Rubrik: Produkte/Authentisierung

Alternative zu Token-basierter Authentisierung

Bei "SMS Passcode" gibt es keine vorausberechneten Secrets - und damit auch keinerlei Angriffsflächen für Hacker

(28.03.11) - Auf den Hardware-Authentisierern ist ein unveränderliches "Secret" gespeichert, das die Grundlage für die Berechnung des Einmal-Passworts bildet. Dieser im Voraus berechnete "Activation Key" ist die Achillesferse des Token-Konzepts: Gelingt es einem Cyber-Kriminellen, ihn auszuspionieren oder nachzuvollziehen, ist die vermeintlich so sichere Token-Authentisierung ausgehebelt.

Anzeige

Aber auch viele SMS-basierte Authentisierungssysteme nutzen Codes, die vorab berechnet und hinterlegt werden. Diese bilden eine gefährliche potenzielle Schwachstelle.

Das Produkt "SMS Passcode" (Distribution durch ProSoft) bietet derlei Angriffspunkte nicht. Will sich ein User hier einloggen, gibt er zunächst seinen Benutzernamen und sein dazugehöriges Passwort ein. Diese Parameter werden vom System zunächst überprüft. Erst wenn SMS Passcode einen gültigen Account zuordnen kann, wird ein Einmal-Passwort nach FIPS 140-2-Standard zufällig generierter Passcode erstellt und dann unmittelbar per SMS versandt. Es gibt also keine vorausberechneten Secrets - und damit auch keinerlei Angriffsflächen für Hacker.

"Token-basierte Authentisierungs-Systeme sind generell auf dem Rückzug", erklärt Robert Korherr, Leiter Marketing, beim Distributor ProSoft, der SMS Passcode in Deutschland, Österreich und der Schweiz vertreibt. "Der Deployment- und Verwaltungsaufwand einer Handy-basierten Authentisierung wie SMS Passcode ist viel geringer." (ProSoft: ra)

 

 

 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken