INTERVIEW: NOK NOK LABS2. April 2018

Biometrie statt Passwörter: “Gute Authentifizierung ist die Eintrittskarte für neue innovative Services”

Dr. Rolf Lindemann, Senior Director Products & Technology bei Nok Nok Labs
Dr. Rolf Lindemann, Senior Director Products & Technology bei Nok Nok LabsNok Nok Labs

Die Idee zu FIDO (StandardFast IDentity Online) stammt vom Gründer der Nok Nok Labs Ramesh Kesanupalli.  Vor 5 Jahren hatte Ramesh eine Reihe von Diskussionen über die Nutzung von Biometrie anstelle von Passwörtern für die Authentifizierung. Diese Diskussionen führten Nok Nok Labs, PayPal, Lenovo, Infineon, Validity und Agnition zur Gründung der FIDO Alliance. Wer so tief in der Materie steckt, kann sicher viel darüber berichten. IT Finanzmagazin hat Dr. Rolf Lindemann, Senior Director Products & Technology bei Nok Nok Labs, Fragen zu FIDO gestellt.

Herr Lindemann, wieso ist FIDO überhaupt entwickelt worden, die Smartcard-basierten PKI-Lösungen bieten doch eine mindestens gleichwertige Sicherheit?

In meiner Zeit bei TC-TrustCenter [ehemaliger Anbieter von PKI-basierten Zertifikaten der Deutschen Großbanken, Anm. d. Red.] habe ich gesehen, dass die Nutzung von PKI-Chipkarten für die Authentifizierung nicht so praktikabel ist wie erhofft. Zusätzlich zur Smartcard braucht man noch ein Lesegerät und die zugehörigen Treiber. Diesen Aufwand scheuen die meisten Nutzer. Nur wenige Endkunden sind bereit, dafür Geld zu bezahlen.

Selbst wenn die Smartcard den Kunden kostenlos zur Verfügung gestellt wird, kommt man am Ende nur zu einer Akzeptanzrate von 3%. Daher war für mich klar, wir müssen in Bezug auf sichere Authentifizierung neue Wege gehen. FIDO ist eine Antwort auf die Herausforderung, Sicherheit und Convenience in Einklang zu bringen.”

Wäre es da eigentlich nicht richtiger, statt von FIDO (Fast Identity Online) zu sprechen, den Begriff FAUTHO (Fast Authentication Online) zu verwenden?

Streng genommen haben Sie recht. Authentifizierung ist kein Selbstzweck, sondern der Beginn einer User Journey. Es gibt eine Vielzahl von unterschiedlichen Anwendungsfällen, vom Cloud-Speicher der nur eine pseudonyme Identität braucht, bis zur Bank die eine gesetzeskonforme Legitimation nach den Regeln des Geldwäschegesetzes fordert. Die FIDO-Authentifizierung kann mit beliebigen Arten der Identitätsprüfung kombiniert werden. Anforderungen für die Identitätsprüfung sind regionsspezifisch und hängen auch vom Verwendungszweck ab. FIDO-Authentifizierung ist universell und wird weltweit verwendet.

In dieser Bandbreite passt „Fast Identity Online“ dann doch sehr gut!

Was hebt FIDO von ähnlichen Lösungen am Markt ab, bei denen ebenfalls Public/Private Schlüsselpaare zur Authentifizierung in einer App erzeugt und sicher speichert werden?

Ich kenne keine alternative Lösung, die im Bereich globale Verbreitung, Benutzerfreundlichkeit, Sicherheit und Datenschutz mit FIDO Schritt hält.”

FIDO hat die breite Unterstützung der Internet-Industrie. Allein die Integration in die Betriebssysteme der relevanten Anbieter kann keine andere Lösung bieten. Ich sehe derzeit keine Alternative zu FIDO.

Wenn der Nutzer seinen FIDO Authenticator verliert, ist eine aufwändige Neuregistrierung erforderlich. Welche Lösung bietet die Nok Nok Lab Suite für die Lösung dieses Problems?

Die einfachste Rückfallebene bei Verlust oder Zerstörung des FIDO Authenticators ist ein zweiter FIDO Authenticator. Das bedeutet, sie registrieren bei einem Dienst sowohl den Authenticator in ihrem Smartphone als auch den in ihrem Notebook. Für den Fall, dass eines der beiden Geräte nicht mehr zur Verfügung steht, melden Sie sich mit dem zweiten Authenticator an, deregistrieren das andere Device und melden dann einen neuen Zweit-Authenticator an.

Bei FIDO wird in den meisten Umsetzungen der Faktor Wissen oder Inhärenz auf dem Gerät gespeichert, das auch den Faktor Besitz repräsentiert. Es gibt Sicherheitsforscher, die halten diesen Ansatz für potenziell unsicher. Was entgegen sie denen?

Mehr als eine Milliarde Passwörter wurden von Servern gestohlen. Die Speicherung von biometrischen Daten zentral auf Servern ist ebenfalls keine gute Idee. Auch hier wären – wie bei den Passwörten auch – skalierbare Angriffe zu befürchten.”

Als skalierbar bezeichnen wir Angriffe, deren Kosten unabhängig von der Anzahl der Ziele ist.  Wenn jemand einen Server „knackt“, so sind die Kosten dafür wohl hoch, aber jedoch unabhängig von der Anzahl der dort gespeicherten Passwörter. Das ist ein Beispiel für skalierbare Angriffe. In der Praxis wurden Server geknackt, auf denen über 100 Millionen Passwörter gespeichert waren.

Bei FIDO werden die biometrischen Templates dezentral in dem jeweiligen Authenticator gespeichert. Um also 100 Millionen biometrische Daten zu stehlen, müsste nicht nur ein Server geknackt werden, sondern 100 Millionen Authenticatoren.

Es gibt noch einen zweiten Sicherheitsaspekt: Der Authenticator speichert nicht nur die biometrischen Templates, sondern ist auch für deren Erfassung und Prüfung zuständig.  Durch diese verkapselte Implementierung der biometrischen Prüfung kann optimal gegen das „Injizieren“ von digitalen biometrischen Daten unter Umgehung des biometrischen Sensors geschützt werden.

Es reicht für einen Angriff also nicht der Datensatz z.B. des Fingerabdrucks, sondern ein Angreifer müsste Zugriff auf den Authenticator haben und diesen durch einen Gummifinger überlisten.  Ein derartiger Angriff kostet Zeit und Geld pro Fingerabdruck und ist daher nicht skalierbar. “

Neben diesen Sicherheitsvorteilen bietet der FIDO Authenticator auch Vorteile beim Datenschutz. Für die Authentifizierung benötigt der Server die biometrischen Daten nicht und er fragt deshalb auch nicht danach. Das ist angewandte Datenminimierung,

Die passwortlose Freigabe von Zahlungen in der PayPal App stammt von den Nok Nok Labs. In welchen Bereichen der Finanzindustrie sehen Sie weiteres Potenzial für FIDO?

Prinzipiell ist die Authentifizierung mit FIDO ein Thema für die gesamte Branche. PSD2 ist dabei auch ein großer Treiber.”

Ein Beispiel aus dem Kreditkartenbereich ist 3-D Secure (3DS), das Verfahren für zusätzliche Sicherheit bei Online-Kreditkartentransaktionen. So hat z.B. Michaël Sass von Mastercard Daten über Abbruchquoten bei Kreditkartenzahlungen mit 3DS veröffentlicht. Diese liegt bei 30% für einen statischen Sicherheitscode. Bei OTP (One Time Password) ist die Abbruchquote mit 15% nur noch halb so hoch. Verwendet man eine biometrische Lösung sinkt der Wert auf 3%. Mastercard empfiehlt den Einsatz von FIDO für das neue 3DS 2.0 Verfahren. Der wichtigste Treiber für den Einsatz von FIDO ist die Benutzerfreundlichkeit bei gleichzeitiger Erfüllung hoher Sicherheits- und Datenschutzstandards. Gerade im Internet ist die Konkurrenz nur einen Klick entfernt. Authentifizierung ist die Tür zur Nutzung digitaler Dienste. Von ihr hängt es ab, ob Benutzer angezogen oder abgeschreckt werden.

Das Interview führte Rudolf Linsenbarth
Rudolf Linsenbarth beschäftigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Linsenbarth ist profilierter Blogger der Finanzszene und kommentiert bei Twitter unter @holimuk die aktuellen Entwicklungen. Alle Beiträge schreibt Rudolf Linsenbarth im eigenen Namen.

Gibt es in Deutschland oder Europa Banken, die bereits Lösungen der Nok Nok Labs und damit FIDO als SCA Lösung einsetzen?

Jede in der EU operierende Bank benötigt starke Authentifizierung, die auch von Nok Nok Labs angeboten wird. Wir haben viele Finanzinstitute als Kunden weltweit, darunter auch eines in Europa.”

Was ist ihre Empfehlung an die deutschen Banken zum Thema sichere Authentifizierung?

In Deutschland neigen wir dazu, unendlich lange auf die perfekte Lösung zu warten, statt Verbesserungen zeitnah einzuführen. Dafür leben wir dann lange mit unnötig schlechten Lösungen.

Gute Authentifizierung ist die Eintrittskarte für neue innovative Services. Gerade in der heutigen Zeit sind diese ein wichtiges Wettbewerbsinstrument im Werben um Kunden.”

So kann FIDO-Authentifizierung hier zu mehr Kunden und besserer Kundenbindung führen.  Ein derartiger Ansatz ist vielversprechender als das Thema Authentifizierung als regulatorische Pflichtübung zu betrachten.

Herr Lindemann, herzlichen Dank für das spannende Gespräch!Rudolf Linsenbarth

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert