Wissensbasierte Authentifizierung

Sie haben Betrugsversuche satt, sind es leid, sich mit Kundenbeschwerden auseinandersetzen zu müssen, möchten jedoch nicht in teure, schwerfällige und zeitraubende manuelle Prozesse investieren, die die Geduld Ihrer technisch versierten Kundschaft auf die Probe stellen. Dann ist Online-Identitätsverifizierung genau der richtige Weg für Sie; allerdings wäre da noch die Frage, für welche Richtung Sie sich entscheiden sollen. Es gibt natürlich die altbewährten Methoden, die seit Jahren verwendet werden. Dann gibt es aber auch noch die neuen, modernen Verfahren, deren Entwickler kühne Versprechungen machen. Wenn soll man da wählen, und warum? Wir werfen einen Blick auf drei wichtige Verfahren in der Welt der Identitätsverifizierung und -authentifizierung, um zu sehen, was sie jeweils zu bieten haben.

Wissensbasierte Authentifizierung

(Knowledge-Based Authentication, KBA)

KBA beruht im Wesentlichen darauf, dass einem Anwender Fragen gestellt werden, auf die nur er die Antworten kennt. Werden die korrekten Antworten gegeben, gilt die Identität des Anwenders als nachgewiesen. Bei der statischen KBA, die für die erneute Authentifizierung eines Anwenders verwendet wird, werden Fragen gestellt, die vom Benutzer bei der Anmeldung festgelegt wurden. Im Rahmen der dynamischen KBA werden dem Anwender zufällige Fragen gestellt, die auf Informationen aus öffentlichen und privaten Datenbanken wie Kreditagenturen beruhen. Die Verwendung dieses Protokolls ermöglicht Unternehmen die Verifizierung der Identitäten neuer Kunden während des Onboardings, da die personenbezogenen Daten „geheim” sind und die Fragen nicht im Voraus festgelegt werden. Unter der Voraussetzung, dass Fragetypen sorgfältig ausgewählt werden, ausreichende historische Tiefe aufweisen und auf sicheren Quellen beruhen, gilt KBA als eine robuste Methode.

Die vielen öffentlich bekannt gewordenen Datenschutzverletzungen und Hacks „sicherer” Datenbanken in den letzten Jahren zeigen jedoch, dass private Informationen nur so sicher sind wie die Einrichtungen, die sie speichern. Angesichts von Vorfällen wie dem Equifax-Einbruch im Jahr 2017, im Zuge dessen auf die sensiblen personenbezogenen Daten von 143 Millionen Amerikanern zugegriffen wurde, oder der Preisgabe von 3 Milliarden Yahoo-Konten im Jahr 2013 stellt sich die Frage, wie sicher diese Verifizierungsmethode wirklich ist. Wenn solche zentralisierten Datenbanken, die attraktive Ziele für moderne Hacker darstellen, gefährdet sind und gehackt werden können, läuft Ihr einst sicheres Unternehmen Gefahr, Opfer eines folgenreichen Einbruchs zu werden.

Zwei-Faktor-Authentifizierung

Bei der Zwei-Faktor-Authentifizierung handelt es sich um ein weit verbreitetes Protokoll, das am häufigsten für die Re-Authentifizierung verwendet wird. Im Rahmen dieser Methode werden Anwender aufgefordert, den Zugriff auf ein Gerät, Konto oder Token in ihrem Besitz nachzuweisen. Zum Beispiel können Anwender aufgefordert werden, einen Code anzugeben, den er aus einem sekundären Authentifizierungstoken oder „Fob” bezieht, auf das nur sie Zugriff haben und das selbst passwortgeschützt sein kann. Hier stellt sich die Frage der Praktikabilität. Was ist, wenn Sie Ihr Token nicht bei sich haben, es vielleicht verloren haben oder dessen Passwort vergessen haben? Was eigentlich ein einfaches und problemloses Verfahren sein könnte, kann sich als wenig geeignet und im schlimmsten Fall als frustrierend erweisen.

Die gebräuchlichste Methode sowohl für die Re-Authentifizierung als auch für die Verifizierung der Identität neuer Kunden ist das SMS-Protokoll. Hierbei werden Nutzer aufgefordert, ihre Mobilfunknummer anzugeben. Das Unternehmen hat eine Partnerschaft mit Mobilfunkbetreibern oder Dritten abgeschlossen und sendet einen Bestätigungscode per SMS an das vermeintliche Handy des Nutzers. Die Eingabe des Codes beweist, dass der Nutzer im Besitz des Telefons und Eigentümer des Telefonkontos ist und den zugehörigen Anmeldeinformationen zugeordnet werden kann. Die Methode ist einfach zu integrieren und zu bedienen. Sie gehört aber zunehmend zu den unsichersten. Die Methode hat sich einfach nicht so schnell weiterentwickelt wie die Fähigkeiten von Hackern, SIM-Karten zu manipulieren oder die verschlüsselten Nachrichten abzufangen. Die mit der SMS-Verifizierung verbundenen Risiken veranlassten sogar das National Institute of Standards and Technology (NIST) in den USA dazu, eine weniger häufige Verwendung dieser Methode zu empfehlen.

Digitale Identitätsverifizierung

Und nun zum neuen Star der Branche – der digitalen Identitätsverifizierung. Mit Fortschritten in den Bereichen Machine Learning, KI und Computer Vision hat diese Methode mit einem Paukenschlag die Bühne betreten. Der wesentliche Unterschied dieser Lösung besteht darin, dass sie keine Dienste oder Datenbanken Dritter benötigt und die direkte Verifizierung einer Person ermöglicht. Die Vorteile dieser Methode kommen am deutlichsten beim Onboarding für Neukunden, das einen komplizierteren Anwendungsfall darstellt, zum Tragen. Jedoch kann die digitale Identitätsverifizierung auch für die Re-Authentifizierung verwendet werden.

Mit den Augen von Handy oder Desktop-Kameras verifiziert ein sorgfältig trainiertes Programm die Authentizität staatlicher Ausweisdokumente und prüft in den fortschrittlicheren Lösungen darüber hinaus auf Fälschungsversuche und das Vorhandensein von Sicherheitsmerkmalen. Im nächsten Schritt wird das Ausweisfoto mit einem Video-Selfie verglichen, wobei als Vorkehrung gegen Betrüger, die eine Maske tragen oder einfach ein Foto in die Kamera halten, auch Lebendigkeitsprüfungen durchgeführt werden. Die Methode verzichtet auf Datenbanken, die gehackt und Authentifizierungscodes, die abgefangen werden können. Sie stellt ein klassisches Duell zwischen Smart Tech und Old-School-Betrüger dar, bei dem sich der Betrüger mit den doppelten Schutzmechanismen von Ausweis- und Identitätsauthentifizierung konfrontiert sieht.

Einige meinen, dass dieses Vorgehen zu sehr in Persönlichkeitsrechte eingreift, wenn nach einem Selfie verlangt wird. Fragen Sie die Selfie-Stick-Generation von heute – haben Sie keine Zweifel, Millennials werden davon angezogen wie eine Ente vom Wasser. Darüber hinaus reicht allein die Selfie-Anforderung oft schon aus, weniger gut ausgerüstete und informierte Betrüger abzuschrecken. Andere Kritiker sagen, dass die Technologie noch einen langen Weg vor sich habe und Betrüger aufholen würden. Da die Technologie jedoch den Disziplinen KI und Machine Learning angehört, in die umfangreiche Investitionen getätigt werden, hat sie viel Potenzial zur kontinuierlichen Weiterentwicklung und Verbesserung. Auch wenn die Technologie noch einen langen Weg vor sich hat, ermöglicht sie bereits heute neue Funktionen wie die sichere Verifizierung der Identität neuer Kunden, ohne dass diese sich vor Ort befinden müssen, was zu schlankeren Geschäftsmodellen und einer schnelleren Erzielung von Einnahmen führt. Das ist kein schlechter Anfang.

Sie interessieren sich für das Thema der wissensbasierten Authentifizierung oder suchen nach einer Lösung dazu? Dann kontaktieren Sie uns gerne!