Contact
QR code for the current URL

Story Box-ID: 448716

ActivIdentity GmbH Fürstenrieder Str. 279a 81377 München, Germany http://www.actividentity.com
Contact Ms Donna Candelori +1 510-574-1783
Company logo of ActivIdentity GmbH
ActivIdentity GmbH

So (un-)sicher sind OTP-Tokens

(PresseBox) (München, )
OTP-Tokens bzw. deren Sicherheit sind aktuell ein vielfach diskutiertes Thema. Julian Lovelock, Senior Director bei ActivIdentity, einem Unternehmen von HID Global und weltweit führendem Anbieter im Bereich Identitätssicherung, beurteilt die Beantwortung der Frage "wie sicher sind OTP Tokens?" als durchaus komplex.

Für Julian Lovelock steht fest: "Ein großer Teil der Besorgnis rund um die Sicherheitsfrage bei OTP-Tokens beruht auf deren grundsätzlicher Abhängigkeit von einem symmetrischen Schlüssel. In der Praxis bedeutet dies, dass für den Authentifizierungsserver eine exakte Kopie des im OTP-Token vorhandenen Schlüssels notwendig ist. Diese Schlüssel, oft auch als Seeds bezeichnet, müssen jedoch verwaltet werden. Die dafür genutzten Prozesse und Systeme bieten Angreifern die gesuchten Zielobjekte."

Bei der Beurteilung, ob OTP-Tokens sicher genug sind, sollten Unternehmen ihren Blick darauf richten, wie die Schlüsselverwaltung funktioniert. Oft geschieht dies dadurch, dass der Token-Anbieter während der Fertigung den Token mit einem Schlüssel versieht. Zeitgleich entsteht eine sogenannte Seed-Datei, die alle Schlüssel für ein ganzes Bündel von Tokens enthält. Die Tokens werden zusammen mit der Seed-Datei beim Kunden ausgeliefert, wo ein Administrator die Seed-Datei auf den Authentifizierungsserver lädt.

Julian Lovelock identifiziert sechs Punkte mit Gefährdungspotenzial im Prozessablauf:

1. Der Herstellungsprozess, aus dem die Seed-Datei entsteht
2. Der Transport der Seed-Datei zum Kundenstandort
3. Der Umgang mit der Seed-Datei vor Ort, bevor sie auf den Authentifizierungsserver hochgeladen wird
4. Die sichere Speicherung der Seed-Datei auf dem Authentifizierungsserver
5. Die Aufbewahrung der Seed-Datei durch den Kunden (häufig auf CD), nachdem diese auf den Authentifizierungsserver hochgeladen wurde
6. Die Aufbewahrung der Seed-Datei durch den OTP-Token- Anbieter

Eine weitaus sicherere Verfahrensweise ist die, dass der Kunde selber OTP-Tokens über die Administrationskonsole des Authentifizierungsservers initialisiert. Bei diesem Ansatz werden die Seed-Dateien aus dem Prozess eliminiert, weil der Schlüssel simultan im Token und der Authentifizierungsserver-Datenbank abgelegt wird. Damit sind fünf von sechs potentiellen Gefährdungspunkten, an denen Angreifer ansetzen können, ausgeschaltet.

"Künftig werden Anbieter, die dieses Vorgehensmodell anwenden, natürlich alles dafür tun, dass die Seed-Dateien nicht aus ihren internen Systemen gestohlen werden können. Aber wenn es in einem Haus sechs offene Türen gibt, wird daraus noch kein sicheres Zuhause, indem man nur die eine Türe verschließt, durch die die Einbrecher das letzte Mal gekommen sind. Natürlich gibt es eine Möglichkeit, alle sechs Gefährdungspunkte auszuschalten: Smart Cards - sie basieren auf asymmetrischen Schlüsseln", so Julian Lovelock.

ActivIdentity GmbH

ActivIdentity Corporation ist ein führender globaler Anbieter von Lösungen zur Identitätssicherung, durch die Kunden Vertrauen für ihre Online-Aktivitäten aufbauen können. Über 2.500 Unternehmen, Online-Banking Anbieter und staatliche Organisationen verlassen sich auf die ActivIdentity Authentifizierungs-und Berechtigungs-Management-Lösungen, um ihre Sicherheits- und Compliance-Anforderungen zu erfüllen. Der Hauptsitz von ActivIdentity befindet sich in Silicon Valley, Kalifornien, USA. ActivIdentity gehört zu HID Global, einer Marke der ASSA ABLOY Group. Weitere Informationen bietet das Internet unter www.actividentity.com.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.