Die Lösung des Passwort-Problems

Starke Authentifizierung im Internet

| Autor / Redakteur: Jan Valcke, Vasco / Stephan Augsten

Strong Authentication schafft Sicherheit

Alle eben geschilderten Probleme ließen sich mit Strong Authentication vermeiden. Dabei wird jedes statische Passwort durch ein dynamisches ersetzt. Strong Authentication wird auch als Zwei-Faktor-Authentisierung bezeichnet, da sie auf zwei Elementen basiert.

Wer sich einloggen will, muss etwas wissen – zum Beispiel einen PIN-Code – und er muss etwas besitzen: eine spezielle Hard- oder Software, die ein Einmal-Passwort (One Time Password, OTP) generiert. Nur wer PIN und Einmal-Passwort eingibt, erhält den Zugang. Dabei ist das Einmal-Passwort immer nur ein paar Sekunden gültig. Es auszuspionieren, ist also für den Hacker vergebliche Liebesmüh.

Verschiedene Arten der OTP-Authentifizierung

Technisch gesehen ist ein Einmal-Passwort das Ergebnis einer kryptografischen Berechnung aus einem geheimen Schlüssel und einem variablen Parameter. Der geheime Schlüssel stellt sicher, dass jedes Hardware- oder Software-Authentisierungs-Device unterschiedliche Einmal-Passwörter generiert, da ja jedes von ihnen mit einem individuellen Schlüssel agiert.

Der variable Parameter gewährleistet, dass ein und dasselbe Device zu verschiedenen Zeiten auch verschiedene Einmal-Passwörter produziert. Das ist wichtig, weil ja bei Strong Authentication für jedes Login ein neues Passwort eingesetzt wird.

Grundsätzlich lassen sich drei Arten von variablen Parametern unterscheiden: Zeit, Zähler oder Identitätsnachfrage, auch Challenge genannt. Im ersten Fall werden Datum und Uhrzeit mit dem geheimen Schlüssel verrechnet und so jederzeit ein individuelles OTP erzeugt. Nutzt man einen Zähler, wird dieser bei jeder Autorisierung um eins erhöht.

In diesen beiden Fällen werden bei jeder erfolgreichen Identifikation der Authentisierungs-Server und die das Einmal-Passwort generierende Hard- oder Software miteinander synchronisiert. Verwendet man die Challenge als variablen Parameter – dies geschieht nur im Banking-Umfeld –, gibt der Anwender eine Zahl ein und erhält eine Antwort.

Gleichzeitig wird die Challenge zurück an den Server geschickt, um zu verhindern, dass sie ein zweites Mal verwendet wird. Die kryptographische Operation ist dabei eine Verschlüsselung: eine Blockchiffre in 3DES oder AES.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 34899110 / Authentifizierung)