Definition Token

Was ist ein Security-Token?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Security-Token wie zum Beispiel der Yubikey Neo sind elektronische Sicherheitsschlüssel auf Hardwarebasis, mit denen sichere Mehrfaktor-Authentifizierung möglich ist.
Security-Token wie zum Beispiel der Yubikey Neo sind elektronische Sicherheitsschlüssel auf Hardwarebasis, mit denen sichere Mehrfaktor-Authentifizierung möglich ist. (Bild: Yubico)

Bei einem Token, genauer Security-Token, handelt es sich um eine spezielle Hardware zur Authentifizierung von Usern. Um die Authentifizierung zusätzlich abzusichern, kommen neben dem Token weitere Merkmale wie PIN oder Passwort zum Einsatz.

Der Token, oft auch Sicherheits- oder Security-Token genannt, ist eine Hardwarekomponente, meist in der Form einer kleinen Chipkarte oder eines USB-Stick ähnlichem Geräts, mit dem sich sein Besitzer gegenüber Computersystemen, Services, Netzwerken oder Zutrittssystemen authentifizieren kann.

Die Authentifizierung mittels Token bietet gegenüber dem normalen Benutzer-Passwort-Verfahren zusätzliche Sicherheit, da der Anwender neben der Kenntnis um Benutzername und Kennwort auch im Besitz des physischen Sicherheitsschlüssels sein muss. Sobald einer der benötigten Faktoren fehlt, wird der Zugriff auf das System verweigert.

Neben Passwörtern oder PINs können auch biometrische Erkennungsmerkmale wie der menschliche Fingerabdruck im Zusammenhang mit einem Security-Token zum Einsatz kommen. Einige Token sind zudem in der Lage, auf Anforderung Einmalpasswörter zu generieren, die gemeinsam mit anderen Authentifizierungsfaktoren für eine Multifactor Authentication (MFA) nutzbar sind. Der reine Verlust des Tokens stellt in der Regel noch keine sicherheitstechnische Bedrohung für das System dar, da der Nutzer weitere Faktoren für eine erfolgreiche Authentifizierung benötigt und ein reiner Token nutzlos ist.

Beispielhafter Ablauf einer Authentifizierung mit einem Security-Token

Je nach Typ des Tokens und des Systems, auf das der Security-Token Zugriff gewähren soll, kommen verschiedene Verfahren und Abläufe bei der Authentifizierung zum Einsatz. Ein beispielhafter Ablauf könnte folgendermaßen aussehen: Der User hält den Token vor ein Lesegerät. Dieses erkennt den Token über ein eindeutiges Merkmal und fragt weitere Merkmale für die Authentifizierung an. Anschließend kann der User beispielsweise eine PIN oder ein Kennwort und andere Merkmale eingeben. Passen die eingegebenen Merkmale zum Token, gewährt das System dem User Zugriff auf erlaubte Ressourcen. In allen anderen Fällen verweigert es den Zugang und protokolliert den fehlerhaften Authentifizierungsversuch. Unter Umständen erfolgt ab einer gewissen Anzahl fehlerhafter Zugangsversuche eine komplette Sperrung des Tokens.

Vorteile der Authentifizierung mit einem Security-Token

Im Gegensatz zu einer reinen Passwort-Authentifizierung sorgt der Security-Token für zusätzliche Sicherheit, da der User im Besitz eines physischen Objekts sein muss. Selbst wenn alle weiteren Zugangsdaten ausgespäht sind, erhält der Angreifer ohne den Token niemals Zugriff auf das System.

Da der Token meist sehr klein ist und beispielsweise direkt an einem Schlüsselbund befestigt werden kann, ist er leicht überall hin mitzunehmen und zu verwenden. Geht er verloren, wird dies bei regelmäßiger Verwendung schnell bemerkt. Ein verlorener Token ermöglicht keinen unbefugten Zugriff, da hierfür die zusätzlichen Merkmale wie PIN oder Passwort fehlen. Gerät der Token in falsche Hände, kann er schnell und unkompliziert für jede weitere Verwendung gesperrt werden und ist damit komplett nutzlos. Da jeder Token einmalig ist und nicht kopierbare Eigenschaften besitzt, ist eine unbefugte Vervielfältigung oder die Manipulation so gut wie unmöglich.

Um Token verdeckt zu verwenden, ohne dass dies für Außenstehende erkennbar ist, sind funkbasierte Leseverfahren für kurze Distanzen möglich. Der Token kann in diesem Fall zum Beispiel in der Tasche bleiben und muss nicht explizit an das Lesegerät gehalten werden.

Mögliche Anwendungen für den Security-Token

Die Anwendungsmöglichkeiten für Security-Token sind sehr vielfältig. Sie sind beispielsweise folgendermaßen nutzbar:

  • für die Anmeldung an einem PC, in einem Netzwerk oder an einer Windows Domäne
  • zur Einwahl in ein Firmennetzwerk über das öffentliche Internet (VPN-Service)
  • für die Zeiterfassung von Mitarbeitern
  • für das bargeldlose Bezahlen
  • für den Zutritt zu besonders geschützten Bereichen
  • für das Onlinebanking
  • für das Abrufen kostenpflichtiger Pay-TV-Angebote
  • für die Nutzung von Geldautomaten
  • als Schlüssel für das Auto
  • als Fahrkarte
  • als Eintrittskarte
  • als Krankenversicherungskarte
  • in Form einer SIM-Karte im Handy oder Smartphone für den Zugriff auf ein bestimmtes Mobilfunknetz

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Neues Rüstzeug für höhere Datensicherheit

Trends 2020 im Identitätsmanagement

Neues Rüstzeug für höhere Datensicherheit

Der Faktor Mensch ist und bleibt immer noch die Achillesferse bei Datenhacks. Multifaktor-Authentifizierung könnte ein wichtiger Schritt sein, digitale Identitäten als Einfallstor für Hacker in den Griff zu bekommen. Dabei ist die Investition in eine prozessbegleitende Sicherheitskultur die Basis für ein erfolgreiches Identitätsmanagement. lesen

Grundlagen der Cloud-Security

Daten und Dienste trotz Cloud fest im Griff

Grundlagen der Cloud-Security

Das Thema Sicherheit in Zusammenhang mit Cloud-Technologien stellt für viele IT-Verantwortliche einen Wiederspruch in sich dar. Dabei gibt es durchaus sinnvolle Methoden, um das Sicherheitsniveau in der Cloud umfassend anzuheben und um Cloud-Infrastrukturen sicher zu betreiben. Dieser Beitrag nimmt die in diesem Zusammenhang wichtigsten Punkte unter die Lupe. lesen

Was ist FIDO2?

Definition FIDO2-Standard

Was ist FIDO2?

FIDO2 ist ein gemeinsames Projekt der FIDO-Allianz und des W3C und ermöglicht die starke passwortlose Mehrfaktor-Authentifizierung. Das Verfahren basiert auf den Grundlagen der asymmetrischen Verschlüsselung und nutzt Zweitfaktoren wie biometrische Merkmale, Hardware-Keys, Smart-Cards oder TPM-Module zur Anmeldung an einem Webservice. Einige Browser, Betriebssysteme und Webdienste sind bereits mit FIDO2 kompatibel und unterstützen das Verfahren. lesen

Zwei-Faktor-Authentifizierung auf dem Prüfstand

Doppelt hält (nicht immer) besser

Zwei-Faktor-Authentifizierung auf dem Prüfstand

Zwei-Faktor-Authentifizierung (2FA) hat sich als die Lösung für Online-Banking, E-Commerce-Seiten und Social-Media-Plattformen etabliert. Absolute Sicherheit ist damit jedoch nicht garantiert. SMS-Tokens können abgefangen werden, Hardware-TOTP-Token verloren gehen. lesen

Der Yubikey wird biometrisch

Sichere passwortlose Anmeldung

Der Yubikey wird biometrisch

Anlässlich der Microsoft Ignite hatte Yubico seinen ersten Yubikey mit integrierter biometrischer Authentifizierung vorgestellt. Der Yubikey Bio soll den Komfort der biometrischen Anmeldung mit den zusätzlichen Vorteilen der Sicherheit, Zuverlässigkeit und Langlebigkeit eines klassischen Yubikey vereinen. lesen

2FA mit individualisierbaren Authentisierungs-Workflows

privacyIDEA 3.2

2FA mit individualisierbaren Authentisierungs-Workflows

Die neue Version 3.2 der Mehr-Faktor-Authentifizierungssoftware „privacyIDEA“ bietet neue Möglichkeiten, das Authentifizierungs­system durch flexible Konfiguration anzupassen und in die eigenen Workflows zu integrieren. lesen

Was ist TOTP?

Definition Time-based One-time Password Algorithmus (TOTP)

Was ist TOTP?

Der Time-based One-time Password Algorithmus erzeugt zeitlich begrenzt gültige, nur einmalig nutzbare Passwörter. Der Algorithmus lässt sich für eine sichere Zwei-Faktor-Authentifizierung per App oder Token einsetzen. Entwickelt wurde TOTP von der Initiative For Open Authentication (OATH). lesen

Unternehmen müssen die App-Economy absichern

APIs und die IT-Sicherheit

Unternehmen müssen die App-Economy absichern

APIs gewährleisten eine bessere Integration von Anwendungen, fördern Geschäftschancen und erhöhen den Umsatz von Unternehmen. Sie sind deshalb mittlerweile sogar Thema auf Vorstandsebene und nicht mehr nur in Entwickler-Teams. Gleichzeitig muss aber die wachsende Zahl von APIs mit der entsprechenden Security in Einklang gebracht werden um nicht Cyberkriminellen neue Angriffsvektoren zu eröffnen. lesen

Was ist PKCS?

Definition Public-Key Cryptography Standards

Was ist PKCS?

PKCS ist eine Sammlung von Spezifikationen und Standards für die asymmetrische Kryptographie. Entwickelt wurden sie vom Unternehmen RSA Security Inc. und Partnern. Ziel der Sammlung ist es, zur Verbreitung asymmetrischer Verschlüsselungssysteme beizutragen und die Standardisierung voranzutreiben. Die Public-Key Cryptography Standards sind in verschiedene Standardisierungen der IETF und ihrer PKIX-Arbeitsgruppe eingeflossen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44719703 / Definitionen)