Was ist WioKey?

WioKey ist ein starker Multi-Faktor-Authentifikator, der einen hochsicheren, biometrisch-verifizierten, phishing-sicheren Zugang zu Online-Diensten bietet. Es besteht aus 2 Komponenten: die mobile WioKey-App und die WioKey-Companion-Browser-Erweiterung.

Die mobile App ist das Kernstück des WioKey-Authentifikators: eine hardware-gesicherte Speicherumgebung für Benutzerinformationen, die durch Verschlüsselung und Benutzerbiometrie geschützt sind und teure und unbequeme USB- und Hardware-Sicherheitsschlüssel ersetzt.

Die Browser-Erweiterung stellt die Schnittstelle auf den PCs, Laptops, Tablets und auf anderen Geräten zu den Online-Diensten dar.

Warum sollte ich WioKey verwenden?

WioKey bietet eine einfache, sichere und phishing-freie Anmeldung für die unterstützten Online-Dienste.

 

Als Multi-Faktor-Token ist es sicherer als herkömmliche One-Time-Passwords (OTP) und bietet dabeit starke Authentifizierungsgarantien vergleichbar mit Hardware-Sicherheitsschlüsseln, aber mit dem Komfort eines modernen Smartphones.
 
WioKey entspricht den neuesten Standards für den Online-Zugang mit Zwei-Faktor-Authentifizierung (2FA) und Multi-Faktor-Authentifizierung (MFA) und bietet dabei einen hardwaregestützten sicheren Speicher für Anmeldeinformationen und Zugangskontrollen. Durch moderne eingebettete biometrische und physische Berechtigungsprüfungen für jeden Berechtigungsnachweis bietet WioKey das höchste Sicherheitsniveau.

Welche Webseiten werden von WioKey unterstützt?

WioKey unterstützt alle Webseiten und Online-Dienste, die native Unterstützung für U2F / FIDO2 Sicherheitsschlüssel bieten. Für eine schnelle Übersicht und Einrichtung beginnen Sie [hier](https:/www.wiokey.de/tutorial).

Sind Sie daran interessiert, U2F/FIDO2-Unterstützung für Ihr Online-Produkt zu aktivieren ? Suchen Sie nach einem kommerziellen Einsatz und einer Integration mit WioKey ? Bitte kontaktieren Sie uns unter contact@wiosense.de.

Wie funktioniert WioKey ?

Die WioKey-Companion-Browser-Erweiterung empfängt die Authentifizierungsanfragen von den U2F/FIDO2 kompatiblen besuchten Webseiten, und kommuniziert dabei mit der mobilen Anwendung in Echtzeit um nach einer Bestätigung von einem 2FA / MFA-berechtigten Benutzern zu fragen.

Die mobile App benachrichtigt den Benutzer über die Login-Anfrage und bittet um eine biometrische Bestätigung, um mit dem Login fortzufahren und sich vollständig vor Phishing und Man-in-the-Middle-Angriffen zu schützen. Nach erfolgreicher Autorisierung antwortet das Handy dem WioKey-Companion mit dem Berechtigungsnachweis und den Anmeldeinformationen. Zusätzliche zeitliche und physische Aufforderungen gewährleisten ein erhöhtes Maß an Sicherheit.

Die WioKey-Companion-Browser-Erweiterung fügt den Berechtigungsnachweis in die Webseite ein und wartet auf die Authentifizierung, um den Anmeldevorgang abzuschließen.

HINWEIS: Die gesamte Kommunikation zwischen der mobilen WioKey-Anwendung und der WioKey-Companion-Browser-Erweiterung (dem WioKey Companion) wird mit der state-of-the-art symmetrischen AES-256-Verschlüsselung verschlüsselt, um höchste Vertraulichkeit und Integrität der Daten gemäß den Zero-Trust-Prinzipien zu gewährleisten.

Welche Handys unterstützt die WioKey Mobile App ?

Die WioKey App wird derzeit von Android (8.0+) unterstützt. Unterstützung für iOS (10.0+) ist in Arbeit.

Welche Browser unterstützt die WioKey-Companion-Browser-Extension ?

Die WioKey-Companion-Browser-Extension unterstützt derzeit die Browser Chrome, Edge und Mozilla Firefox.

Unterstützung für Safari ist geplant.

Warum verwenden Sie meine biometrischen Daten zur Autorisierung von Anmeldedaten und Zugriff ?

Aufgrund der sensiblen Natur der verarbeiteten Informationen nutzen wir die eingebettete biometrische Sicherheit Ihres Handys, um sicherzustellen, dass nur Sie allein in der Lage sind, Ihre Berechtigungsnachweise zu verwenden und zu verwalten. Ihre biometrischen Daten verlassen niemals Ihr Gerät. Zudem haben wir keinerlei Zugriff darauf, da sie vom Betriebssystem Ihres Handys isoliert behandelt werden.

Einfacher ausgedrückt: Ihre biometrischen Daten bieten eine weitere, isolierte, vertrauenswürdige Sicherheitsebene für das WioKey-Authentifizierer-Berechtigungsnachweis-Speichersystem und die Berechtigungsnachweisverwaltung. Dies macht WioKey zu einem echten biometrisch gestützten starken Authentifikator.

Kann ich die Anwendung ohne Biometrie verwenden?

Sie können jederzeit Muster / PIN / Passwörter zur Verifizierung verwenden. Es muss aber mindestens eine Art von Bildschrimsperre Verifizierung eingestellt und aktiviert sein.

Wie werden meine Anmeldedaten gespeichert ?

Wir speichern alle Ihre Anmeldedaten lokal auf Ihrem Handy im Keystore (Android) oder Secure Enclave (iOS). Die Verwendung Ihrer Schlüssel ist an eine verifizierte biometrische oder alternative Bildschirm-Entriegelungs-Authentifizierung gebunden.

Auf Android bedeutet dies, dass Ihre Anmeldedaten entweder in einer vom Hauptbetriebssystem isolierten ‚Trusted Execution Environment‘ oder in einem dedizierten und isolierten sicheren Hardwareelement (z.B. Pixel 2+) gespeichert werden. Dieses isolierte Keystore-Berechtigungsnachweis-Speichersystem bietet einen weiteren Zero-Trust-Verteidigungsmechanismus, der vor potenzieller Betriebssystem-Malware schützt.

In ähnlicher Weise werden die Berechtigungsnachweise auf iOS gespeichert und durch isolierte Hardware gesichert um den höchsten Sicherheitsstandard zu bieten.

Hat WioKey / WIOsense Zugang zu meinen privaten Berechtigungsnachweisen ?

Definitiv NEIN!

Die zu Ihren Credentials gehörenden privaten Informationen, d.h. der private Schlüssel, wird in einer isolierten Umgebung / einem sicheren Co-Prozessor Ihres Handys generiert und verlässt niemals Ihr Gerät.

Der Zugriff auf Ihre privaten Anmeldeinformationen ist hardwaregestützt und unterliegt einer starken biometrischen Authentifizierung, die Angriffe auf die Extraktion des Schlüssels aus der Ferne verhindert. Darüber hinaus übernimmt WioKey keine einzelne vertrauenswürdige Drittpartei oder Komponente. Bitte zögern Sie nicht, den öffentlich zugänglichen Open-Source-Code unter https://github.com/wiosense.

Kann ich meine Anmeldeinformationen löschen?

Sie können Ihre Anmeldedaten verwalten indem Sie in der App zu Credentials navigieren. Dort können Sie alle Ihre registrierten Anmeldedaten zusammen mit den relevanten öffentlichen Informationen, wie Benutzername, Online-Dienst/Webseite, Erstellungsdatum, Datum der letzten Nutzung einsehen. Sie können Ihre Anmeldedaten entweder einzeln verwalten oder den gesamten Authentifizierung zurücksetzen um dabei alle Anmeldedaten auf einmal zu entfernen. Beide Vorgänge erfordern eine Authentifizierung!

HINWEIS: Stellen Sie sicher, dass Sie vor dem Löschen eines Berechtigungsnachweises mindestens eine Backup-Option für die jeweilige Webseite eingerichtet haben. Das bedeutet, dass Sie entweder einen alternativen OTP-Code eingerichtet haben oder eine Liste von Wiederherstellungscodes, die von der Webseite selbst bereitgestellt wird, zur Hand haben. Wir empfehlen allerdings Wiederherstellungscodes.

Kann ich meine Anmeldedaten sichern / übertragen / wiederherstellen ?

Das Sichern und Wiederherstellen Ihrer Anmeldedaten ist zum jetzigen Zeitpunkt nicht möglich. Aus diesem Grund empfehlen wir allen, die allgemeinen U2F / FIDO2-Authentifizierungsempfehlungen zu befolgen und eine Backup-Lösung für die sekundäre Anmeldung zu haben (die nicht an das Handy gebunden ist) um eine Kontosperrung zu vermeiden.

Sie können jederzeit neue Anmeldedaten für dasselbe Konto registrieren, indem Sie die U2F / Sicherheitsschlüssel-Verwaltung des Online-Dienstes nutzen, für den Sie dies wünschen.

Wir arbeiten an Lösungen für Backup / Transfer / Wiederherstellung, aber das endgültige Veröffentlichungsdatum steht noch nicht fest. Bleiben Sie in Kontakt, um mehr zu erfahren!

Was passiert, wenn ich mein Handy verliere?

Sie brauchen keine Angst vor dem Missbrauch Ihrer Zugangsdaten zu haben, da Ihre biometrischen Daten erforderlich sind, um die App und / oder die Zugangsdaten nutzen zu können! Eine Wiederherstellung Ihrer Anmeldedaten ist zum jetzigen Zeitpunkt nicht möglich. Sie können aber die App auf einem neuen Gerät installieren und neue Schlüssel für Ihre bevorzugten Dienste registrieren. Ihre alten Anmeldedaten laufen automatisch ab oder können online für jede Webseite ungültig gemacht werden, wenn Sie Ihre Schlüssel neu registrieren.

HINWEIS: Stellen Sie sicher, dass Sie für jede Webseite, für die Sie WioKey verwenden, mindestens eine Backup-Option einrichten. Das bedeutet, dass Sie entweder einen alternativen OTP-Code einrichten oder eine Liste von Wiederherstellungscodes speichern, die von der Webseite bereitgestellt werden. Wir empfehlen gesicherte Wiederherstellungscodes!

Was ist, wenn ein Hacker Zugang zu meinem Handy / Computer erhält?

Für den Fall, dass Ihr Computer physisch kompromittiert wird, können Sie die mobile WioKey-App jederzeit von Ihrer WioKey-Companion-Browser-Erweiterung abkoppeln. Dies garantiert, dass es keine Angriffsvektoren für Ihre Zugangsdaten gibt. Verlinken Sie die WioKey mobile App einfach erneut mit einem neuen Computer und Sie können loslegen!

Falls Ihr Telefon physisch kompromittiert wird, könnte der Angreifer versuchen, auf Ihre privaten Anmeldeinformationen zuzugreifen und die privaten Schlüssel zu extrahieren. Da die Anmeldedaten hardwaregestützt sind und durch biometrische Authentifizierung geschützt werden, bedeutet dies, dass Hardware-Angriffsvektoren und Schwachstellen ausgenutzt werden müssen, was hoch qualifiziertes Hacking erfordert. Sie können Ihren Schlüssel jederzeit einzeln von Ihren Webseiten trennen, um den Zugriff zu verhindern, falls der Hacker tatsächlich Zugriff auf Ihre privaten Zugangsdaten erhält. Dies können Sie machen, indem Sie die Backup-Zugangsdaten des zweiten Faktors als Setup für die Webseiten verwenden.

In dem sehr unwahrscheinlichen Fall, dass sowohl Ihr Computer als auch Ihr Telefon physisch kompromittiert werden, müsste der Hacker dennoch die Hardware-Exploits durchlaufen, die notwendig sind, um Ihr Telefon zu entsperren und Zugriff auf Ihre hardwaregestützten Zugangsdaten zu erhalten!

Leider gibt es angesichts solcher Hacks keine absolut perfekte Verteidigung. WioKey bietet aber bereits eine verstärkte Sicherheit, indem es Ihre Zugangsdaten in hardwaregestützter Isolierung speichert und eine biometrische / Bildschirm-Sperrschicht hinzufügt.

Wie installiere ich WioKey?

Installiere hier WioKey!

Deine Anwendung wird nicht unterstützt?

Du hast eine Geschäftsanwendung oder einen speziellen Service, der derzeit keine 2-Faktor-Authentifizierung (wie FIDO2 oder U2F) unterstützt?

Kein Problem für WioKey! Unsere Integrationsplattform ermöglicht es, Fachanwendungen oder sogar interne Dienste um eine weitere Sicherheitsschicht zu erweitern.

Kontaktiere uns einfach und wir zeigen dir, wie einfach du unsere APIs in deiner Umgebung implementieren kannst.

Unser Team

Wir sind ein deutsches Start-up mit einer Leidenschaft für drahtlose Konnektivität mit dem Ziel unsere Benutzer einfach und sicher mit der digitalen Welt zu verbinden. Mache mit und erfahre mehr!