Das Tippverhalten ist (so gut wie) nicht kopierbar: Die Möglichkeiten der verhaltensbasierten Biometrie
Bei der Authentifizierung von Bankkunden beim Online- und Mobile-Banking ist eine Zwei-Faktor-Authentifizierung wie das TAN-Verfahren schon längst richtig und üblich. Viele moderne Angriffe zielen darauf ab, Login-Daten zu erbeuten, um sich Zugang zu fremden Konten zu verschaffen. Für die Sicherheit des Kunden ist ein zweiter Faktor deshalb unerlässlich, aber das Mittel der Wahl sollte gut gewählt werden, um Sicherheit zu einem sinnvollen Preis zu gewährleisten. Noch sicherer als Biometrie ist verhaltensbasierte Biometrie.
von Sebastian Mayer, Country Manager Central & Eastern Europe bei BehavioSec
Biometrische Verfahren sind ein beliebter Kandidat für den zweiten Authentifizierungs-Faktor, weil Merkmale wie Fingerabdrücke und Venenmuster sehr individuell und immer verfügbar sind. Allerdings darf nicht vergessen werden, dass der Sicherheitsgewinn durch Fingerabdrücke oft nur gering ist, weil er lediglich gespeicherte Keys freischaltet.Die Authentifizierung mit einem Fingerabdruck geschieht meist nur zu Anfang einer Session, im Gegensatz zur verhaltensbasierten Biometrie, hier wird der User kontinuierlich authentifiziert.”
Vielversprechender ist deshalb eine verhaltensbasierte Biometrie, die das spezifische Tippverhalten des Nutzers analysiert und von Angreifern nicht imitiert werden kann.
Tippen Sie mal was … egal was
Dazu werden je nach Gerät die verfügbaren Messgrößen wie Tippgeschwindigkeit, Tastendruck, Ausrichtung und Bewegung des Smartphones, sowie Unterschiede wie die Nutzung des Nummernblocks im Gegensatz zu der Zahlenreihe oberhalb der Tastatur erfasst.”
Dazu werden je nach Gerät die verfügbaren Messgrößen wie Tippgeschwindigkeit, Tastendruck, Ausrichtung und Bewegung des Smartphones, sowie Unterschiede wie die Nutzung des Nummernblocks im Gegensatz zu der Zahlenreihe oberhalb der Tastatur erfasst.”
Die gemessenen Werte werden beim Login ebenso wie während der Online-Session regelmäßig in einen Hashwert umgewandelt, der mit dem bisherigen Verhalten verglichen werden kann. Die Zuverlässigkeit dieser Authentifizierung gilt als sehr hoch, weil die Ergebnisse meistens sehr eindeutige Ergebnisse sind und bietet sich darüber hinaus für eine breite Vielzahl möglicher Einsatzszenarien an.
Verhaltensbasierte Biometrie: Laufend kleine Hash-Werte
Ein typisches Einsatzszenario ist der Microsoft Scam, bei dem sich der Angreifer als Supportmitarbeiter von Microsoft ausgibt und Vertrauen zu seiner Zielperson aufbaut. Natürlich hat er nichts mit Microsoft zu tun und zielt darauf ab, dass der Nutzer eine Remote-Session aufbaut, während er sich in sein Konto einloggt. Dazu wird dem Nutzer eine angebliche Serviceleistung für eine relativ geringe Summe angeboten, aber sobald das Login erfolgt ist, kann der Angreifer die Session übernehmen und die Summe unbemerkt manipulieren, sodass der Betrug meist erst Tage später auffällt. Bei einer kontinuierlichen Überwachung des Tippverhaltens fällt allerdings auf, wenn ein Bot oder eine andere Person über die Remote-Session die Eingaben manipuliert. Der Betrug fliegt auf und die Transaktion wird gestoppt.
Erfolgreich eingedämmt: Der Betrug durch Social Engineering
Die Zuverlässigkeit der verhaltensbasierten Biometrie konnte kürzlich eine europäische Bank demonstrieren, die mit einer Variante dieser Technologie erfolgreich einen größeren Betrug abgewendet hat. Ein Firmenkunde wurde über Monate ausspioniert und regelmäßig von einem vermeintlichen Mitarbeiter der Bank kontaktiert. Nachdem die Kriminellen beide Benutzerkonten der Firma ausspioniert hatten, versuchte sie mehrere Überweisungen zu tätigen.
Die Transaktion konnte gestoppt werden, weil das Tippverhalten nicht gestimmt hat und sie deshalb nicht legitimiert wurde.”
Fazit: Das typische Verhalten ermöglicht kontinuierliche Sicherung
Verhaltensbasierte Biometrie bietet als zweiter Faktor für die Authentifizierung viele Vorteile: Sie wirkt sich beispielsweise nicht negativ auf die Nutzererfahrung aus und kann den Nutzer während der gesamten Banking-Session kontinuierlich authentifizieren. Das umfasst allerdings nur den Anfang der Möglichkeiten, die die Technologie beinhaltet, um Schnittstellen zwischen Kunden, Mitarbeitern, Partnern und Unternehmen sicherer zu machen. Die Identifizierung bekannter Betrüger durch Banken oder Online-Händler ist ebenso eine Einsatzmöglichkeit, wie die Authentifizierung in einem VPN-Netzwerk, bei der keine persönlichen Daten ausgetauscht werden sollen.
In jedem Fall ist die Identifizierung des Nutzers über sein Tippverhalten ein erster Schritt, die Möglichkeiten dieser Technologie auszuschöpfen.”aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/76262
Schreiben Sie einen Kommentar