Pannenhilfe beim ÖAMTC ohne Sicherheits-Pannen

Authentifizierung per SMS beim österreichischen Automobilclub ÖAMTC

07.09.2010 | Autor / Redakteur: Ralf Siebler / Peter Schmitz

Pannenhilfe seit 1946: Der ÖAMTC ist schnell zur Stelle – nicht zuletzt aufgrund einer leistungsstarken und sicheren EDV.
Pannenhilfe seit 1946: Der ÖAMTC ist schnell zur Stelle – nicht zuletzt aufgrund einer leistungsstarken und sicheren EDV.

Token: Zusatz-Hardware generiert Einmal-Passwort

Hardware-Token sind eine sichere und praktikable Lösung, sie haben aber auch ihre Nachteile: Der Anwender hat wieder ein Ding mehr, auf das er Acht geben muss. Außerdem müssen die Token an Berechtigte verteilt und beim Ausscheiden des Mitarbeiters wieder eingesammelt werden. Oft gehen die kleinen Authentisierer auch verloren, dann ist es für den Anwender erst einmal vorbei mit dem Remote-Zugang.

Umständlich sind auch kurzfristige Zugänge zu verwalten. Jedes Mal muss ein Token ausgegeben und wieder zurückverlangt werden, auch wenn ein externer Dienstleister nur für wenige Stunden ins Firmennetz muss. Zudem sind Hardware-Token nicht standardisiert, man ist somit an einen Hersteller gebunden.

SMS-Authentisierung: Handy als gesicherter Übertragungskanal

Anstelle zusätzlicher Hardware lässt sich auch ein ganz gewöhnliches Mobiltelefon für die Zwei-Faktor-Authentisierung einsetzen. Dabei wird das Einmal-Passwort vom Server generiert und per SMS an eine im System hinterlegte Mobilfunk-Nummer geschickt. Das hat seine Vorteile – für den Anwender wie für den Administrator.

Der User braucht kein zusätzliches Gerät mit sich herumzutragen, der Admin spart sich das umständliche Hardware-Deployment. Temporäre Zugänge einzurichten ist kein Problem. Der externe Dienstleister gibt nur seine Handy-Nummer an. Der Account ist mit wenigen Mausklicks eingerichtet und auch wieder gelöscht. Ein weiterer Vorteil der Handy-Lösung: Sie ist nicht an ein bestimmtes Gerät gebunden.

Eine private Handy-Nummer wollen aber viele Mitarbeiter nicht unbedingt für die Authentisierung einsetzen. Strong Authentication per SMS empfiehlt sich also vor allem, wenn vom Unternehmen ohnehin Mobiltelefone ausgegeben und verwaltet werden.

Beim ÖAMTC ist dies der Fall. Daher war die bisher eingesetzte Token-Lösung nicht die beste Alternative. Sie hatte zwar zuverlässig funktioniert, aber auch viele administrative Probleme mit sich gebracht, zum Beispiel bei der Verteilung und Verwaltung der Authentisierungsgeräte.

Hardware-unabhängig: Mobiltelefon statt Token

„Bei einer Token-Lösung ist man immer von einer bestimmten Hardware abhängig“, erklärt Christoph Pertl, Administrator für Netzwerk und IT Security beim ÖAMTC.

„Da unsere Mitarbeiter ohnehin über Firmenhandys verfügen“, so Pertl weiter, „haben wir nach einer SMS-basierten Lösung gesucht. Das System unseres bisherigen Anbieters funktionierte aber bei der Authentisierung mit dem Mobiltelefon nicht zufriedenstellend.“

Inhalt:

 

Authentisierung beim ÖAMTC per SMS Passcode 4

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046907 / Smartcard und Token)