2FA richtig implementieren: Risiken und Legacy

Zwei-Faktor-Authentifizierung (2FA) begleitet uns User schon seit vielen Jahren. Grundsätzlich ist es ein sehr probates Mittel, um die Sicherheit von Authentifizierungen zu erhöhen, lässt sich aber durch eine falsche oder veraltete Anwendung leicht aushebeln.

Bei der Implementierung von 2FA gibt es nämliche einige Risiken, die man beachten muss, um eine widerstandsfähige Lösung zu erstellen. Eine bedrohungsorientierte Analyse ist daher unerlässlich, um zielgerichtet Maßnahmen gegen Missbrauch definieren zu können.

Neben etablierten Standards gibt es auch gesetzliche Vorgaben oder Compliance-Anforderungen an die Sicherheit von Authentifizierungsverfahren, die sich nur mit Zwei-Faktor-Authentifizierung umsetzen lassen.

Dieser Vortrag zeigt die verschiedenen Herangehensweisen und Risiken bei der Implementierung von Zwei-Faktor-Authentifizierungen. Anhand eines Praxisbeispiels zeigt er die Implementierung des 2FA-Verfahrens mittels Smartphone und Biometrie und führt dabei durch die Tiefen und Untiefen kryptografischer Details, Plattformen und Konventionen.

Lernziele

  • Gesetzliche und Compliance-Anforderungen an 2FA
  • Bedrohungsbasierte Risikoanalyse
  • Beispielkonzept für ein 2FA-Verfahren für medizinische Anwendungen
  • Praxisbeispiel für die Implementierung auf iOS, Android und NodeJS

Speaker

 

Klaus Rodewig
Klaus Rodewig ist Entwicklungsleiter bei der modone GmbH sowie Mitglied im Expertenkreis Cyber-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnologie. Er ist Autor einer Vielzahl von Büchern über sichere App-Programmierung und publiziert regelmäßig zu den Themen IT-Sicherheit und Programmierung. Bei der modone GmbH vereint er seine Erfahrung aus über 20 Jahren Beratung, Betrieb und Software-Entwicklung, um im Kundenauftrag passgenaue und sichere Lösungen zu entwerfen und zu implementieren. Im Rahmen eines Lehrauftrags an der TH Brandenburg hat er im Bereich sichere Software-Entwicklung gelehrt und geforscht. 2020 war er Gründungsmitglied im Apple Security Research Device Program.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden