Kürzlich hat Okta einen neuen Ablauf bei der Registrierung eingeführt, um den Prozess für die Benutzer zu vereinfachen. Dieser wird als Registrierung auf dem gleichen Gerät bezeichnet und ermöglicht es den Benutzern, sich auf dem aktuellen Gerät mit weniger Schritten bei Okta Verify zu registrieren. Die Registrierung auf dem gleichen Gerät in Okta Verify stellt einen erheblichen Fortschritt in der Sicherheit dar und bietet eine Phishing-resistente und intuitive Lösung für Benutzer. Der neue Ablauf behebt kritische Schwachstellen älterer Browser-basierter Registrierungsmethoden, wie QR-Codes, SMS und E-Mail, die leicht von böswilligen Akteuren abgefangen werden konnten. Der aktualisierte Prozess gewährleistet die Einhaltung der Authentifizierungsrichtlinien und ruft die erforderlichen Autorisierungs-Token sicher ab, wodurch die allgemeine Sicherheitslage bei Benutzerregistrierungen verbessert wird.
Notwendigkeit einer optimierten und sicheren Registrierung
In der Vergangenheit priorisierten unsere Browser-basierten Abläufe die Registrierung auf einem Mobilgerät. Wenn ein Benutzer versuchte, eine Okta Verify-Registrierung zu seinem Account hinzuzufügen, konnte er entweder einen im Browser angezeigten QR-Code mit einem Mobilgerät scannen oder eine SMS oder E-Mail mit einem Aktivierungslink an das Mobilgerät senden, um sich zu registrieren.
Der bisherige Ansatz war mit mehreren Problemen verbunden:
- Eingeschränkte mobile Registrierung: Benutzer, die bereits ihr Mobilgerät nutzten, konnten den QR-Code nicht scannen und mussten daher auf die weniger sichere SMS- oder E-Mail-Methode zurückgreifen.
- Eingeschränkte Desktop-Registrierung: Benutzer auf einem Desktop-Gerät konnten den Browser-basierten Ablauf nicht verwenden, um sich auf demselben Gerät zu registrieren, und mussten sich im Prinzip auf einem separaten Mobilgerät registrieren.
- Sicherheitsrisiko: Das kritischste Problem war, dass die QR-, E-Mail- und SMS-Registrierungsmethoden von Natur aus unsicher sind, da ein böswilliger Akteur den QR-Code, die E-Mail oder die SMS leicht abfangen könnte, um sein eigenes Gerät zu registrieren.
Der neue Ansatz
Es wurde ein neues Modell benötigt, mit dem sich Benutzer sicher auf dem registrierenden Gerät authentifizieren können, damit die Authentifizierungsrichtlinien des Unternehmens beachtet werden. Bei Unternehmen, die die neueste Okta Identity Engine verwenden, konnten sich Benutzer bereits sicherer registrieren, indem sie sich manuell über OIDC authentifizierten, um die entsprechenden Authentifizierungs-Token für die Registrierung abzurufen. Daher haben wir uns dazu entschieden, den bestehenden Ablauf zu übernehmen, die Benutzer jedoch über einige halbautomatische Pfade durch den Prozess zu führen.
Wenn diese Funktion aktiviert ist und der Benutzer versucht, sich über das Sign-in-Widget bei Okta Verify zu registrieren, führt der Browser den automatischen Launch der Okta Verify-App durch. Die App leitet den Benutzer dann zu einem OIDC-Ablauf weiter, wo er ein Authentifizierungs-Token mit den entsprechenden Berechtigungen und Berechtigungsbereichen für die Registrierung erhält.
Dieser neue Ansatz stellt in puncto Sicherheit einen erheblichen Fortschritt dar. Der neue OIDC-basierte Ablauf verzichtet auf die anfälligen Browser-basierten Registrierungsmethoden auf Mobilgeräten und gewährleistet dadurch einen Phishing-resistenten und intuitiven Registrierungsprozess.
Verwenden der Registrierung auf dem gleichen Gerät
Damit Sie die Registrierung auf dem gleichen Gerät aktivieren können, muss FastPass in Ihren Okta Verify-Authentifizierungseinstellungen aktiviert sein.
Konfigurieren Sie die Sicherheitseinstellungen für Okta Verify wie folgt:
- Hohe Sicherheit: Wählen Sie „High security“ (Hohe Sicherheit), um die Registrierung auf dem gleichen Gerät als exklusive Methode für die Okta Verify-Registrierung durchzusetzen.
- Beliebige Sicherheit: Wählen Sie „Any security“ (Beliebige Sicherheit), um Benutzern die Möglichkeit zu bieten, sich zusätzlich zur Registrierung auf dem gleichen Gerät über mobile Methoden zu registrieren.
Weitere Unterstützung zu diesen Einstellungen finden Sie in der Dokumentation.
Flussdiagramm
Haben Sie Fragen zu diesem Blog-Beitrag? Kontaktieren Sie uns unter eng_blogs@okta.com.
Entdecken Sie weitere aufschlussreiche Blogs der Entwickler von Okta, um Ihr Wissen zu erweitern.
Sie möchten Teil unseres fantastischen Technikerteams werden? Dann besuchen Sie unsere Karriere-Seite.
Nutzen Sie das Potenzial von modernem und fortschrittlichen Identity-Management für Ihr Unternehmen. Kontaktieren Sie unseren Vertrieb für weitere Informationen.
