SECURITY23. August 2018

Das Tippverhalten ist (so gut wie) nicht kopierbar: Die Möglichkeiten der verhaltensbasierten Biometrie

Biometrie-Experte: Sebastian Mayer, Country Manager BehavioSec
Sebastian Mayer, Country Manager Central & Eastern Europe BehavioSecBehavioSec

Bei der Authentifizierung von Bankkunden beim Online- und Mobile-Banking ist eine Zwei-Faktor-Authentifizierung wie das TAN-Verfahren schon längst richtig und üblich. Viele moderne Angriffe zielen darauf ab, Login-Daten zu erbeuten, um sich Zugang zu fremden Konten zu verschaffen. Für die Sicherheit des Kunden ist ein zweiter Faktor deshalb unerlässlich, aber das Mittel der Wahl sollte gut gewählt werden, um Sicherheit zu einem sinnvollen Preis zu gewährleisten. Noch sicherer als Biometrie ist verhaltensbasierte Biometrie.

von Sebastian Mayer, Country Manager Central & Eastern Europe bei BehavioSec

Biometrische Verfahren sind ein beliebter Kandidat für den zweiten Authentifizierungs-Faktor, weil Merkmale wie Fingerabdrücke und Venenmuster sehr individuell und immer verfügbar sind. Allerdings darf nicht vergessen werden, dass der Sicherheitsgewinn durch Fingerabdrücke oft nur gering ist, weil er lediglich gespeicherte Keys freischaltet.

Die Authentifizierung mit einem Fingerabdruck geschieht meist nur zu Anfang einer Session, im Gegensatz zur verhaltensbasierten Biometrie, hier wird der User kontinuierlich authentifiziert.“

Vielversprechender ist deshalb eine verhaltensbasierte Biometrie, die das spezifische Tippverhalten des Nutzers analysiert und von Angreifern nicht imitiert werden kann.

BehavioSense
Die BehavioSense-Technologie von BehavioSec ist eine Sicherheitslösung, um Anomalien im Nutzerverhalten frühzeitig zu erkennen und eine kontinuierliche Authentifizierung zu ermöglichen. Die Lösung misst die unverwechselbare Kombination aus Eigenschaften des Tippverhaltens wie der Dynamik der Tastenanschläge, Berührung, Mausbewegungen und mehr, um für jeden Nutzer ein individuelles Profil seines Tippverhaltens zu erstellen und seine Identität zu bestätigen. Typische Angriffsszenarien wie der Einsatz von Bots, Reply-Angriffe, Microsoft Scram und ähnliche können dadurch schnell erkannt werden, um Gegenmaßnahmen einzuleiten oder bei Auffälligkeiten zusätzliche Authentifizierungsschritte einzuleiten.

Tippen Sie mal was … egal was

Dazu werden je nach Gerät die verfügbaren Messgrößen wie Tippgeschwindigkeit, Tastendruck, Ausrichtung und Bewegung des Smartphones, sowie Unterschiede wie die Nutzung des Nummernblocks im Gegensatz zu der Zahlenreihe oberhalb der Tastatur erfasst.“

Die gemessenen Werte werden beim Login ebenso wie während der Online-Session regelmäßig in einen Hashwert umgewandelt, der mit dem bisherigen Verhalten verglichen werden kann. Die Zuverlässigkeit dieser Authentifizierung gilt als sehr hoch, weil die Ergebnisse meistens sehr eindeutige Ergebnisse sind und bietet sich darüber hinaus für eine breite Vielzahl möglicher Einsatzszenarien an.

Verhaltensbasierte Biometrie: Laufend kleine Hash-Werte

Ein typisches Einsatzszenario ist der Microsoft Scam, bei dem sich der Angreifer als Supportmitarbeiter von Microsoft ausgibt und Vertrauen zu seiner Zielperson aufbaut. Natürlich hat er nichts mit Microsoft zu tun und zielt darauf ab, dass der Nutzer eine Remote-Session aufbaut, während er sich in sein Konto einloggt. Dazu wird dem Nutzer eine angebliche Serviceleistung für eine relativ geringe Summe angeboten, aber sobald das Login erfolgt ist, kann der Angreifer die Session übernehmen und die Summe unbemerkt manipulieren, sodass der Betrug meist erst Tage später auffällt. Bei einer kontinuierlichen Überwachung des Tippverhaltens fällt allerdings auf, wenn ein Bot oder eine andere Person über die Remote-Session die Eingaben manipuliert. Der Betrug fliegt auf und die Transaktion wird gestoppt.

Sebastian Mayer, BehavioSec
Sebastian Mayer ist Director Sales DACH/CEE bei BehavioSec, einem Anbieter für verhaltensbasiertes, biometrisches Identitätsmanagement, und vom Standort München aus verantwortlich für den Aufbau der DACH- und CEE-Region. Mit über 20 Jahre Erfahrung bei namhaften Herstellern in verschiedenen Bereichen der IT-Sicherheit hat er vielseitige Einblicke und ein tiefgehendes Verständnis für die Themen der IT-Sicherheit gewonnen.

Erfolgreich eingedämmt: Der Betrug durch Social Engineering

Die Zuverlässigkeit der verhaltensbasierten Biometrie konnte kürzlich eine europäische Bank demonstrieren, die mit einer Variante dieser Technologie erfolgreich einen größeren Betrug abgewendet hat. Ein Firmenkunde wurde über Monate ausspioniert und regelmäßig von einem vermeintlichen Mitarbeiter der Bank kontaktiert. Nachdem die Kriminellen beide Benutzerkonten der Firma ausspioniert hatten, versuchte sie mehrere Überweisungen zu tätigen.

Die Transaktion konnte gestoppt werden, weil das Tippverhalten nicht gestimmt hat und sie deshalb nicht legitimiert wurde.“

Fazit: Das typische Verhalten ermöglicht kontinuierliche Sicherung

Verhaltensbasierte Biometrie bietet als zweiter Faktor für die Authentifizierung viele Vorteile: Sie wirkt sich beispielsweise nicht negativ auf die Nutzererfahrung aus und kann den Nutzer während der gesamten Banking-Session kontinuierlich authentifizieren. Das umfasst allerdings nur den Anfang der Möglichkeiten, die die Technologie beinhaltet, um Schnittstellen zwischen Kunden, Mitarbeitern, Partnern und Unternehmen sicherer zu machen. Die Identifizierung bekannter Betrüger durch Banken oder Online-Händler ist ebenso eine Einsatzmöglichkeit, wie die Authentifizierung in einem VPN-Netzwerk, bei der keine persönlichen Daten ausgetauscht werden sollen.

In jedem Fall ist die Identifizierung des Nutzers über sein Tippverhalten ein erster Schritt, die Möglichkeiten dieser Technologie auszuschöpfen.“aj

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/76262 
 
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (10 Stimmen, Durchschnitt: 4,10 von maximal 5)
Loading...

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Studie: Banken zielen auf Plattformen-Business – ein übergreifendes Digitalkonzept fehlt aber noch vielen

Drei von vier Bankmanagern in Deutschland sehen für die kommenden...

Schließen