieren

  • Firefox starten
  • about:config eingeben und Warnungen bestätigen
  • nach u2F suchen und den Wert auf true setzen

Firefox Aktivierung 2-Faktor Authentifizierung

 

Verknüpfung Security-Token mit einem Benutzerkonto

Über Patrick Schwalger 27 Artikel
Patrick Schwalger ist Gründer und Geschäftsführer bei VCAT. Im Rahmen seines Aufgabenbereiches ist er verantwortlich für Prozesse und die technischen Umsetzungen sowie serverseitige Strukturen. Diese Themen begleiten ihn ständig:

1 Trackback / Pingback

  1. Lizenzverwaltung auf Symfony-Basis » VCAT Blog

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*