Was ist Push-to-Verify (Push-to-Authentication)?
Ihre Identität schützen. Bevor jemand auf Anwendungen, Unternehmensdaten oder sichere Netzwerke zugreifen darf, muss zunächst dessen Identität bestätigt werden. Dazu kommt bei zahlreichen Apps und Netzwerken die Multi-Faktor-Authentifizierungsmethode (MFA) „Push-to-Verify“ zum Einsatz.
Eine Push-to-Verify-Authentifizierung (oder auch Push-Benachrichtigung) funktioniert folgendermaßen: Ein Benutzer meldet sich mit seinem Endgerät z. B. Smartphone oder Tablet und seinen Zugangsdaten an. Bei den meisten steht zu Beginn die klassische Anmeldung mit Benutzername und Passwort. Häufig folgt anschließend der zweite Authentifizierungsschritt durch „Push-to-Verify“. Dem Benutzer wird in der sicheren Anwendung auf seinem Gerät eine Push-Meldung angezeigt, die er bestätigen oder ablehnen kann. Wenn er sie bestätigt, erhält er Zugriff auf die sichere Umgebung.
Für den Fall, dass ein Benutzer die Anforderung ablehnt, lässt sich eine automatische Warnung für den Administrator einrichten, sodass dieser die Daten ggf. umgehend schützen kann.
„Push-to-Verify“ setzte sich als Authentifizierungsmethode zunehmend durch. Es wird geschätzt, dass die Hälfte aller Unternehmen, die eine mobile Anmeldung bieten, heute schon Push-to-Verify verwenden.
Vorteile und Sicherheit
Push-to-Verify bietet dem Nutzer zahlreiche Vorteile:
- Komfortabler und gleichzeitig sicherer als Passwörter
- Push-to-Verify ist einfach einzurichten
- Verhindert Tippfehler auf Mobilgeräten
- Reduziert die „Passwortmüdigkeit“
- Keine weitere Hardware erforderlich, nutzt vorhandene Mobilgeräte
- Stärkere Sicherheit für den Anwender
- Out-of-Band-Authentifizierung verhindert Kompromittierung bei der Passworteingabe
Sich komplexe Passwörter zu merken oder erst umständlich den Passwortmanager auf dem Handy öffnen zu müssen, all das entfällt bei Push-Benachrichtigungen, denn die Aufforderung zur Authentifizierung kann ganz einfach per Tastendruck bestätigt werden – wesentlich schneller als durch das Eintippen von Passwörtern.
Im Vergleich zu anderen Multi-Faktor-Authentifizierungen bietet die Verifizierung per Push-Benachrichtigung nicht nur eine erhöhte Sicherheit, sondern auch einen minimalen Aufwand bei der Einrichtung für den Endanwender. Die einfache Benutzbarkeit von Push-to-Verify zeigt sich insbesondere im Vergleich zu anderen Optionen wie Sicherheitsfragen, zusätzlichen Passwörtern oder Einmal-Passwörter (OTP).
Nie wieder schwache Passwörter
Push-to-Verify reduziert die Gefahr schwacher Passwörter (z. B. Passwort123). Auch wenn die Vorgaben für ein Passwort beispielsweise Sonderzeichen und Ziffern verlangen, wählen viele Benutzer trotzdem einfach zu erratende Passwörter. Durch eine zusätzliche Authentifizierungsmethode erzwingen Sie eine zweite Absicherung und minimieren mögliche Gefahren durch schwache Passwörter.
Bei Push-to-Verify wird die sogenannte „Out-of-Band-Authentifizierung“ eingesetzt. Die Out-of-Band-Authentifizierung (OOBA) basiert auf zwei verschiedene Übertragungswege (Kanäle oder Netzwerke) für die Authentifizierung. Diese komplexere Authentifizierungsmethode kann diverse Arten von Hacking-Angriffen und Betrugsversuchen verhindern.
OOBA wird seit langem erfolgreich beim Online-Banking als Schutz vor Hackerangriffen und Identitätsdiebstahl eingesetzt, denn es müssen zwei unterschiedliche Kommunikationskanäle kompromittiert werden, wodurch die Sicherheit enorm steigt. Zudem ist die Kommunikation zwischen der Anwendung und dem abgesicherten Authentifizierungsdienst stets verschlüsselt.
Enorme Entlastung des IT-Helpdesk
In Kombination mit Single Sign-On (SSO) und Push-to-Verify senken Sie drastisch die Helpdesk-Anfragen bzgl. Passwort-Resets. Die Reduzierung zusätzlicher Passwörter wirkt der sog. „Passwortmüdigkeit“ entgegen und Benutzer müssen sich auch nicht mehr zahlreiche komplexe Passwörter merken. Zusammen mit SSO erhöht die MFA-Methode Push-to-Verify die Sicherheit und vereinfacht zugleich den Zugang zu mehreren Systemen oder Ressourcen.
Im Ergebnis sparen Sie viel Geld und schaffen enorme Bandbreite für die IT-Abteilung. Push-to-Verify steigert die Produktivität in der gesamten Organisation, da Ihre Mitarbeiter schnell und sicher auf alle benötigten Ressourcen zugreifen können.
Weniger Hardware – weniger Kosten
Die Push-Authentifizierung erfolgt typischerweise auf dem Smartphone des Anwenders, sodass keine zusätzlichen Hardware-Ausgaben entstehen. Zudem wird die IT-Abteilung entlastet, denn die Benutzer können die App selbstständig herunterladen und installieren. Viele Push-to-Verify-Apps sind kostenlos.
Schwachstellen, die man lösen kann!
Push-to-Verify hat trotzdem einige Schwachstellen. Ein mögliches Risiko ist das Endgerät, denn bei Diebstahl oder Cyberangriffen können Hacker ohne Passwort auf den gesicherten Bereich zugreifen. Viele Sicherheitsverletzungen sind auf gestohlene Geräte zurückzuführen.
Ein weiteres Risiko ist die Bestätigung falscher Meldungen. Wenn Benutzer viele Meldungen erhalten und nicht jeweils genau prüfen, werden möglicherweise auch unberechtigte Anforderungen bestätigt.
Es gibt jedoch Gegenmaßnahmen, um dies zu verhindern. Eine automatische Prüfung sendet dem Benutzer eine Warnmeldung bei ungewöhnlichen Anmeldeversuchen oder Aktivitäten. Diese Warnung lässt sich dann nur mit einer speziellen Anforderungs-ID bestätigen.
Zusammenfassung und Fazit
Immer mehr Unternehmen nutzen die Push-to-Verify-Methode zur sicheren Anmeldung. Dabei folgen sie dem Beispiel großer Organisationen wie Salesforce oder Twitter, bei denen hierfür typischerweise spezifische Authentifizierungs-Apps zum Einsatz kommen.
Die Push-to-Verify-Authentifizierungs-App von HelloID ist für Android- und iOS-Systeme verfügbar. Mit dieser App können sich Benutzer ganz einfach mit einem Tippen anmelden.
Während der Schutz von Daten immer wichtiger wird, aber gleichzeitig die Angriffe stets raffinierter werden, ist ein zuverlässiger und sicherer Benutzerzugriff von zentraler Bedeutung für alle modernen Unternehmen. Die Authentifizierung über Push-Benachrichtigungen bietet kostengünstige und zuverlässige Sicherheit.
In unserer Online-Dokumentation finden Sie eine Anleitung für die HelloID Authenticator-App.
Tools4ever Informatik GmbH
Hauptstraße 145-147
51465 Bergisch Gladbach
Deutschland
Phone: +49 2202 2859-0
Email: [email protected]