Ich freue mich ja immer, wenn ich unaufgefordert Werbung zu Snake Oil Security Produkten bekomme. Das gibt immer wieder einen schönen Blog-Eintrag.
Heute habe ich Spam eine gaaanz tolle Produktinformation der Firma Supernova Savernova bekommen, die eine gaaanz tolle Gridkarte für gaaanz tolle Passwörter anbieten. Gridkarten sind einfach Papp- oder Plastikkarten die je nach Ausstattung entweder Ziffern (für PINs) oder alphanumerische Zeichen für Passwörter in einer Tabelle anordnen und der Nutzer merkt sich dann entweder den Anfang (G3) und die Lese-Richtung (nach rechts) um sein Passwort wiederzufinden oder er wird nach mehreren Feldern (F5, A2, E4) zur Authentisierung gefragt. Das funktioniert dann wie Schiffe versenken. Im Grunde nix, das man sich nicht mit ein paar Zeilen Perl und/oder einem Radius-Server selbst basteln könnte.
Bei Savernova sieht die kostenfreie Ausdruckkarte (PDF) dann so aus:
Das ist zwar nicht ganz wie „Passwort aufschreiben“ (außer, die 11 Felder rechts sind so gedacht, dass man da die Passwörter notiert) aber schon fast. Wenn jemand die Karte in die Hand bekommt, lassen sich nur endlich viele verschiedene Passwörter daraus erzeugen. Die kann man ruckzuck durchprobieren. Und wenn man die Karte verliert, dann hat man das Passwort leider nicht mehr (oder man hat glücklicherweise das Passwort mittels Textmarker auf der Backupkarte markiert).
Andererseits ist das Marketing nicht blöd. Zum einen klingt der Claim „Savernova – Swiss IT Security“ nach der Qualität eines Schweizer Armeetaschenmessers. Zum anderen die Verlinkung: „Unternehmen können die Webkarten mit eigenem Logo personalisieren und auf ihrer Homepage unlimitiert und kostenfrei zur Verfügung stellen.“ So schafft man sich zumindest Bekanntheit.
Ich habe leider nicht herausgefunden, wie viel Savernova kosten soll. Bei PC-Welt gibt es jedenfalls Codestar für 20 Euro. Da kann man sich auch lustige bunte Passwort-Karten ausdrucken, einen Farbdrucker vorausgesetzt. Ok, da ist die berüchtigte Middleware nicht dabei, mit der sich die Passwortkarten an die Unternehmens-IT anbinden lassen. Aber will das wirklich irgendwer (PDF)?
Naja, für einige Leute mag die Passwortkarte ja ganz praktisch sein und erfreulicherweise wird bei jedem Aufruf eine andere Karte generiert (auch wenn ich nicht weiß, was die ID und der SecureCode darauf bedeuten soll). Allerdings darf man sich den Webserver auch nicht so genau ansehen. Manuell eingegebene URLs mag der nämlich nicht:
Also doch besser mit Perl selbst was gebastelt. Das funktioniert dann auch mit Linux. Oder weiter Schiffe versenken gespielt.
Die IDs sind dafür da, eine bestimmte Safernova-Karte wiederherzustellen.
Der Kritik an den Dingern stimme ich zu. Es lassen sich damit zwar schön ausgefallene Passwörter erzeugen, die keiner erraten kann, aber wenn jemand die Karte in die Finger bekommt, ist die Zahl der möglichen Kombinationen halt doch recht begrenzt.
Comment by Andreas — 15. Februar 2008 @ 12:07
Wenn man mit den IDs auf die Karte zurückschließen kann, wird es meiner Ansicht nach noch gefährlicher. So eine ID kann sogar ich mir nach einem Blick merken, eine komplette Karte jedoch nicht.
Was mich aber vor allem daran stört ist, daß die Karten als adäquate Sicherheitslösung für Unternehmen vermarktet werden und das sind sie definitiv nicht. Die könnte man verwenden, um den eBay-Zugang sicherer zu machen. Da hat man Privatanwender für die ist das genau richtig. Eine Plastikkarte mit so einer Matrix und gut.
Ich glaube, wenn wir das als Firma anbieten wollten dann würden wir uns kräftig blamieren.
Comment by Christian — 15. Februar 2008 @ 16:56
Kommentare gesperrt wegen Spam
Comment by Christian — 27. Februar 2009 @ 21:32