Moderne Authentifikationssysteme. XignQR

Transkript

1 XignSYS the X in signatures Moderne Authentifikationssysteme XignQR the Quick Response authentication & signature system Markus Hertlein Institut für Internet-Sicherheit & XignSYS Cebit

2 XignSYS the X in signatures Unsere Vernetzte Welt Gesamter Alltag digital und Vernetzt Unzählige Accounts (Ø > 17 á User) Immer sensiblere Daten!= kompliziert in Pflege, Wartung und Selbstbestimmung

3 XignSYS the X in signatures Authentifizierungsmittel Passwortbasierte Authentifizierung immer noch am meistgenutzte Form Einige Ansätze um Authentifizierung sicherer zu machen Multifaktorauthentifizierung auf dem Vormarsch aber noch nicht großflächig im Einsatz Viele nicht interoperable Insellösungen Authentifizierungslandschaft entweder unsicher oder benutzerunfreundlich Problematisch für Anwender, Anbieter und Unternehmen

4 Passwortauthentifizierung Passwörter können einfach erraten werden oder können nur schwer behalten werden oder werden für mehr als ein Benutzerprofil verwendet und sind anfällig für eine Vielzahl von Angriffen (Phishing, Bruteforce,..) Schaffen Unsicherheit Erzeugen Verwaltungsaufwand Erzeugen somit Kosten

5 Sichere Authentifizierung? One-Time-Passwords / TANs Gestohlenes 'root secret' korrumpiert gesamtes System (Vgl. Lockheed Martin und RSA SecurID) Die meisten Probleme von Passwörtern bleiben bestehen Challenge Response Benötigt spezielle Hardware Begrenzte Anzahl an Use Cases

6 XignSYS the X in signatures XignQR the Quick Response authentication and signature system Interoperabel und einfache Integration Hohe Sicherheit / geringe Komplexität PKI basierte Challenge Response Multifaktor-Authentifizierung Adaptive Sicherheit / Usability Verzicht auf Zusatzhardware Erhöhen der Benutzerfreundlichkeit Datenschutz und Selbstbestimmung Datensparsamkeit bei Verwendung von Nutzerdaten

7 XignSYS the X in signatures XignQR the Quick Response authentication and signature system Ein System das den Schwächen heutiger Systeme entgegenwirkt... Sicherheit erhöht... dem Nutzer die Möglichkeit zum Verstehen und Handeln gibt... dem Nutzer das einfache und sichere Nutzen von Diensten ermöglicht... Anbietern, Organisationen und Unternehmen hilft Kosten zu sparen und Abläufe zu vereinfachen

8 XignSYS the X in signatures XignQR Konzept und Merkmale QR Code / NFC als Einsprungspunkt Personalisiertes Smartphone als PAD Trennung von Prozessen und Datenerfassung Trusted Third Party Flexible Anbindung über bestehende Protokolle System wächst in die Umgebung nicht die Umgebung an das System Gänzlicher Verzicht auf Passwörter nutzen starker Kryptographie Gewährleisten von Integrität, Authentizität und Vertraulichkeit

9 XignSYS the X in signatures XignQR Ablauf 1. Nutzer bekommt QR Code präsentiert Bei Login / Shopping / Transaktionen / Signaturen 2. Nutzer scannt/fotografiert QR Code 3. Nutzer prüft Daten und bestätigt 4. Fertig!

10 XignSYS the X in signatures XignQR Sicherheit QR Code / NFC als Einsprungspunkt Personalisiertes Smartphone als PAD Trennung von Prozessen und Datenerfassung Trusted Third Party Gänzlicher Verzicht auf Passwörter nutzen starker kryptogrphie Flexible Anbindung über bestehende Protokolle System wächst in die Umgebung nicht die Umgebung an das System

11 Die Innovation: XignQR Authentifizierung & Signaturen durch QR Codes 1. Nutzer bekommt QR Code präsentiert Bei Login / Shopping / Transaktionen / Signaturen 2. Nutzer scannt/fotografiert QR Code 3. Nutzer prüft Daten und bestätigt 4. Fertig! Die 4. Generation Datensicherheit Für Nutzer: Schneller, komfortabler, übersichtlicher, sicherer Für Anbieter: Kostenreduzierend, sicherer, wartbarer, flexibler Sicherheit und Risikomanagement auf Bank-Niveau 11

12 XignQR Konzept QR Code als Einsprungspunkt Smartphone als persönliches Authentifizierungsdevice Gesteigerte Sicherheit durch Security Token (optional) Public-Key-Infrastruktur gestützt Passwortlose sichere Authentifizierung Nutzen und Einhalten von Standards wo es möglich ist Authentifizierung in unzähligen Szenarien Nutzererfahrung und Akzeptanz als Gut Verzicht auf zusätzliche Hardware wie Lesegeräte Sicherheit und Einfachheit bei allen Prozessen 12

13 XignQR Merkmale Eine Registrierung und Plattformunabhängigkeit Viele Anwendungen und Märkte in der realen und digitalen Welt mit riesigen Kundenklientel Datenschutz und sicherheit made in Germany Höchste Sicherheitsmerkmale und Datensparsamkeit Nicht trackbar und die Möglichkeit zur Pseudonymität Einfache Integration, Wartbarkeit und Risikomanagement Reduzierte Komplexität Geringe Interaktion Einfach, schnell, benutzerfreundlich Keine Passwörter, nur scannen, bestätigen, fertig! Hohe Nutzerakzeptanz und schnelle Verbreitung QR Code + Smartphone: kleiner Absprung, höher Conversions Verwendung aus der Cloud oder on-premise Kosten- und aufwandsreduzierend 13

14 XignQR Vorteile Nutzer Keine zusätzlichen Schritte Nur noch Scannen und Bestätigen Kein Passwort und Benutzername Weniger Interaktion Kein Suchen oder Probieren von Benutzernamen-Passwort-Kombinationen Einfache Registrierung Datenhoheit und Verwaltbarkeit Eine Registrierung ein Account keine Datenstreuung minimaler Verwaltungsaufwand Gesteigertes Bewusstsein Weiß jederzeit was, wann, wieso zu tun ist prägnante Hinweise, z.b. Ausführungsreihenfolge oder benötigte Daten für... Bessere Nutzungserfahrung 14

15 XignQR Vorteile Anbieter Interoperabilität Ein System für zahlreiche Anwendungen, auch organsiationsübergreifend nutzbar Einfache Integration Bedienen von Standards + Smartphone + QR Code Client Library für nicht standardisierte Abläufe und Protokolle Reduzierte Komplexität Verhindert Konfigurationsfehler und somit Sicherheitslücken Ermöglicht das Einsparen von teuren Know-How Einfache Wartbarkeit Schnelle Reaktion auf Änderungen und komfortables Risikomanagement Gesteigerte Attraktivität Modern, Jung, Dynamisch Optimierte Businessprozesse bei gesteigerter Sicherheit und reduzierten Kosten 15

16 XignQR Vergleich Authentifizierung & Signaturen Heutige Situation XignQR Situation 16

17 XignQR Sicherheit Starke passwortlose Multifaktor-Authentifizierung Nicht anfällig für Brute-Force und Phishing Kontextbasierte Informationen erhöhen die Glaubwürdigkeit, Echtheit und Vertraulichkeit E2E-Verschlüsselung und mutual Authentication verhindern Man-In-The-Middle-Attacken und Datendiebstahl Schnelles und effizientes Risikomanagement (vgl. Verlust von EC-, Kredit-, SIM-Karte) Verzicht auf sichtbar sensiblen Informationen QR Code enthält nur Session-Informationen, keine Kontodaten Zweiter Kanal neben dem Browser zu Absicherung und Verifizierung der Daten 17

18 Kontakt Room for Questions Wenn sie Fragen haben, zögern sie nicht uns zu kontaktieren Pascal Manaras XignSYS Markus Hertlein XignSYS 18