Kommentar zu Security-Tokens und Sicherheitsbedenken

Sind OTP-Token nach dem RSA-Hack überhaupt noch sicher?

04.10.2011 | Redakteur: Peter Schmitz

Der RSA-Hack hat OTP-Tokens große Aufmerksamkeit beschert. Security-Experte Julian Lovelock beantwortet die Frage, ob die Geräte grundsätzlich unsicher sind.
Der RSA-Hack hat OTP-Tokens große Aufmerksamkeit beschert. Security-Experte Julian Lovelock beantwortet die Frage, ob die Geräte grundsätzlich unsicher sind.

Vermehrte Hacker-Aktivitäten, die große Unternehmen, Sicherheitsanbieter und Behörden im Visier haben, bescheren OTP-Tokens aktuell eine große Aufmerksamkeit. Julian Lovelock, Senior Director bei ActivIdentity, einem Unternehmen von HID Global und Anbieter im Bereich Identitätssicherung, stellt fest, dass diese Angriffe die Frage aufkommen lassen, ob OTP-Tokens grundsätzlich unsicher sind.

Im März 2011 hat RSA Security bekannt gegeben, dass bei einer Advanced Persistent Threat Attacke Informationen von seinen Server gestohlen wurden. Im darauf folgenden Mai meldete das Rüstungsunternehmen Lockheed Martin einen „erheblichen Störfall“ im Netzwerk, der teilweise damit in Verbindung gebracht wurde, dass die zuvor entwendeten Informationen dafür genutzt worden waren.

„Diese Angriffe ließen zwangsläufig die Frage unter Fachleuten für Netzwerksicherheit aufkommen, ob OTP-Tokens (One Time Password Tokens) grundsätzlich unsicher seien oder ob nur an der Technologie noch etwas gefeilt werden müsse“, berichtet Julian Lovelock. „Um diese Frage zu beantworten, hilft es, die Funktionsweise von OTP-Tokens besser zu verstehen. Ein Aspekt dabei ist die Schlüsselverwaltung, ein anderer der Token-Algorithmus selbst.“

Tatsächlich gibt es verschiedene Token-Algorithmen, die sich in der Art und Weise, wie die sich ständig wechselnden Zahlen erzeugt werden, unterscheiden. Diese Variationen beeinflussen sowohl die Nutzung als auch deren Sicherheit.

So funktionieren One Time Password (OTP) Token

OTP-Algorithmen basieren normalerweise auf einem statischen Schlüssel (pro Gerät) und Variablen zur Berechnung der wechselnden Zahlen (OTPs), auch „dynamische Faktoren“ genannt, wie Zeit, Ereignis oder beides.

Einige Tokens verwenden einen zeitbasierten Algorithmus. Das Problem mit der Zeit als dynamischem Faktor ist, dass dieser eine gemeinsame Variable für alle Geräte ist und überall auf der Welt die aktuelle Zeit bekannt ist. Das bedeutet, wer über den Schlüssel für einen Token verfügt, den Algorithmus und die aktuelle Zeit kennt, kann– voilà – die ständig wechselnden Zahlen generieren.

Andere Tokens verwenden einen Zähler oder Ereignis (wie oft drückt ein Nutzer die Taste, um das OTP anzuzeigen) als dynamischen Faktor. Das bedeutet, dass jeder Token eine andere Variable verwendet. Dies erschwert einem Hacker die Berechnung der Nummer für einen bestimmten Token. Das Problem bei einfachen zählerbasierten OTP-Algorithmen ist, dass die OTP nicht wirklich ungültig wird und daher für Phishing anfällig ist, z.B. durch eine überzeugende E-Mail, die zur Eingabe der OTP verführt.

Dies führt uns zu einer weiteren Kategorie von OTP-Algorithmen, die auf der Zeit und einem Zähler basieren und somit die besten Eigenschaften von zeit- und zählerbasierten Tokens in sich vereinen. In diesem Fall ist das Phishing schwerer und Voraussagen sind schwieriger, da jeder Token einen anderen Zähler hat und die Kompromittierung eines Seeds viel weniger Auswirkungen hat.

Julian Lovelock meint dazu: “Basisinformationen sind hier bereits hilfreich. Es gibt tatsächlich verschiedene OTP-Tokens, und wenn Sie die Unterschiede kennen, können Sie eine sachkundige Entscheidung treffen, etwa dass Sie beim Austausch eines Tokens einen Token wählen, der als dynamische Faktoren Zeit und Ereignis verwendet.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2053033 / Smartcard und Token)