FastPass erweitert Phishing-resistente Authentisierung um gerätegebundene Passcodes
Eine robuste Access-Management-Lösung benötigt als Fundament eine starke MFA, die unterschiedlichste komplementäre Security-Faktoren vereint, um ein Höchstmaß an Sicherheit bereitzustellen. Nahezu alle Security-Experten – von den Cyber-Versicherern bis hin zu Branchen-Instituten wie NIST – empfehlen heute, MFA möglichst flächendeckend einzusetzen. Bei der Auswahl der zu implementierenden Security-Faktoren stehen biometrische Daten ganz oben auf der Liste der effektivsten Methoden zur Verifikation von Nutzeridentitäten – denn diese bieten einen wesentlich besseren Schutz vor Diebstählen und Spoofing-Angriffen als wissensbasierte Faktoren.
Die Kombination aus Biometrie und Okta FastPass, unserem Zero-Trust-basierten, Phishing-resistenten Authentifikator, der weit über die erste Zugriffsanfrage hinaus schützt, stellt die Weichen für eine sichere Authentisierung und eine zuverlässige Abwehr identitätsbasierter Angriffe.
Doch obwohl die biometrische Authentisierung, die auf einzigartigen, inhärenten Merkmalen der Menschen aufsetzt, das zuverlässigste Verfahren zur User-Verifizierung darstellt, sind einige Unternehmen noch zögerlich. Die effiziente Implementierung biometrischer Verfahren erfordert die richtige Soft- und Hardware – was vor allem für kleinere Unternehmen mit hohen Kosten verbunden ist. Manche Endanwender äußern zudem Bedenken mit Blick auf ihre Privatsphäre (dazu später mehr), oder sorgen sich darum, welche Daten vom Unternehmen erfasst und wie sie verarbeitet werden. In vielen Ländern regeln heute gesetzliche Vorgaben, wie Daten weitergegeben und gespeichert werden dürfen. Und schließlich ist da der Aspekt der Barrierefreiheit. Auch wenn die Computertechnologie mit Blick auf die Zugänglichkeit für Menschen mit Behinderung enorme Fortschritte gemacht hat, gibt es viele Anwender, für die ein Fingerabdruck-Scan oder eine Gesichtserkennung nicht möglich ist – und für diese ist der Login mit biometrischen Daten ungeeignet.
Wir bei Okta haben uns das Ziel gesetzt, unseren Anwender die sichersten verfügbaren Login-Verfahren zu bieten. Daher können Unternehmen beim Login über FastPass nun zwischen biometrischen Daten und gerätegebundenen Passcodes wählen – und bleiben so auch in Szenarien mit hohem Risiko jederzeit durch eine starke Authentisierung geschützt.
User-Verifizierung mithilfe von Biometrie oder gerätegebundenen Passcodes
FastPass ist eine Phishing-resistente, passwortlose Authentisierungstechnologie und Teil unserer Lösung Okta Verify, die das Risiko von Phishing-Angriffen, Session-Diebstählen und unautorisierten lokalen Aktivitäten minimiert. Jedes Mal, wenn ein Anwender auf eine geschützte Ressource zugreift, überprüft FastPass im Sinne einer Defense-in-Depth den Kontext des Devices und bietet dabei über alle wichtigen Plattformen und Endgeräte hinweg – ob gemanagt oder nicht – durchgehend eine hochwertige Experience. FastPass garantiert jederzeit eine zuverlässige Authentisierung und erreicht durch die Kombination der biometrischen Features des Endgeräts mit den Faktoren Besitz und Inhärenz ein Höchstmaß an Sicherheit. Anwender, deren Devices keine biometrischen Daten unterstützen oder die andere Methoden bevorzugen, können sich alternativ für FastPass mit Passcodes entscheiden – und so ebenfalls einen starken, Phishing-resistenten MFA-Schutz gewährleisten.
Wie Sie die User-Verifizierung beim Onboarding von FastPass einrichten
Beim Rollout von Okta Verify können Anwender jetzt neben der biometrischen Authentisierung auch die Verifizierung über einen Passcode wählen. Wenn sie diese Option aktivieren, werden die Endanwender aufgefordert, ihren Passcode zu bestätigen, was in der Regel bedeutet, dass sie ihr Smartphone-Kennwort oder ihre Windows Hello-PIN eingeben müssen. Dies trägt maßgeblich zur Barrierefreiheit bei, da sich so alle Nutzer mit Okta Verify und FastPass authentifizieren können – unabhängig von den Features ihres Geräts, eventuellen persönlichen Einschränkungen oder spezifischen Compliance-Vorgaben. Die Erweiterung ist aktuell im Early Access (EA) verfügbar. Mehr dazu erfahren Sie in der Produktdokumentation.
Benutzerverifizierung im Zuge der Authentifizierung mit FastPass
Wenn Sie heute eine Authentifizierungs-Policy bearbeiten oder erstellen, können Sie festlegen, dass die Endanwender ihre physische Anwesenheit nachweisen, um sich mit FastPass zu authentifizieren. Die Anwender können dieser Anforderung dann nachkommen, indem sie ihren Systempasscode eingeben oder die Identität biometrisch verifizieren. Diese Erweiterung ist bereits allgemein verfügbar. In der Produktdokumentation erfahren Sie mehr.
Warum ist ein gerätegebundener Passcode sicherer als ein Passwort?
Bevor wir erläutern, wie sich diese Verfahren auf Ihr Security-Standing auswirken, müssen wir zunächst über die Unterschiede zwischen gerätegebundenen Passcodes und Okta-Passwörtern sprechen. Wenn FastPass auf einem Gerät ausgerollt wird, generiert die Lösung einen eindeutigen, gerätegebundenen Key, der (je nach Verfügbarkeit) in einer Komponente wie einem TPM oder einer Secure Enclave gespeichert wird. Der Zugriff auf diesen Key, der online zur Authentifizierung bei Anwendungen oder Diensten dient, wird durch Biometrie oder durch eine lokale Authentifizierungsmethode wie einen gerätegebundenen Passcode geschützt. Dieser Ansatz stellt sicher, dass jeder Authentifizierungsprozess mit einem Schlüssel signiert wird, der nur für dieses spezielle Gerät gilt – was die Sicherheit nachhaltig erhöht. Im Gegensatz dazu ist Ihr Okta-Passwort – ein auf den Okta-Servern gespeicherter Begriff oder Passcode – so konzipiert, dass damit Zugriffe über jedes webfähige Gerät möglich sind. Dieses Security-Modell macht den Unterschied: Wird ein Okta-Passwort kompromittiert, kann es von jedem Gerät aus verwendet werden. Der gerätegebundene Key hingegen bleibt sicher, weil er ausschließlich am registrierten Gerät funktioniert. Das bedeutet auch: Selbst wenn ein Angreifer den gerätegebundenen Passcode erhält, wäre der damit entsperrte Schlüssel ohne das Gerät nutzlos. Das minimiert nicht zuletzt die Gefahr von Phishing-Angriffen, bei denen häufig gestohlene Zugangsdaten zum Einsatz kommen.
Und keine Sorge: Wir bei Okta haben keinen Einblick in Ihre biometrischen Daten.
Weltweit schützen heute zunehmend strenge Vorgaben an den Datenschutz und die Datensicherheit die Anwender vor der allgegenwärtigen Technologie – und diese Bestimmungen strahlen auch nachdrücklich auf die Art und Weise aus, wie Unternehmen mit den Daten der Anwender umgehen. So definiert beispielsweise der Illinois Biometric Information Privacy Act (BIPA) von 2008 klare Leitplanken für den Umgang mit biometrischen Daten, oft mit dramatischen Folgen für die Finanzen und den Ruf von Unternehmen.
Die Lösungen von Okta verarbeiten und speichern keine biometrischen Daten. Okta Verify und FastPass verwenden zwar biometrische Daten bei der Zwei-Faktor-Authentifizierung (2FA) – die typischerweise von den integrierten biometrischen Authentifikatoren von Notebooks und Smartphones bereitgestellt werden. Aber Okta registriert dabei lediglich den Austausch der kryptografischen Schlüssel zur Benutzerverifizierung, die eine erfolgreiche biometrische Authentifizierung anzeigen. Wir haben keinen Zugriff auf die biometrischen Daten. Mit anderen Worten: Verwendet ein Anwender in Okta Verify biometrische Daten zur Authentifizierung, werden diese nicht mit uns geteilt. Wir werden vom Betriebssystem des lokalen Geräts lediglich über die erfolgreiche (oder nicht erfolgreiche) Authentifizierung informiert. Die biometrischen Daten werden auf dem Gerät validiert – und ob das Gerät diese Daten speichert oder nicht, hängt ganz vom jeweiligen Hersteller ab. Je nachdem, ob Sie ein Gerät von Apple, ein Smartphone von Google oder einen anderen Rechner verwenden, können Sie in deren Dokumentationen mehr über die jeweiligen Datenschutz-Policies und ihren Umgang mit biometrischen Daten erfahren.
Und wie immer gilt: Sie entscheiden, ob Sie Biometrie nutzen möchten. Als Administrator oder Anwender können Sie die biometrische Technologie jederzeit über die Geräteeinstellungen aktivieren oder deaktivieren. Und mit der Passcode-basierten Verifizierung können Sie MFA mit FastPass jetzt auch ohne biometrische Daten durchsetzen.
Was tut sich sonst bei FastPass?
Hier bei Okta möchten wir sicherstellen, dass Ihre gesamte Workforce mit FastPass als dem sichersten Authentifikator auf dem Markt jederzeit auf ihre Anwendungen zugreifen kann. Dazu gehört es auch, dass wir über die Phishing-resistente Authentifizierung hinausgehen – und mit FastPass zusätzlich auch Phishing-resistente Wiederherstellungs- und Onboarding-Prozesse anbieten. So profitieren Sie mit Okta von einem rundum sicheren End-to-End-Management Ihrer Authentisierungsprozesse. Daher bietet Okta Administratoren jetzt ein deutlich höheres Maß an Flexibilität, wenn es gilt, bei der Anmeldung an Okta Verify die Weichen für die durchgängige Verwendung hochsicherer Faktoren auf Seiten der Endbenutzer zu stellen. Mehr dazu erfahren Sie in den neuen Authenticator-Einstellungen.
Darüber hinaus unterstützen Windows Okta Verify und FastPass ab sofort auch virtuelle Desktop-Infrastrukturen (VDI). Das neue Feature ist ab Windows Okta Verify 4.9 allgemein verfügbar. Zu den unterstützten Umgebungen gehören Windows 365, Citrix und AWS WorkSpaces. Um Windows Okta Verify für die Ausführung in virtuellen Umgebungen zu konfigurieren, setzen Administratoren einfach die Flag „AuthenticatorOperationMode“. Mehr dazu in unserer detaillierten Anleitung zur Konfiguration von Windows Okta Verify. Mit Blick auf eine robuste 2FA können Administratoren Okta Verify auch so konfigurieren, dass die Anwender automatisch aufgefordert werden, einen Passcode zu erstellen, der den Zugriff auf den gerätegebundenen Verifizierungs-Key schützt. Auf diese Weise können Unternehmen FastPass und Device-Posture-Checks kombinieren, um die Authentifizierungsprozesse in der virtuellen Windows-Umgebung optimal zu schützen. Die Endanwender können so jederzeit sicher und intuitiv von ihren virtuellen Desktops aus auf benötigte Ressourcen zugreifen – und sind jederzeit zuverlässig vor Phishing-Angriffen geschützt.
Wir freuen uns sehr darauf, Ihnen auch in Zukunft zahlreiche neue Innovationen und Verbesserungen an die Hand zu geben, die Ihnen ein Höchstmaß an Flexibilität und Visibilität garantieren – und Ihrem Unternehmen dabei helfen, jederzeit eine hochsichere Authentisierung der Zugriffe zu gewährleisten. Weitere Updates in Sachen FastPass werden also nicht lange auf sich warten lassen!
Haben Sie Fragen zu FastPass oder unseren Device-Security-Lösungen? Unsere Community hilft gerne weiter.
