Activ Identity identifiziert das Gefährdungspotenzial

Security Token als Unsicherheitsfaktor

| Redakteur: Dr. Andreas Bergler

Auch Security Token zeigen Schwachstellen im Authentisierungsprozess.
Auch Security Token zeigen Schwachstellen im Authentisierungsprozess.

One-Time-Passwörter (OTP) gelten als der Gral der sicheren Authentifizierung. Activ Identity hat trotzdem mehrere Schwachstellen ausgemacht, die die auf OTP basierenden Security Token mit sich führen.

Security Token, insbesondere Token, die mit One-Time-Passwörtern (OTP) arbeiten, sind sicher und einfach in der Handhabung – bis jetzt. Einfach zu bedienen sind sie zwar immer noch, aber zum Image der zuverlässigen Sicherheit gibt es mittlerweile einiges zu relativieren. Activ Identity, Anbieter im Bereich Identitätssicherung, hat sechs Argumente zusammengetragen, die das Gefährdungspotenzial im Umgang mit den beliebten Security Token aufdecken.

Dreh- und Angelpunkt ist dabei die Abhängigkeit von einem symmetrischen Schlüssel. Die Authentifikation via OTP erfordert zwei exakt gleiche Schlüssel am Authentifizierungsserver und im Security Token. Neben der erforderlichen sicheren Verwaltung solcher Schlüssel impliziert das Verfahren oft auch die Handhabung so genannter Seed-Dateien, die die Schlüssel für mehrere Security Token enthalten.

Daraus entstehen Folgeprobleme an sechs möglichen Punkten:

  • Der Herstellungsprozess, aus dem die Seed-Datei entsteht
  • Der Transport der Seed-Datei zum Kundenstandort
  • Der Umgang mit der Seed-Datei vor Ort, bevor sie auf den Authentifizierungsserver hochgeladen wird
  • Die sichere Speicherung der Seed-Datei auf dem Authentifizierungsserver
  • Die Aufbewahrung der Seed-Datei durch den Kunden (häufig auf CD), nachdem diese auf den Authentifizierungsserver hochgeladen wurde
  • Die Aufbewahrung der Seed-Datei durch den OTP-Token-Anbieter

Sicherer sei es laut Julian Lovelock, Senior Director bei Activ Identity, dass der Kunde selbst OTP-Tokens über die Administrationskonsole des Authentifizierungsservers initialisiert. Dabei werden die Seed-Dateien aus dem Herstellungsprozess des OTP-Verfahrens eliminiert, was das Gefahrenpotenzial erheblich verringere. Das Restrisiko von OTP-Authentisierungen könne jedoch nur von Smartcards aufgefangen werden. □

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 29350730 / Identity- & Access-Management)