News 18.10.2013, 06:47 Uhr

Zwei-Faktoren-Sicherheitslösung auf NFC-Basis

Wissenschaftler am IBM-Forschungslabor haben eine Lösung zur Zwei-Faktoren-Authentifizierung von Smartphone-Nutzern entwickelt, die dank NFC (Near Field Communication), einer Funktechnik für den Nahbereich, ganz ohne komplexes Anfordern eines Ad-hoc-Passworts auskommt.
Wissenschaftler am IBM-Forschungszentrum in Rüschlikon haben eine Lösung für die Authentifizierung über das Smartphone und andere mobiler Endgeräte entwickelt. Das Verfahren basiert dabei auf der Near-Field-Communication (NFC)-Technologie und einer so genannten Zwei-Faktoren-Authentifizierung mit einer PIN und einer Chipkarte. Mit einem NFC-fähigem Smartphone kann eine Authentifizierung nur durch das Berühren der Chipkarte mit dem Gerät, durchgeführt werden.
Die Zwei-Faktoren-Authentifizierung an sich ist nichts Neues: Schon heute werden bei einer Registrierung oft Passwort und beispielsweise ein per SMS empfangener Zusatz-Code abgefragt. Nur wenn beide Komponenten korrekt sind, findet eine erfolgreiche Anmeldung statt. Das Prinzip sorgt für eine hohe Sicherheit. Die IBM-Wissenschaftler wenden es nun auch bei Ihrer Lösung für Mobilgeräte an: Sie nutzen einen PIN und eine kontaktlose Chipkarte. Das könnte etwa eine Bankkarte sein oder eine von einem Unternehmen herausgegebene personalisierte Chipkarte für den Zugang zum Unternehmensnetzwerk.
«Unsere Zwei-Faktoren-Authentifizierungstechnologie basiert auf dem Advanced Encryption Standard und verbindet starke Sicherheit mit einfacher Bedienung», erklärt Diego Ortiz-Yepes, Forscher im Bereich Mobile Security bei IBM Research Zürich.

Berühren genügt

Die Funktionsweise ist simpel: Der Benutzer berührt mit der Chipkarte das NFC-Lesegerät seines Smartphones oder Tablets und gibt auf dem Gerät die für die Chipkarte spezifische PIN ein. Sind beide Kompenenten stimmig, generiert die Karte daraufhin einen einmal gültigen Code und sendet diesen über das Gerät an einen Server für eine sichere Authentifizierung.
Während eines Medientags am Rüschliker Forschungslabor, zweigte Ortiz wie einfach die Authentifizierung mit dem NFC-Verfahren funktioniert. Um sich in einer fiktiven Online-Bank einzuloggen, brauchte er zunächst nur seinen PIN-Code einzugeben. Danach legte er das Android-Smartphone auf die NFC-Bankkarte, und schon war er im System und konnte seinen Kontostand zu Gemüte führen. Dass es sich um eine echte Zwei-Faktoren-Identifikation ohne Token oder SMS-Anfrage handelt, bewies Ortiz indem er bei einer Überweisung wieder nach der Smartcard gefragt wurde, aber eine andere Bankkarte präsentierte. Sofort wurde die Transaktion abgebrochen. Erst als er wieder «seine» NFC-fähige Bankkarte an das Handy hielt, konnte der virtuelle Rubel rollen.



Kommentare
Es sind keine Kommentare vorhanden.