PostFinance setzt auf sicheren und nutzerfreundlichen Login mit Nevis
Ausgangslage
Bereits seit rund 15 Jahren arbeiten PostFinance und Nevis vertrauensvoll zusammen und diskutieren gemeinsam offen über Zukunftsthemen und ihr Potenzial. Dabei kam auch der Wunsch zur Sprache, einen einheitlichen digitalen Zugang zur Banking-Plattform zu etablieren. Ursprünglich standen den Kunden der Retail-Bank zwei unterschiedliche Verfahren zur Verfügung, um sich einzuloggen: per Kartenlesegerät oder per Mobile ID. Zur Nutzung auf Mobil-Geräten existierte zudem ein sogenannter „Schnellservice“, bei dem Passwort oder Touch ID zur Anwendung kamen. Die Funktionalität des Schnellservice war jedoch sehr limitiert, da die zugrunde liegenden Sicherheits- und Authentisierungstechnologien die Anforderungen für eine vollständige Mobile-Banking Lösung nicht erfüllten.
Während die beiden ersten Konzepte den Usern uneingeschränkten E-Finance-Zugang bei eingeschränkter Benutzerfreundlichkeit ermöglichten, konnte die Schnellservice-App mit einem guten Benutzererlebnis punkten, aus Sicherheitsüberlegungen jedoch bei deutlich verringertem Funktionsumfang. Das Ziel beider Partner lautete deshalb: Ein einheitlicher Zugang per App – sowohl auf dem Smartphone als auch am Desktop.
Lösung
Umgesetzt werden sollte dieses Ziel mit einem softwarebasierten Authentisierungsverfahren mit zweitem Faktor nach FIDO UAF, dem Industriestandard für die passwortfreie Authentifizierung. Das Funktionsprinzip: Nach der Registrierung kann sich der User mit seinem Gerät beim Onlinedienst anmelden, ohne jedes Mal ein Passwort eingeben zu müssen. Zur Authentifizierung des Nutzers wird auf verschiedene biometrische Merkmale wie Fingerabdruck oder Gesicht zurückgegriffen.
Bereits zu Projektbeginn wurde festgelegt, auf welchen Betriebssystem-Versionen die App überhaupt laufen sollte – aus Sicherheitsgründen kamen dafür besonders alte Versionen nicht in Frage. Ein weiteres Sicherheitselement ist der Schutz der Mobile App, das sogenannte Hardening. Dabei wird beispielsweise geprüft, ob ein Jailbreak oder Root des Smartphones vorliegt, was die Sicherheit massiv beeinträchtigt.
Die fertige Lösung deckt das komplette Identity- und Access-Management des E-Finance Portals von PostFinance ab und gewährleistet den sicheren Zugang der Endkunden via Desktop oder Mobile-Gerät. Sämtliche Login-Verfahren sind über den Authentisierungsservice nevisAuth mit der zentralen Access Management-Infrastruktur integriert. Stand August 2020 haben rund 1,1 Millionen User das neue Login-Verfahren aktiviert, pro Monat kamen rund 50’000 Neuregistrationen hinzu.
