Unser Blog
Ihre Fragen beantwortet
Ihre Fragen beantwortet

Wie man 2-Faktor-Authentisierung *nicht* implementieren soll

Zum 13. Januar 2018 trat in Deutschland die neue Europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive 2) in Kraft. Diese haben schon fast alle Banken bereits Umgesetzt, denn die Umsetzungsfrist (14. September 2019) rückt immer näher.

Eine der Facetten dieser Richtlinie ist s.g. starke Authentisierung (Multifaktor-Authentisierung, 2FA, 2-Faktor-Authentisierung) beim Online-Banking. Manche Banken haben das Verfahren schon früher eingesetzt, andere ziehen erst jetzt nach.

Auf die Einzelheiten der 2FA wird hier nicht eingegangen, der Leser wird auf https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung verwiesen.

Ein sehr Interessantes Beispiel einer eher schlechten, für den Nutzer extrem aufwendigen Umsetzung dieses Verfahrens zeigt das Online-Banking der ING-DiBa, dessen sonst zufriedener Kunde der Autor ist. Die Voraussetzung für das neue Verfahren ist ein Smartphone mit dem installierten und eingerichteten mobilem App der ING DiBa.

Um das Online-Banking zu nutzen, geht man auf die Seite https://banking.ing-diba.de, wo man seine „Zugangsnummer“ und „Internetbanking PIN“ eingeben soll. Dies entspricht einem Login mit einem Benutzernamen und einem Passwort. Das Passwort (oder PIN) ist geheim und entspricht dem Faktor Nr. 1, vom Typ „Wissen“. Bis jetzt läuft alles nach Plan:



Da der PIN nicht als ausreichend sicher einzustufen ist, führte die Bank schon früher ein Verfahren ein, um eine mögliche Ausspähung von Passwörtern aus dem Weg zu gehen: man soll nun 2 vorgegebene Ziffer aus einem 6-stellingen s.g. Online-Key eintragen. Dieser Schlüssel ist auch geheim und gilt wieder als Wissens-Faktor, jetzt schon Nr. 2:



Wer denkt, die 2-Faktor-Authentiseirung sei hier zu Ende, irrt sich leider. Der Spaß fängt jetzt erst richtig an. (Am Rande bemerken wir, dass das bisher noch keine richtige 2FA war, denn beide Faktoren Wissens-Faktoren sind. Die 2FA verlangt aber, dass zwei Faktoren unterschiedlich vom Typ sein sollen.)

Nun wechselt die Online-Seite in einen Warten-Modus und fordert uns auf, zur mobilen App zu wechseln:



Wir öffnen nun die mobile App und werden dort mit der Eingabe von einem 5-Stelligen App-PIN (nicht gleich mit Online-PIN) konfrontiert. Das ist Faktor Nr. 3, gemischt „Wissen/Haben“, da einerseits der PIN geheim ist und anderseits die Eingabe auf einem separaten Gerät erfolgt:



Hat man die Biometrie auf dem Smartphone eingerichtet, kann man sich mit Hilfe vom Fingerabdruck einloggen. Das ist jetzt auch der Faktor Nr. 3 vom gemischten Typ „Haben/Sein“.



Spätestens jetzt sollen wir fertig sein, oder?

Nein!

Weiter wird uns angezeigt, dass ein Login für Online-Banking auf uns wartet, diesen sollen wir mit einem Klick nun freigeben. Das gilt als Faktor Nr. 4, vom Typ „Haben“:



Das Freigeben von Online-Zugang gilt in der App als Transaktion, und alle Transaktionen benötigen wiederum eine eigne Freigabe innerhalb der App. Demzufolge müssen wir nun eine 5-Stellige Transaktions-PIN eingeben (noch ein Wissens-Faktor) oder die Transaktion mit dem Finger freigeben (Sein-Faktor). Dies ist der Faktor Nr. 5 (!):



In der App erscheint nun eine Bestätigung, dass unsere Bemühungen nicht umsonst waren und wir uns endlich dem eigentlichen Online-Banking widmen können:



Im Web-Browser, der auf uns bisher auf dem Computer wartete, öffnet sich nun die Seite mit dem Online-Banking und man kann weiterarbeiten.

Aus technischer Sicht erkennt man, mit welchen Problemen die Entwickler konfrontiert waren, jedoch ist die Umsetzung dieser Probleme auf praktische Ebene fehlgeschlagen. Dieses Verfahren mit 5-Faktor-Authentisierung ist wahrscheinlich sehr sicher, jedoch offensichtlich, sehr benutzer-unfreundlich.

Die Möglichkeit, Smartphones einzusetzen, öffnet den Entwicklern und Dienstleistern neue Wege, die Benutzererfahrung nicht nur sicherer, sondern auch besser, und, unter anderem; benutzerfreundlicher zu gestalten. Das vorgetragene Beispiel der ING DiBa hat sicherlich diese Intention verfolgt, aber leider verfehlt.

Roman Kuznetsov @ 22.07.2019



Other Posts

.