So (un-)sicher sind OTP-Tokens

Veröffentlicht am von
Pressemeldung der Firma ActivIdentity GmbH

OTP-Tokens [http://www.actividentity.com/… bzw. deren Sicherheit sind aktuell ein vielfach diskutiertes Thema. Julian Lovelock, Senior Director bei ActivIdentity, einem Unternehmen von HID Global [http://www.hidglobal.com/] und weltweit führendem Anbieter im Bereich Identitätssicherung, beurteilt die Beantwortung der Frage „wie sicher sind OTP Tokens?“ als durchaus komplex.

Für Julian Lovelock steht fest: „Ein großer Teil der Besorgnis rund um die Sicherheitsfrage bei OTP-Tokens beruht auf deren grundsätzlicher Abhängigkeit von einem symmetrischen Schlüssel. In der Praxis bedeutet dies, dass für den Authentifizierungsserver eine exakte Kopie des im OTP-Token vorhandenen Schlüssels notwendig ist. Diese Schlüssel, oft auch als Seeds bezeichnet, müssen jedoch verwaltet werden. Die dafür genutzten Prozesse und Systeme bieten Angreifern die gesuchten Zielobjekte.“

Bei der Beurteilung, ob OTP-Tokens sicher genug sind, sollten Unternehmen ihren Blick darauf richten, wie die Schlüsselverwaltung funktioniert. Oft geschieht dies dadurch, dass der Token-Anbieter während der Fertigung den Token mit einem Schlüssel versieht. Zeitgleich entsteht eine sogenannte Seed-Datei, die alle Schlüssel für ein ganzes Bündel von Tokens enthält. Die Tokens werden zusammen mit der Seed-Datei beim Kunden ausgeliefert, wo ein Administrator die Seed-Datei auf den Authentifizierungsserver lädt.

Julian Lovelock identifiziert sechs Punkte mit Gefährdungspotenzial im Prozessablauf:

1. Der Herstellungsprozess, aus dem die Seed-Datei entsteht

2. Der Transport der Seed-Datei zum Kundenstandort

3. Der Umgang mit der Seed-Datei vor Ort, bevor sie auf den Authentifizierungsserver hochgeladen wird

4. Die sichere Speicherung der Seed-Datei auf dem Authentifizierungsserver

5. Die Aufbewahrung der Seed-Datei durch den Kunden (häufig auf CD), nachdem diese auf den Authentifizierungsserver hochgeladen wurde

6. Die Aufbewahrung der Seed-Datei durch den OTP-Token- Anbieter

Eine weitaus sicherere Verfahrensweise ist die, dass der Kunde selber OTP-Tokens über die Administrationskonsole des Authentifizierungsservers initialisiert. Bei diesem Ansatz werden die Seed-Dateien aus dem Prozess eliminiert, weil der Schlüssel simultan im Token und der Authentifizierungsserver-Datenbank abgelegt wird. Damit sind fünf von sechs potentiellen Gefährdungspunkten, an denen Angreifer ansetzen können, ausgeschaltet.

„Künftig werden Anbieter, die dieses Vorgehensmodell anwenden, natürlich alles dafür tun, dass die Seed-Dateien nicht aus ihren internen Systemen gestohlen werden können. Aber wenn es in einem Haus sechs offene Türen gibt, wird daraus noch kein sicheres Zuhause, indem man nur die eine Türe verschließt, durch die die Einbrecher das letzte Mal gekommen sind. Natürlich gibt es eine Möglichkeit, alle sechs Gefährdungspunkte auszuschalten: Smart Cards – sie basieren auf asymmetrischen Schlüsseln“, so Julian Lovelock.



Firmenkontakt und Herausgeber der Meldung:
ActivIdentity GmbH
Fürstenrieder Str. 279a
81377 München
Telefon: +49 (89) 74120-230
Telefax: +49 (89) 74120-238
http://www.actividentity.com



Dateianlagen:
    • Julian Lovelock
ActivIdentity Corporation ist ein führender globaler Anbieter von Lösungen zur Identitätssicherung, durch die Kunden Vertrauen für ihre Online-Aktivitäten aufbauen können. Über 2.500 Unternehmen, Online-Banking Anbieter und staatliche Organisationen verlassen sich auf die ActivIdentity Authentifizierungs-und Berechtigungs-Management-Lösungen, um ihre Sicherheits- und Compliance-Anforderungen zu erfüllen. Der Hauptsitz von ActivIdentity befindet sich in Silicon Valley, Kalifornien, USA. ActivIdentity gehört zu HID Global, einer Marke der ASSA ABLOY Group. Weitere Informationen bietet das Internet unter www.actividentity.com.


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.