two-factor authentication without the token!

The revealing interview from leading magazine ‘all-about-security’ with chief editor Prior Kolaric and with Robert Korherr, CEO, ProSoft Software GmbH titled “two-factor authentication without the token” discusses the benefits of two factor authentication in todays always-on, mobile digital age.

Why have you added the solution in your portfolio?

Two-factor authentication using hardware tokens are often unpopular with users and administrators. The hardware token must always be carried to securely log and can manage and administer the token is complex and expensive. Without an additional one-time password (OTP = One-time passcode), the static credentials but are too easily hacked. The solution is the “token-free” two-factor authentication . It is your smartphone or tablet as the token, either as a recipient of pass codes in the form of SMS or e-mail or as a producer of software tokens, ie a OTPs generated by using the smartphone and with the current passcode on the enterprise server is synchronized.


Every day we read of hacking and identity theft. Protect me from what a multi-factor authentication? What threats lurking on the Internet?

Remote access to corporate data runs over the Internet and public networks. It is for attackers to identify a problem such as a login name and password to use. In addition, the use of passwords is generally more lax because the passwords are simple and often used multiple times. Peered credentials are particularly critical because the user might not notice that his identity has been hacked and the attacker can further cause damage or remove data. Phishing, ie the attempt to come across fake websites to the user who registered is also a danger. Two-factor authentication here as the second lock on your door. The thief cometh not even in the house if you have lost a key.


Can you tell us briefly what these “tokenless” two-factor authentication are and how they differ from others that are on the market?

“Tokenless” two-factor authentication is a protected term from ‘SecurEnvoy’. For securing applications without using a second factor hardware token, instead using the device you carry around with you on your pocket! The goal is to let the mobile workforce, appropriate to the situation, to secure access to corporate data that conforms to the requirements of law, such as the Federal Data Protection Act or appropriate certifications. “Situational” means that the user can switch token type as they chose and require. SecurAccess here offers a variety of authentication options all have in common that they are extremely safe and always do without a hardware token. Many solutions on the market are limited to one or two methods, for example, only SMS pass code and unsafe fallback method if the SMS receiving is not guaranteed. But this is not practical in our experience and certainly not ‘business strength’. The user can see or know in advance which method is the best option and selects the most cost-effective authentication type as reliability is the key to remote access; according to the motto “Authenticate your way”.


The solution you described, among others, uses SMS to communicate the OTP (one-time pass code). Which transmission media are still possible and what operating systems and devices can be covered?

SecurAccess offers four different authentication options. A passcode (flash) SMS has the advantage that it is sent over the GSM network and not as the application over the Internet. Email passcode itself are protected e-mail environments, such as the use of BlackBerry devices make sense. SoftToken also called software tokens are generated continuously on the mobile device and are only valid if the passcode is in sync with the current token code on the enterprise server. The user needs the use of the soft token but doesn’t need a GSM connection. The validity of the software token is timed and is verified only in the company. Through a graphic display of the mobile device, the user always knows how long the current soft token is still valid. The authentication software token is installed on all Windows, Windows Phone, Blackberry, iOS and Android devices as an app. Thus, the solution covers almost all smartphones and tablets. Due to the special technique of SecurAccess the safety of the soft token variant is always guaranteed.

SecurAccess also still offers a unique voice-call authentication for external use in the home office. After successful login and a personal PIN, SecurAccess generates a 6-digit pass code in the login dialog. At the same time the user is called via its phone number stored in the system and is using the phone keypad passcode to verify it is the passcode, then the user gets access.


So SecurAccess provides authentication variants via SMS, Email, and Voice Call soft token. Or you have other options?

Absolutely! Basically the delivery of SMS is timely and reliable. A large network operator says that 96% of all SMS messages are delivered promptly ie within 20 seconds in Germany. But you can imagine what happens when a user has to wait longer than usual: He’s trying the application again after waiting a short time and thus triggers a new pass code. If 4% of all SMS deliveries are late or not delivered, then that affects 1,000 employees at 40 people each day  can not log-in safely. This is no longer acceptable for companies. Business must be 100% and always business grade. Our experience shows that the used two-factor authentication must be in practical use safe and flexible.

With SecurAccess the user selects the authentication method best because of its location or situation. He can only choose the options that are a pproved for use by his company. SecurAccess therefore, offers a real-time flash message, SMS Passcode, or one or three pre-loaded passcode in the form of an SMS. Here, the text is automatically updated with one new passcode when a passcode is used. Spent passcodes are therefore not visible in the smartphone. These options also exist in e-mail passcode. Pre-loaded pass codes are useful if you are staying more often in environments with incomplete coverage, for a few days abroad or often in data centers without network coverage. Once a GSM / UMTS connection exists, the passcode is delivered. The user can then login but also timely, when his mobile phone just has no power, because he already has the new passcode. In the past we were told that only a few providers of real-time generated passcode is secure; but now we know that this is not the case. To get the second factor that you need the mobile phone of the actual user. And it does not matter if it receives the pass code in real time, or OTP is already available on the mobile phone “pre-loaded”. Here, like the lock that needs to be activated in most business smartphones.


Which remote access platforms and virtual environments SecurAccess can be used and what holds for the benefits? What is the solution that stands out from the competition?

SecurAccess integrates seamlessly and more generally to all popular platforms such as remote access VPN, Radius or Microsoft, Cisco, Citrix, CheckPoint, SonicWALL, Juniper, Fortinet, F5, VMware View. In addition, can be secured with SecurAccess eg Sophos SafeGuard Disk Encryption pre-boot authentication. Integration with respect to usability we mean here is that the user is the login screen of the known remote access platform displayed and added to the passcode entry. If a RADIUS server is required SecurAccess can also act as a Radius server and is therefore not dependent on the challenge-response method. Moreover SecurAccess has a plug-in for the protection of Apache web server. So SecurAccess has an extremely broad approach when it comes to the supported platforms and systems.

For the administrator, there is a configuration and help desk module by example may allocate the responsibilities. SecurAccess is role-based and defines the allowed authentication methods for each user group. The user himself can choose the self-help desk for the authentication method offered to him as the optimal variant. If he has lost his mobile phone or tablet, he can, if allowed, receive a temporary access code via special security issues. For replacement of hardware token systems can additionally be used in the transition period a still existing radius server. This means that both users with hardware token and user can use “token-less” authentication login each safe. With the additional modules SecurPassword users can reset your Windows password.

Aside from the issue of security, hand on heart, it’s most likely than not, that they can log in with BYOD into your own corporate network to get to information quickly.


So service technicians on the go, must quickly fix an error message, but are at their wits’ end? Why should I as a company start again with the solution when it comes to me all about quick access and less about safety?

They speak the old discussion of usability vs. Safety. But also technicians have access to customer data (see BDSG § 42a) and personal data, financial information, health information, etc., these are subject to special protection by the Federal Data Protection Act and its protection is also of certifications such as PCI DSS, HIPAA, ISO SOX required. It is that the user finds a familiar GUI at login and the login process can be done quickly and easily, despite entering a second factor is even more important. Basically you can say that in almost all remote accesses to “certain kinds of personal data” as this category is called the Federal Data Protection Act, is accessed. Ultimately, companies should also protect its own interests with regard to remote access and to internal information.


Available is access to a 30-day trial version, why you have decided to offer a trial version? Is the solution more expensive than the other market located companion?

Interested parties should be able to get a picture of the safety and functionality of SecurAccess without risk. This is however not really a test version, but a 30 days full version including 100 free SMS via an SMS gateway. After installation, the company includes all variants, including the SMS passcode option and can practice instantly for free. We also offer more webinars that provide information on two-factor authentication in general and about the benefits of two-factor authentication with SecurAccess. SecurAccess is competitively priced compared on the usual five year example, and is usually cheaper than other solutions with lower functionality. Compared to hardware token, the price advantage of SecurAccess is even clearer.


The multi-factor authentication and the whole issue of identity management, what do you mean, what trends come here to us? Is there soon Authentication through NFC and other technologies, where are we going?

New techniques allow new possibilities. I would like to mention a new technology that is patent pending, and that’s where a passcode is transmitted from the smart phone to the laptop and does not have to be typed, the usability for the user significantly increased. It certainly has a great charm. SecurEnvoy, the manufacturer of SecurAccess is not only the inventor of the “tokenless” Two-factor authentication but Gartner also see’s them as a “Visionary” in this area and the front runners when it comes to the meaningful integration of new technologies.

For more click:


Das Interview führt all-about-security Chefredakteur Davor Kolaric mit Robert Korherr, CEO, ProSoft Software GmbH zum Thema: „Zweifaktor-Authentifizierung ohne Token“.



Herr Korherr, Sie bieten mit SecurAccess eine Zweifaktor-Authentifizierung ohne Token an. Warum haben Sie die Lösung in Ihr Portfolio aufgenommen?


Zwei-Faktor Authentifizierungen mittels Hardware Token sind bei Anwendern und Administratoren meist unbeliebt. Der Hardware Token muss immer mitgeführt werden, um sich sicher anmelden zu können und die Verwaltung und Administration der Token ist aufwendig und kostspielig. Ohne ein zusätzliches Einmalpasswort (OTP = One-Time Passcode) können die statischen Anmeldedaten aber zu leicht gehackt werden. Die Lösung ist die„tokenlose“ Zwei-Faktor Authentifizierung. Dabei wird Ihr Smartphone oder Tablet zum Token, entweder als Empfänger von Passcodes in Form von SMS oder E-Mail oder als  Erzeuger von Software-Token, also eines OTPs der z. B. über das Smartphone erzeugt wird und mit dem aktuellen Passcode am Unternehmensserver synchronisiert wird.


Täglich lesen wir von Hackerangriffen und Identitätsdiebstahl. Wovor schützt mich eine Mehrfaktor-Authentifizierung? Welche Bedrohungen lauern im Internet?


Remote-Access auf Unternehmensdaten läuft über das Internet und damit über öffentliche Netze. Für Angreifer ist es kein Problem Anmeldenamen und Passwort zu identifizieren und zu verwenden. Zusätzlich ist der Umgang mit Passwörtern allgemein eher lax, da die Passwörter simpel und häufig mehrfach verwendet werden. Ausgespähte Anmeldedaten sind besonders kritisch, weil der User unter Umständen nicht merkt, dass seine Identität gehackt wurde und der Angreifer weiter Schaden verursacht oder Daten abziehen kann. Phishing, also der Versuch über Fake-Webseiten an die Anmeldeten des Users zu kommen, ist ebenfalls eine Gefahr. Zwei-Faktor Authentifizierung ist hier wie das zweite Schloss an Ihrer Haustüre. Ein Dieb kommt auch dann nicht in das Haus, wenn Sie einen Schlüssel verloren haben.


Können Sie uns ganz kurz erklären, was diese „tokenless“ Zweifaktor-Authentifizierung von anderen im Markt befindlichen Lösungen mit und ohne Token unterscheidet?


„Tokenlose“ Zwei-Faktor Authentifizierung ist ein geschützter Überbegriff für sichere Anmeldungen mittels eines zweiten Faktors ohne Hardware-Token. Ziel ist es den mobilen Mitarbeiter situationsgerecht und sicher auf Unternehmensdaten zugreifen zu lassen und zwar konform zu den Vorgaben von Gesetzen wie dem Bundesdatenschutzgesetz oder entsprechenden Zertifizierungen. „Situationsgerecht“ bedeutet, dass der User im Urlaub von SMS Passcode auf Soft Token umschalten kann, um Roaming-Gebühren zu sparen oder wenn er als Techniker im Serverraum keinen Empfang hat. SecurAccess bietet hier eine Fülle an Authentifizierungsvarianten die alle gemeinsam haben, dass sie äußerst sicher und immer ohne Hardware-Token auskommen. Viele Lösungen am Markt beschränken sich auf eine oder zwei Methoden z. B. nur SMS Passcode und eine unsichere FallBack-Methode falls der SMS-Empfang nicht gewährleistet ist. Das ist aber aus unserer Erfahrung nicht praxisgerecht. Der Anwender erkennt oder weiß vorab, welches Verfahren die beste Variante ist und wählt die kostengünstigste Authentifizierung aus. Gemäß dem Motto „Authenticate your way“.


Die von Ihnen beschriebene Lösung setzt unter anderem SMS zur Übermittlung des OTP’s (One-Time-Passcode) ein. Welche Übertragungsmedien sind noch denkbar und welche Betriebssysteme und Geräte können abgedeckt werden?


SecurAccess bietet vier unterschiedliche Authentifizierungsvarianten an. Ein Passcode als (Flash-)SMS hat den Vorteil, dass er über das GSM-Netz und nicht wie die Anmeldung, über das Internet versandt wird. E-Mail Passcodes an sich sind in geschützten E-Mail Umgebungen wie z. B. beim Einsatz von Blackberry Devices sinnvoll. Soft Token auch Software Token genannt, werden am mobilen Device fortlaufend generiert und sind nur dann gültig, wenn der Passcode synchron mit dem jeweils aktuellen Tokencode am Unternehmensserver ist. Der Anwender braucht beim Einsatz von  Soft Token keine GSM Verbindung. Nebenbei spart die Authentifizierung mit Soft Token Kosten. Die Gültigkeit des Software Token ist zeitgesteuert und wird nur im Unternehmen verifiziert. Durch eine grafische Anzeige am mobilen Device weiß der Anwender immer wie lange der aktuelle Soft Token noch gültig ist. Die Authentifizierung über Soft Token ist auf allen Windows,  Windows Phone, iOS und Android Devices als App installierbar. Damit deckt die Lösung fast alle Smartphones und Tablets ab. Durch die besondere Technik von SecurAccess ist die Sicherheit der Soft Token Variante immer gewährleistet.

SecurAccess bietet auch noch eine einzigartige Voice-Call Authentifizierung für den Einsatz im externen Home-Office an. Nach dem erfolgreichen Login über Anmelddaten und einem persönlichen PIN erzeugt SecurAccess einen 6-stelligen Passcode im Anmeldedialog. Gleichzeitig wird der Anwender über seine im System hinterlegte Telefonnummer angerufen und er gibt über die Telefontastatur diesen Passcode zur Verifizierung ein. Stimmt der Passcode, dann bekommt der Nutzer Zugriff.


Also bietet SecurAccess Authentifizierungsvarianten über SMS, E-Mail, Soft-Token und VoiceCall. Oder haben Sie noch weitere Optionen?


Durchaus! Grundsätzlich erfolgt die Lieferung von SMS zeitnah und zuverlässig. Ein großer Netzbetreiber spricht davon, dass in Deutschland 96% aller SMS zeitnah d.h. innerhalb von 20 Sekunden zugestellt werden. Sie können sich aber vorstellen, was passiert, wenn ein User länger als üblich warten muss: Er versucht die Anmeldung nach einer kurzen Wartezeit erneut und löst damit einen neuen Passcode aus. Wenn 4 % aller SMS-Zustellungen zu spät bzw. nicht zugestellt werden, dann betrifft das bei 1000 Mitarbeitern jeweils 40 pro Tag die sich nicht sicher anmelden können. Das ist für Unternehmen nicht mehr akzeptabel. Ausländische Netzbetreiber filtern häufig SMS-Nachrichten aus die z. B. eine alphanumerische (+49…) Absenderadresse haben. Diese wenigen Beispiele sollen zeigen, dass man keine Insellösung einsetzen sollte, die sich nur auf ein Authentifizierungsverfahren verlässt. Unsere Erfahrung zeigt, dass die eingesetzte Zwei-Faktor Authentifizierung sicher und flexibel im praktischen Einsatz sein muss.

Mit SecurAccess wählt der Anwender das aufgrund seiner Lokation oder Situation beste Authentifizierungs-verfahren. Er kann dabei nur die Varianten wählen, die ihm das Unternehmen freigibt. Deshalb bietet SecurAccess neben dem Echtzeit SMS Passcode auch noch ein oder drei pre-loaded Passcodes in Form einer SMS an. Hierbei wird automatisch die SMS mit je einem neuen Passcode aktualisiert, sobald ein Passcode genutzt wurde. Verbrauchte Passcodes sind im Smartphone somit nicht sichtbar. Diese Optionen gibt es auch bei E-Mail Passcodes. Pre-loaded Passcodes sind sinnvoll, wenn Sie sich öfters in Umgebungen mit lückenhafter Netzabdeckung, für wenige Tage im Ausland oder häufig in Rechenzentren ohne Netzabdeckung aufhalten. Sobald eine GSM/UMTS-Verbindung existiert, wird der Passcode geliefert. Der Anwender kann sich aber auch dann zeitnah einloggen, wenn sein Mobiltelefon gerade kein Netz hat, weil er den neuen Passcode bereits hat. Von einigen Anbietern wird nur der in Echtzeit generierte Passcode als sicher bezeichnet, dieser Meinung waren wir auch lange Zeit. Doch inzwischen wissen wir, dass dem nicht so ist. Um den zweiten Faktor zu bekommen, brauchen Sie das Mobiltelefon des eigentlichen Users. Und dabei ist es egal, ob dieser den Passcode in Echtzeit empfängt oder der OTP bereits auf dem Mobiltelefon „pre-loaded“ verfügbar ist. Hier mag die Sperre, die meist bei Business-Smartphones aktiviert werden muss, sogar ein zusätzliches Sicherheits-Argument für den pre-loaded Passcode sein, da die SMS aus Bequemlichkeit häufig auch im Sperrbildschirm angezeigt wird.


Über welche Remote-Access-Plattformen und virtuellen Umgebungen kann SecurAccess genutzt werden und was birgt das für Vorteile? Wie hebt sich die Lösung damit von der Konkurrenz ab?


SecurAccess integriert sich grundsätzlich nahtlos in alle gängigen Remote-Access Plattformen wie VPN, Radius oder von Microsoft, Cisco, Citrix, Check Point, SonicWALL, Juniper, Fortinet, F5, VMware View uvm. Zusätzlich kann z. B. bei Sophos Safeguard Festplattenverschlüsselung die pre-boot Authentifizierung mit SecurAccess abgesichert werden. Unter Integration im Hinblick auf Usability verstehen wir hierbei, dass dem Anwender die Anmeldemaske der bekannten Remote-Access Plattform angezeigt und um die Passcode Eingabe erweitert wird.  Wird ein Radius-Server benötigt, kann SecurAccess auch als Radius-Server fungieren und ist deshalb nicht auf das Challenge-Response Verfahren angewiesen. Außerdem verfügt SecurAccess über ein Plug-In zur Absicherung von Apache Webserver. SecurAccess hat also einen äußerst breiten Ansatz, wenn es um die unterstützten Plattformen und Systeme geht.

Für den Administrator gibt es ein Konfigurations- und Help Desk-Modul indem er beispielsweise die SecurAccess Zuständigkeiten rollenbasiert  zuweisen und die erlaubten Authentifizierungsverfahren pro Usergruppe festlegen kann. Der Anwender selbst kann über den Self-Helpdesk aus den für ihn angebotenen Authentifizierungsverfahren die optimale Variante wählen. Bei Verlust seines Mobiltelefons oder Tablets kann er, falls erlaubt, über spezielle Sicherheitsfragen einen temporären Zugriffscode erhalten. Bei Ablösung  von Hardware-Token Systemen kann in der Übergangszeit ein noch vorhandener Radius-Server zusätzlich genutzt werden. Damit können sowohl User mit Hardware-Token als auch Anwender „tokenloser“ Authentifizierung sich jeweils sicher anmelden. Mit den zusätzlichen Modulen SecurPassword können Anwender Ihr Windows-Passwort selbständig ohne Support-Unterstützung zurücksetzen und mit SecurMail E-Mails sicher versenden.


Abgesehen von dem Thema Security, Hand aufs Herz, geht es den meisten nicht eher darum, dass sie sich mit BYOD ins eigene Firmennetzwerk einloggen können, um dann schnell an Informationen zu kommen? Also Service-Techniker, die unterwegs mal schnell eine Fehlermeldung beheben müssen, aber mit ihrem Latein am Ende sind? Warum sollte ich mir als Firma die Lösung dann anschaffen, wenn es mir vor allem um den schnellen Zugriff geht und weniger um die Sicherheit?


Sie sprechen die alte Diskussion von Usability vs. Sicherheit an. Aber auch Techniker greifen auf Kundendaten zu und sobald es sich um personenbezogene Daten, Finanzinformationen, Gesundheitsdaten etc. (siehe BDSG §42a) handelt, unterliegen diese dem besonderen Schutz durch das Bundesdatenschutzgesetz und deren Schutz wird auch von Zertifizierungen wie PCI DSS, HIPAA, ISO, SOX gefordert. Umso wichtiger ist es, dass der Anwender eine vertraute GUI bei der Anmeldung vorfindet und der Anmeldeprozess trotz Eingabe eines zweiten Faktors schnell und problemlos durchgeführt werden kann. Grundsätzlich kann man sagen, dass bei fast allen Fernzugriffen auf, „bestimmte Arten von personenbezogenen Daten“ wie diese Kategorie im BDSG genannt wird, zugegriffen wird. Letztlich sollten Unternehmen auch aus eigenem Interesse den Remote-Zugriff absichern, damit interne Informationen oder neue Entwicklungen entsprechend dort bleiben, wo sie hingehören.


Sie bieten auf Ihrer Homepage eine 30-Tage Testversion an, warum haben Sie sich dazu entschlossen eine Demo-Version anzubieten? Ist die Lösung teurer als die der anderen Marktbegleiter befindlichen?


Interessenten sollen sich ohne Risiko ein Bild von der Sicherheit und dem Funktionsumfang von SecurAccess machen können. Es handelt sich dabei aber eigentlich nicht um eine Testversion, sondern um eine 30 Tage Vollversion inklusive 100 Frei-SMS über ein SMS-Gateway. Nach der Installation kann das Unternehmen alle Varianten, also auch den SMS Passcode sofort kostenlos testen. Zusätzlich bieten wir auch noch Webinare an, die über Zwei-Faktor Authentifizierung im Allgemeinen und über die Vorteile von Zwei-Faktor Authentifizierung mit SecurAccess informieren. SecurAccess ist auf die üblichen 5 Jahre gesehen auch noch meist günstiger als andere Lösungen mit geringerem Funktionsumfang. Gegenüber Hardware-Token ist der Preisvorteil von SecurAccess noch deutlicher.


Die Mehrfaktor-Authentifizierung und das ganze Thema Identitätsmanagement, was meinen Sie, welche Trends kommen hier auf uns zu? Gibt es bald auch Authentifizierungen über NFC und andere Technologien, wohin führt der Weg?


Neue Techniken erlauben neue Möglichkeiten. Ich möchte hier nicht zu viel erwähnen, aber ein Passcode der vom Smartphone auf das Notebook übertragen wird und nicht eingetippt werden muss, erhöht die Usability für den Anwender deutlich. Das hat sicher einen großen Charme. SecurEnvoy, der Hersteller von SecurAccess ist nicht nur der Erfinder der „tokenlosen“ Zwei-Faktor Authentifizierung sondern laut Gartner auch ein „Visionär“ in diesem Bereich und vorne dabei wenn es um die Integration sinnvoller neuer Techniken geht.


Category: Industry News


Multi-Factor Authentication



Any user. Any device.

For companies that take authentication seriously.

Learn more about SecurEnvoy MFA
Cyber Security Blog

Hear more from
our security

Sign-up today

What to read next...