Nevis Identity Suite – Authentication

Was ist starke Authentifizierung?

Authentifizierung ist der Vorgang, bei dem überprüft wird, ob Sie die Person sind, für die Sie sich ausgeben.

Authentifizierungsmechanismen in Computersystemen können viele verschiedene Formen annehmen. Die bekannteste ist die Kombination aus Benutzername und Passwort. Sie dürfen mit einem bestimmten Benutzernamen auf ein System zugreifen, wenn Sie das richtige Passwort für diesen bestimmten Benutzernamen kennen.

MFA (Multi-Factor Authentication) ist konzeptionell Teil des umfassenderen Themas Authentifizierung, ebenso wie die adaptive Authentifizierung und die risikobasierte Authentifizierung.

Unterstützte Authentifizierungsmechanismen

Kuratierte Anmeldeinformationen

Etwas, das nur der Benutzer weiss:

Passwort
Gerätespezifisches Passwort
Kontextspezifisches Passwort
FIDO UAF PIN-Code-Authentifikator

Etwas, das nur der Benutzer besitzt (Token):

Temporäres starkes Passwort (SSHA256)
URL-Ticket
PUK (Persönlicher Entsperrschlüssel)
Wiederherstellungscodes
Vasco Digipass-Token
RSA SecurID und Safeword
mTAN (SMS)
OATH (HOTP, TOTP) – wird beispielsweise von Google und Microsoft Authenticators verwendet
OTP mit Rasterkartenunterstützung
Mobile Signatur (Swisscom MobileID)
Kerberos-Tickets
X.509-Zertifikate
FIDO UAF Privater Geräteschlüssel
FIDO2 / WebAuthn Privater Geräteschlüssel
FIDO2 / WebAuthn Sicherheitsschlüssel (Yubikeys usw.)

Etwas, das nur der Benutzer ist:

FIDO UAF Plattformbiometrie (Fingerabdruck, Gesichtserkennung)
FIDO2 / WebAuthn Plattformbiometrie (Fingerabdruck, Gesichtserkennung)

Erkennungs- und Risikosignale

Passive Verhaltensbiometrie:

Tippverhalten – BehavioSec

Kontextbezogene Daten:

IP-Adresse
IP-Reputation
Geolokalisierung
Geräte-Fingerabdruck
Bedrohungssignale (Arxan Threat Analytics)

Ausgewählte Sicherheitsfragen:

Sicherheitsfragen

Modularer Authentifizierungsdienst

Nevis unterstützt viele Authentifizierungsmechanismen. Diese werden jedoch selten isoliert verwendet. Oft kombiniert man sie für mehr Sicherheit oder setzt sie parallel für verschiedene Benutzergruppen oder Anwendungsfälle ein. Einige Beispiele:

Ein Benutzer wird nach seinem Benutzernamen und Passwort gefragt. Er wird dann mit einer Benachrichtigung auf seinem Smartphone dazu aufgefordert, die Nevis Access App zu öffnen und den Zugriff zu genehmigen. Dieses Verfahren eignet sich für Banken und andere hoch sicherheitskritische Anwendungsfälle und ist eine 3FA-Kombination aus:
- (Benutzername, Passwort) – etwas, das nur der Benutzer weiss
- (Privater FIDO UAF Key auf dem Smartphone) – etwas, das nur der Benutzer besitzt (digitaler Token)
- (FaceID / TouchID) – Biometrische Eigenschaft – etwas, das nur der Benutzer ist oder tut
Ein Benutzer wird nach seinem Benutzernamen und Passwort gefragt und erhält dann einen SMS-Code auf sein Telefon. Dies wäre eine 2FA-Kombination aus:
- (Benutzername, Passwort) – etwas, das nur der Benutzer weiss
- (OPT / einmaliger Code, der an das Telefon des Benutzers gesendet wird) – etwas, das nur der Benutzer besitzt (der Code ist ein digitaler Token)

Dank der Authentifizierungs-Engine können Sie die von Nevis unterstützten Authentifizierungs- und Föderationsmechanismen kombinieren:

Unterstützung mehrstufiger Authentifizierungsworkflows
Implementieren Sie mehrere unabhängige Workflows innerhalb einer Authentifizierungs-Engine
Integration von Identitätsföderationsprotokollen wie SAML2, WS-Federation und OpenID Connect
Unterstützung verschiedener Token-Formate, zum Beispiel SAML-Assertion, die X.509-Benutzerzertifikate oder JWT-Token
Vorkonfigurierte Vorlagen für typische Authentifizierungsschritte
Unterstützung vollständig kundendefinierter Authentifizierungsschritte in Java und Groovy
Unterstützung für Ende-zu-Ende-Verschlüsselung
Dynamische Anpassung/Upgrade der Authentifizierungsstärke zur Verbesserung der Sicherheit
OOTB-Integration von Autorisierungsinformationen wie Rollen und Berechtigungen in Token, um ein detailliertes und feinkörniges Authentifizierungssystem einzurichten
API zur einfachen Integration mit Drittsystemen

FIDO-Authentifizierung mit Passkeys

Passkeys in Verbindung mit Nevis stehen für starke Authentifizierung, bei der ein User einen eindeutigen Key anstelle eines Passwortes nutzt, um seine persönliche Identität zu verifizieren. Weitere Informationen über die passwortlose Zukunft mit Passkeys finden Sie in unserem Blogbeitrag.

Wie funktioniert Authentifizierung mit Nevis?

Während des Einloggens sammelt und bewertet Nevis automatisch verschiedene Signale aus dem aktuellen Benutzerkontext – zum Beispiel:

Ihr aktueller Standort (Geo-Standort)
Ihre Reisedistanz (Geogeschwindigkeit), wenn Sie sich zuvor von anderen Standorten aus angemeldet haben
Ihr Gerät mit fortschrittlichem Fingerabdruck
Ihre beabsichtigte Aktion
Ihre Quellen-IP-Reputation, basierend auf externen IP-Reputationsdiensten

Basierend auf diesen verschiedenen Eingaben für jede Authentifizierung erstellt Nevis kontinuierlich ein Risikoprofil für den Benutzer. Reagieren Sie auf bestimmte Ereignisse und Risikoszenarien – zum Beispiel die Anmeldung von einem neuen Gerät oder eine unmögliche Reise (eine Anmeldung innerhalb weniger Stunden sowohl von Berlin als auch von San Francisco aus) – und entscheiden Sie sich, den Benutzer zu benachrichtigen oder über Multi-Faktor-Authentifizierung zusätzliche Mittel zur Authentifizierung bereitzustellen.

Auf Ereignisse reagieren

Neben der ausgefeilten und fortschrittlichen Risikoprofilierung von Nevis, die bis ins kleinste Detail auf Ihre spezifischen Anwendungsfälle abgestimmt werden kann, haben wir auch eine etwas einfachere, aber dennoch hocheffektive, regelbasierte Risiko-Engine entwickelt.

Wählen Sie einfach aus vordefinierten Ereignissen aus und bestimmen Sie das gewünschte Verhalten, das mit «Wenn-dann»-Regeln ausgelöst werden soll, und schon kann es losgehen.

Reagieren Sie mit Risikoprofilen

Mit Nevis haben Sie die Möglichkeit, Ihre adaptive Risiko-Engine vollständig und völlig frei zu konfigurieren. Sie können entscheiden, welche der kontextbezogenen und/oder zeitlichen Signale die Risiko-Engine berücksichtigen soll und wie diese Signale gewichtet werden. Sie definieren, welche Schwellenwerte festgelegt und welche Aktionen ausgelöst werden sollen, wenn ein Authentifizierungsversuch als riskant gekennzeichnet wird.

Erweiterter Geräte-Fingerabdruck

Die adaptive Authentifizierung stützt sich auf verschiedene Benutzersignale, um verdächtige Authentifizierungsversuche zu erkennen. Eines dieser Signale basiert auf einem Fingerabdruck des Benutzergeräts. Um ein Gleichgewicht zwischen Genauigkeit und Stabilität zu finden, haben wir in unserer adaptiven Authentifizierungslösung ein Verfahren mit mehreren Fingerabdrücken implementiert. Mehrere Fingerabdrücke erhöhen die Erkennung verdächtiger Authentifizierungsversuche und reduzieren die Anzahl falsch positiver Ergebnisse. Beide tragen zu einem besseren Kundenerlebnis bei.

Vorteile der passwortfreien Authentifizierung

Erhöhen Sie die Sicherheit durch passwortfreie Authentifizierung

Starke passwortlose Authentifizierung etwa durch Face ID oder Fingerabdruck ist durch kryptografische Schlüsselpaarungen sehr sicher und FIDO2-konform.

Reduzieren Sie Betrugsfälle um bis zu 99 % und stoppen Sie Angriffe auf Web-Applikationen mit gestohlenen Anmeldedaten.

Verhindern Sie Identitätendiebstahl und Reputationsschäden durch Datenklau.

Reduzieren Sie Kosten und machen Sie Ressourcen frei

Supportanfragen und Passwortprobleme werden beseitigt. Ihre IT-Mitarbeiter können sich anderen, wichtigeren Aufgaben zuwenden.

Teure Transaktionsgebühren für SMS-TAN entfallen.

Schaffen Sie eine einzigartige Customer Experience durch passwortfreie Authentifizierung

Kunden erwarten Benutzerfreundlichkeit und Sicherheit. Der Login-Prozess muss schnell, bequem und intuitiv sein.

Minimale Abbruchsrate beim Login-Prozess durch reibungsloses Kundenerlebnis.

Erweitern Sie die User Experience durch einfache Bedienung und Login auf mobilen Endgeräten.

Starke Authentifizierung