2FA richtig implementieren: Risiken und Legacy

Zwei-Faktor-Authentifizierung (2FA) begleitet uns User schon seit vielen Jahren. Grundsätzlich ist es ein sehr probates Mittel, um die Sicherheit von Authentifizierungen zu erhöhen, lässt sich aber durch eine falsche oder veraltete Anwendung leicht aushebeln.

Bei der Implementierung von 2FA gibt es nämliche einige Risiken, die man beachten muss, um eine widerstandsfähige Lösung zu erstellen. Eine bedrohungsorientierte Analyse ist daher unerlässlich, um zielgerichtet Maßnahmen gegen Missbrauch definieren zu können.

Neben etablierten Standards gibt es auch gesetzliche Vorgaben oder Compliance-Anforderungen an die Sicherheit von Authentifizierungsverfahren, die sich nur mit Zwei-Faktor-Authentifizierung umsetzen lassen.

Dieser Vortrag zeigt die verschiedenen Herangehensweisen und Risiken bei der Implementierung von Zwei-Faktor-Authentifizierungen. Anhand eines Praxisbeispiels zeigt er die Implementierung des 2FA-Verfahrens mittels Smartphone und Biometrie und führt dabei durch die Tiefen und Untiefen kryptografischer Details, Plattformen und Konventionen.

Lernziele

• Gesetzliche und Compliance-Anforderungen an 2FA
  
• Bedrohungsbasierte Risikoanalyse
  
• Beispielkonzept für ein 2FA-Verfahren für medizinische Anwendungen
  
• Praxisbeispiel für die Implementierung auf iOS, Android und NodeJS