Die Lösung des Passwort-Problems

Starke Authentifizierung im Internet

Seite: 3/6

Firmen zum Thema

Strong Authentication schafft Sicherheit

Alle eben geschilderten Probleme ließen sich mit Strong Authentication vermeiden. Dabei wird jedes statische Passwort durch ein dynamisches ersetzt. Strong Authentication wird auch als Zwei-Faktor-Authentisierung bezeichnet, da sie auf zwei Elementen basiert.

Wer sich einloggen will, muss etwas wissen – zum Beispiel einen PIN-Code – und er muss etwas besitzen: eine spezielle Hard- oder Software, die ein Einmal-Passwort (One Time Password, OTP) generiert. Nur wer PIN und Einmal-Passwort eingibt, erhält den Zugang. Dabei ist das Einmal-Passwort immer nur ein paar Sekunden gültig. Es auszuspionieren, ist also für den Hacker vergebliche Liebesmüh.

Bildergalerie

Verschiedene Arten der OTP-Authentifizierung

Technisch gesehen ist ein Einmal-Passwort das Ergebnis einer kryptografischen Berechnung aus einem geheimen Schlüssel und einem variablen Parameter. Der geheime Schlüssel stellt sicher, dass jedes Hardware- oder Software-Authentisierungs-Device unterschiedliche Einmal-Passwörter generiert, da ja jedes von ihnen mit einem individuellen Schlüssel agiert.

Der variable Parameter gewährleistet, dass ein und dasselbe Device zu verschiedenen Zeiten auch verschiedene Einmal-Passwörter produziert. Das ist wichtig, weil ja bei Strong Authentication für jedes Login ein neues Passwort eingesetzt wird.

Grundsätzlich lassen sich drei Arten von variablen Parametern unterscheiden: Zeit, Zähler oder Identitätsnachfrage, auch Challenge genannt. Im ersten Fall werden Datum und Uhrzeit mit dem geheimen Schlüssel verrechnet und so jederzeit ein individuelles OTP erzeugt. Nutzt man einen Zähler, wird dieser bei jeder Autorisierung um eins erhöht.

In diesen beiden Fällen werden bei jeder erfolgreichen Identifikation der Authentisierungs-Server und die das Einmal-Passwort generierende Hard- oder Software miteinander synchronisiert. Verwendet man die Challenge als variablen Parameter – dies geschieht nur im Banking-Umfeld –, gibt der Anwender eine Zahl ein und erhält eine Antwort.

Gleichzeitig wird die Challenge zurück an den Server geschickt, um zu verhindern, dass sie ein zweites Mal verwendet wird. Die kryptographische Operation ist dabei eine Verschlüsselung: eine Blockchiffre in 3DES oder AES.

(ID:34899110)