5. September 2008

Gedanken zur Authentisierung

Category: Produkte,Work — Christian @ 12:02

Gefragt ist eine sichere Authentisierung für VPN und/oder Web über das Internet. Statische Passwörter sind dafür offensichtlich unbefriedigend, gewünscht ist eine sogenannte „Zwei-Faktor Authentisierung“, d.h. zusätzlich zum normalen statischen Passwort soll eine zweite Authentisierung hinzukommen. Mit fallen da spontan mehrere Lösungen ein: Token (so kleine Schlüsselanhänger mit Display die Einmalpasswörter generieren), USB-Token (so ähnlich nur statt Display einen USB-Anschluss), Grid-Karten und Handys.

Im deutschen Markt gibt es scheinbar nicht so viel Auswahl an Authentisierungstoken. Ich wüsste bei den klassischen Token nur drei Hersteller: RSA SecurID, Vasco DigiPass und Kobil SecOVID (Nachtrag: außerdem hat Aladdin SafeWord von SecureComputing gekauft und Entrust hat ebenfalls neue IdentityGuard-Token). RSA funktioniert super, ist aber sehr teuer seit es die Starter Bundles nicht mehr gibt. Vasco kenne ich nicht, die Token waren vor ein paar Jahren aber etwas wacklig und wenig überzeugend. Kobil habe ich mir zum Testen mal bestellt, da gibt es gerade Server + 5 Token + 5 User Lizenz für bissi über 180 Euro netto in der Distribution.

Dann gibt es die USB-basierten Lösungen, die jedoch den Nachteil haben, nicht im Internet-Café nutzbar zu sein. Dafür kann man aber z.B. den Festplattenverschlüsselungskey einer Utimaco SafeGuard Easy darauf speichern. Da weiß ich zwei Hersteller: Aladdin eToken und SafeNet iKey (Nachtrag: man könnte auch die RSA SD800 Token noch erwähnen). Aladdin setze ich zusammen mit Utimaco ein, für die Authentisierung sind mir die USB-Token aber nicht flexibel genug. Mein HP iPaq hat z.B. gar kein USB.

Schließlich gibt es die „wir wollen alles noch billiger“-Variante mit statischen Gridkarten. Das sind meist scheckkartengroße Plastikkarten mit in einer Tabelle angeordneten Zahlen und Buchstaben. Zur Authentisierung muss man dann z.B. wie bei Schiffe versenken A5, C3 und D7 angeben. Da fallen mir ebenfalls zwei Hersteller ein: Entrust IdentityGuard und die Schweizer Savernova. Ich persönlich halte das zwar für SnakeOil aber es gibt tatsächlich Banken die das einsetzen.

Und zu guter Letzt gibt es auch die „ich programmiere mir das selber“-Variante, die meistens daraus besteht, dass man über ein Webinterface seinen Loginnamen und ein statisches Passwort eingibt, dann ein zufällig generiertes Einmalpasswort per SMS auf’s Handy geschickt bekommt, das auch noch eingibt und dann Zugang erhält. Da man so eine Funktion in einer PHP-Anwendung leicht implementieren kann und es diverse E-Mail-to-SMS-Gateways gibt (oder man schließt ein altes Handy seriell an einen Rechner an) kenne ich mehrere Unternehmen, die sich so eine Lösung selbst gebaut haben. Die mTAN (Mobile TAN) einiger Banken ist im Grunde nichts anderes.

Mehr fällt mir zur Authentisierung dann auch schon nicht mehr ein.

Habe ich einen wichtigen Hersteller oder noch schlimmer eine clevere Variante vergessen?

Nachtrag:

Joelle hat mich in den Kommentaren freundlicherweise darauf hingewiesen, dass ich die SafeWord-Token von Aladdin (ehemals SecureComputing) komplett unterschlagen habe. Eine SecureComputing-Tokenbox hab ich sogar noch irgendwo im Schrank stehen, die Teile sind aber tatsächlich nie zum Einsatz gekommen.

Nachtrag 2:

Ok ok, ich schreibe einen neuen Artikel mit einer neuen Herstellerübersicht 🙂

9 Comments

  1. Und ne Papier TAN Liste? Noch billiger und einfacher als Mobile TAN und meiner Ansicht nach genauso sicher, da ein handy auch geklaut werden kann. Ist allerdings von der Orga komplexer, da man die TAN Liste ja als Hardcopy verschicken muss.

    Comment by Martin — 5. September 2008 @ 19:00

  2. Was in der Liste zum Thema „selbst machen“ vielleicht noch fehlt ist FreeAuth: http://www.freeauth.org/site

    Comment by Karsten — 5. September 2008 @ 21:01

  3. Die Papier-TAN Liste war früher mal recht beliebt. Die weit verbreitete Check Point Firewall hat bis Version 4.1 S/Key unterstützt. Mit einer S/Key-Software konnte man sich die Liste entweder ausdrucken oder den jeweils aktuellen Wert on-demand erzeugen und sich mit diesem Einmalpasswort an der Firewall authentisieren. Heute ist S/Key in RFC 2289 standardisiert. Eine bekannte Implementierung war OPIE aber von diesem Projekt scheint es nicht einmal mehr die Webseite zu geben. FreeAuth scheint auch erstmal eine Dokumentation vorhandener Fragmente und keine integrierte Lösung zu sein.

    Comment by Christian — 5. September 2008 @ 21:37

  4. Warum siehst Du die „Schiffe versenken Karten“ als SnakeOil? Ich fand das Konzept damals eigentlich sehr pragmatisch, hast Du gute Gründe warum es nicht taugt?

    Kobil…. vergiss es. Ich beobachte diese Company seit Jahren und es ist mir völlig schleierhaft warum es die immer noch gibt. Zur Hardware kann ich wenig sagen, aber die Software ist haarsträubend. Schau es Dir besser wirklich mal sehr genau an…

    Ansonsten hast Aladdin zwar getagged, aber nicht in Deiner Liste. Aladdin macht ebenfalls Tokens und die Token-Software ist wirklich grossartig.

    Joelle

    Comment by Joelle — 10. September 2008 @ 13:47

  5. Die Grid-Karten sehe ich nicht als Token aus dem einfachen Grund, weil ich Token als Device definiere, das nicht einfach zu vervielfältigen ist. Die Idee von nem RSA-Token ist ja z.B., daß ich ohne genau dieses Stück Hardware genau nichts weiß. Ich kann ohne Seed-Datei (die der Anwender normalerweise nicht braucht und auch nicht hat) auch keine Tokencodes vorberechnen. Keine Hardware keine Authentisierung und Kopieren geht nicht. Die Gridkarten lege ich auf nen Kopierer, mache unauffällig 100 Kopien und verteile die an alle Kollegen. Oder schreibe die Ziffernmatrix mal schnell auf ein Blatt Papier, wenn die Karte versehentlich liegengelassen wurde. Mit ein wenig Übung kann ich 5 Sekunden auf die Karte schauen und mir alle Werte sogar wieder merken. Eine Gridkarte als „Authentisierungstoken“ zu bezeichnen wie das die Hersteller der Karten in ihren Marketingbroschüren gerne tun ist für mich ganz klar Snake Oil.

    Aladdin hab nur ich unter USB-Token, weil mir bis eben gar nicht bekannt war, daß die die SafeWord-Token von SecureComputing gekauft haben. Danke für den Hinweis, das war aber erst am 4. September ist also erst ein paar Tage her. Sowas kann mir schon mal entgehen. Die USB-Token von Aladdin setze ich mit Utimaco ein wie im Text beschrieben und da finde ich die ganz gut.

    Comment by Christian — 11. September 2008 @ 01:03

  6. Kobil … die wird es in 100 Jahren noch geben, solange die ihren Großkunden die Dt. Telekom nicht verlieren. Wenn der weg ist, dann gute Nacht Kobil.

    Comment by Christian — 11. September 2008 @ 01:18

  7. Hehe… das mit Kobil stimmt, ich glaube der Koyun hat irgendwas gegen ein Paar T-Comler in der Hand um dort auf immer präsent zu sein…

    Aladdin: Keine Kritik, ich glaube Du hast aber den OTP überseheh. Den gibt es seit rund zwei Jahren:

    http://www.aladdin.de/etoken/devices/ng-otp.aspx

    Zu guter Letzt zum Schiffe versenken: Genau wie bei OTP (Achtung, Verlust…) wird immer empfohlen, 2-factor zu nutzen. D.h. die Karte OHNE zusätzliche Phrase ist nutzlos, genau wie der OTP. Also, Nummer von OTP/Karte plus Kopf = Login. Daher halte ich das Papier für sehr pragmatisch in vielen Fällen, insb. für NGOs und Communities, die nicht ewig viel Geld für HW ausgeben wollen.

    Comment by Joelle — 11. September 2008 @ 08:29

  8. Verdammt, ja. Den NG-OTP kannte ich wirklich nicht.

    Comment by Christian — 11. September 2008 @ 19:49

  9. Kommentare gesperrt wegen Spam

    Comment by Christian — 21. November 2008 @ 22:27

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.