Definition Token

Was ist ein Security-Token?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Security-Token wie zum Beispiel der Yubikey Neo sind elektronische Sicherheitsschlüssel auf Hardwarebasis, mit denen sichere Mehrfaktor-Authentifizierung möglich ist.
Security-Token wie zum Beispiel der Yubikey Neo sind elektronische Sicherheitsschlüssel auf Hardwarebasis, mit denen sichere Mehrfaktor-Authentifizierung möglich ist. (Bild: Yubico)

Bei einem Token, genauer Security-Token, handelt es sich um eine spezielle Hardware zur Authentifizierung von Usern. Um die Authentifizierung zusätzlich abzusichern, kommen neben dem Token weitere Merkmale wie PIN oder Passwort zum Einsatz.

Der Token, oft auch Sicherheits- oder Security-Token genannt, ist eine Hardwarekomponente, meist in der Form einer kleinen Chipkarte oder eines USB-Stick ähnlichem Geräts, mit dem sich sein Besitzer gegenüber Computersystemen, Services, Netzwerken oder Zutrittssystemen authentifizieren kann.

Die Authentifizierung mittels Token bietet gegenüber dem normalen Benutzer-Passwort-Verfahren zusätzliche Sicherheit, da der Anwender neben der Kenntnis um Benutzername und Kennwort auch im Besitz des physischen Sicherheitsschlüssels sein muss. Sobald einer der benötigten Faktoren fehlt, wird der Zugriff auf das System verweigert.

Neben Passwörtern oder PINs können auch biometrische Erkennungsmerkmale wie der menschliche Fingerabdruck im Zusammenhang mit einem Security-Token zum Einsatz kommen. Einige Token sind zudem in der Lage, auf Anforderung Einmalpasswörter zu generieren, die gemeinsam mit anderen Authentifizierungsfaktoren für eine Multifactor Authentication (MFA) nutzbar sind. Der reine Verlust des Tokens stellt in der Regel noch keine sicherheitstechnische Bedrohung für das System dar, da der Nutzer weitere Faktoren für eine erfolgreiche Authentifizierung benötigt und ein reiner Token nutzlos ist.

Beispielhafter Ablauf einer Authentifizierung mit einem Security-Token

Je nach Typ des Tokens und des Systems, auf das der Security-Token Zugriff gewähren soll, kommen verschiedene Verfahren und Abläufe bei der Authentifizierung zum Einsatz. Ein beispielhafter Ablauf könnte folgendermaßen aussehen: Der User hält den Token vor ein Lesegerät. Dieses erkennt den Token über ein eindeutiges Merkmal und fragt weitere Merkmale für die Authentifizierung an. Anschließend kann der User beispielsweise eine PIN oder ein Kennwort und andere Merkmale eingeben. Passen die eingegebenen Merkmale zum Token, gewährt das System dem User Zugriff auf erlaubte Ressourcen. In allen anderen Fällen verweigert es den Zugang und protokolliert den fehlerhaften Authentifizierungsversuch. Unter Umständen erfolgt ab einer gewissen Anzahl fehlerhafter Zugangsversuche eine komplette Sperrung des Tokens.

Vorteile der Authentifizierung mit einem Security-Token

Im Gegensatz zu einer reinen Passwort-Authentifizierung sorgt der Security-Token für zusätzliche Sicherheit, da der User im Besitz eines physischen Objekts sein muss. Selbst wenn alle weiteren Zugangsdaten ausgespäht sind, erhält der Angreifer ohne den Token niemals Zugriff auf das System.

Da der Token meist sehr klein ist und beispielsweise direkt an einem Schlüsselbund befestigt werden kann, ist er leicht überall hin mitzunehmen und zu verwenden. Geht er verloren, wird dies bei regelmäßiger Verwendung schnell bemerkt. Ein verlorener Token ermöglicht keinen unbefugten Zugriff, da hierfür die zusätzlichen Merkmale wie PIN oder Passwort fehlen. Gerät der Token in falsche Hände, kann er schnell und unkompliziert für jede weitere Verwendung gesperrt werden und ist damit komplett nutzlos. Da jeder Token einmalig ist und nicht kopierbare Eigenschaften besitzt, ist eine unbefugte Vervielfältigung oder die Manipulation so gut wie unmöglich.

Um Token verdeckt zu verwenden, ohne dass dies für Außenstehende erkennbar ist, sind funkbasierte Leseverfahren für kurze Distanzen möglich. Der Token kann in diesem Fall zum Beispiel in der Tasche bleiben und muss nicht explizit an das Lesegerät gehalten werden.

Mögliche Anwendungen für den Security-Token

Die Anwendungsmöglichkeiten für Security-Token sind sehr vielfältig. Sie sind beispielsweise folgendermaßen nutzbar:

  • für die Anmeldung an einem PC, in einem Netzwerk oder an einer Windows Domäne
  • zur Einwahl in ein Firmennetzwerk über das öffentliche Internet (VPN-Service)
  • für die Zeiterfassung von Mitarbeitern
  • für das bargeldlose Bezahlen
  • für den Zutritt zu besonders geschützten Bereichen
  • für das Onlinebanking
  • für das Abrufen kostenpflichtiger Pay-TV-Angebote
  • für die Nutzung von Geldautomaten
  • als Schlüssel für das Auto
  • als Fahrkarte
  • als Eintrittskarte
  • als Krankenversicherungskarte
  • in Form einer SIM-Karte im Handy oder Smartphone für den Zugriff auf ein bestimmtes Mobilfunknetz

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist TOTP?

Definition Time-based One-time Password Algorithmus (TOTP)

Was ist TOTP?

Der Time-based One-time Password Algorithmus erzeugt zeitlich begrenzt gültige, nur einmalig nutzbare Passwörter. Der Algorithmus lässt sich für eine sichere Zwei-Faktor-Authentifizierung per App oder Token einsetzen. Entwickelt wurde TOTP von der Initiative For Open Authentication (OATH). lesen

Unternehmen müssen die App-Economy absichern

APIs und die IT-Sicherheit

Unternehmen müssen die App-Economy absichern

APIs gewährleisten eine bessere Integration von Anwendungen, fördern Geschäftschancen und erhöhen den Umsatz von Unternehmen. Sie sind deshalb mittlerweile sogar Thema auf Vorstandsebene und nicht mehr nur in Entwickler-Teams. Gleichzeitig muss aber die wachsende Zahl von APIs mit der entsprechenden Security in Einklang gebracht werden um nicht Cyberkriminellen neue Angriffsvektoren zu eröffnen. lesen

Was ist PKCS?

Definition Public-Key Cryptography Standards

Was ist PKCS?

PKCS ist eine Sammlung von Spezifikationen und Standards für die asymmetrische Kryptographie. Entwickelt wurden sie vom Unternehmen RSA Security Inc. und Partnern. Ziel der Sammlung ist es, zur Verbreitung asymmetrischer Verschlüsselungssysteme beizutragen und die Standardisierung voranzutreiben. Die Public-Key Cryptography Standards sind in verschiedene Standardisierungen der IETF und ihrer PKIX-Arbeitsgruppe eingeflossen. lesen

Die vier größten Fehler bei Authentifizierungsvorgängen

Authentifizierung sicher planen

Die vier größten Fehler bei Authentifizierungsvorgängen

Jede Web- und Mobilanwendung, die von Unternehmen benutzt wird, setzt Authentifizie­rungsmethoden ein. Sie sind Dreh- und Angel­punkt der Sicherheit von Applikationen. Au­then­ti­fizie­rungs­vorgänge sichern nicht nur die Anwendungen selbst, sondern schaffen auch individuellen Zugriffsschutz für jedes Benutzer­konto. Gleich­zeitig können sie jedoch auch zu einem der gefährlichsten Einfallstore für Hacker und Cyberkriminelle werden. lesen

Pflegeanleitung für sichere Software

Sichere Softwareentwicklung – Teil 2

Pflegeanleitung für sichere Software

Will man eine Software auch sicher machen bedeutet das viel Arbeit. Es gilt Schwachstellen zu verhindern und von Beginn an einen sorg­samen Umgang mit Daten zu pflegen. Dazu gehört die Trennung von Datenverarbeitung und ihrer Darstellung ebenso wie eine konsequente Validierung von Ein- und Ausgangsdaten. Dann braucht es nur noch sichere Übertragungswege und regelmäßige Prüfroutinen. Oder fehlt da noch was? lesen

Hacker konnten Daten aus iPhones abgreifen

iPhone-Sicherheitslücke wurde ausgenutzt

Hacker konnten Daten aus iPhones abgreifen

Es ist das schlimmste bisher bekanntgewordene Angriffsszenario gegen das iPhone von Apple: Aufenthaltsort, Fotos und Nachrichten konnten abgegriffen werden. Es reichte, eine präparierte Website zu besuchen. Die Attacke scheint nach Medienberichten gezielt gegen die Volksgruppe der Uiguren in China eingesetzt worden zu sein. lesen

Pseudonymisierung vs. Anonymisierung gemäß der DSGVO

Kommentar von Gary LaFever, Anonos, und Stefan Müller, IT-Novum

Pseudonymisierung vs. Anonymisierung gemäß der DSGVO

Obwohl die DSGVO längst in Kraft getreten ist, gibt es weiterhin viel Klärungsbedarf. Ein Grund ist die mangelnde Wahrnehmung einiger grundlegender Konzepte der Datenschutzverordnung. Bei vielen Kunden fällt uns auf, dass zwar der Begriff der Anonymisierung häufig im Zusammenhang fällt, aber großes Unwissen über das Konzept der Pseudonymisierung herrscht. Letztere ist mindestens genauso wichtig wie erstere, denn nur wenn sie erfüllt ist, dürfen personenbezogene Daten weiterhin ausgewertet werden. lesen

Neue Seitenkanal-Attacke trifft Intel CPUs

Hintergründe zur SWAPGS Attack

Neue Seitenkanal-Attacke trifft Intel CPUs

Forscher haben eine neue Sicherheitslücke identifiziert, die sämtliche modernen Intel Prozessoren seit der „Ivy Bridge“-Generation von 2012 betrifft. Diese Prozessoren nutzen die CPU-Funktion Speculative Execution, über die ein Seitenkanalangriff erfolgen kann. Der Angriff umgeht alle bekannten Schutzmechanismen, die nach Bekanntwerden von Spectre und Meltdown im Frühjahr 2018 implementiert wurden, melden die Forscher des rumänischen Security-Anbieters Bitdefender. lesen

Passwort-Manager als Grundpfeiler des IAM

Mit sicheren Identitäten gegen den Datenklau

Passwort-Manager als Grundpfeiler des IAM

Die IT-Sicherheit steht heute ganz oben auf der Agenda in Unternehmen. Doch während es an Antiviren-Tools, Firewalls und Backup-Routinen in der Regel nicht mangelt, wird das schwächste Glied oft vernachlässigt – der eigene Mitarbeiter. So fehlt es Organisationen nicht selten an einer klaren Strategie für das Identity- und Access-Management (IAM) – und die beginnt mit den Passwörtern. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44719703 / Definitionen)