{"id":328,"date":"2007-10-20T19:05:43","date_gmt":"2007-10-20T17:05:43","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/328-grid-ids-gegen-rsa-token"},"modified":"2018-05-22T23:17:16","modified_gmt":"2018-05-22T22:17:16","slug":"grid-ids-gegen-rsa-token","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/328-grid-ids-gegen-rsa-token","title":{"rendered":"Grid IDs gegen RSA Token"},"content":{"rendered":"<p><a href=\"http:\/\/www.rsa.com\/node.aspx?id=1156\">RSA SecurID<\/a> Token, diese komischen kleinen Teile mit dem 6-Ziffern-Display auf dem alle 60 Sekunden ein neues Passwort erscheint sind, obwohl teuer, immer noch erste Wahl wenn es um die Authentisierung von Remote Access Usern geht.<\/p>\n<p><img src=\"\/blog\/wp-content\/uploads\/2007\/10\/sid700.gif\" \/><\/p>\n<p>Ich gebe ja zu, wir verkaufen selbst RSA und gerade auch als Administrator sind die Teile sehr einfach und schnell eingerichtet und funktionieren einfach. Leider kostet ein Token so ca. 50 Euro und alle drei Jahre darf man ein neues kaufen.<\/p>\n<p>Seit einiger Zeit versuche Anbieter von sogenannten Authentication Grids jedoch, mit extrem g\u00fcnstigen Preisen in den Markt der Authentisierungstoken einzudringen. Zu den Anbietern geh\u00f6ren beispielsweise <a href=\"http:\/\/www.masabi.com\/\">Masabi<\/a> aber auch <a href=\"http:\/\/www.entrust.com\/strong-authentication\/identityguard\/\">Entrust mit IdentityGuard<\/a>. Eine IdentityGuard Grid-Karte sieht so aus:<\/p>\n<p><img src=\"\/blog\/wp-content\/uploads\/2007\/10\/entrust.jpg\" \/><\/p>\n<p>Der Anwender wird dann wie bei Schiffe versenken nach D4, A3 und H5 gefragt und antwortet dann mit &#8222;440&#8220;. Die Nummer gilt als Einmalpasswort, wenn diese Kombination nur einmal verwendet wird.<\/p>\n<p>Ich sehe dabei zwei grunds\u00e4tzliche Probleme:<\/p>\n<ol>\n<li>Die Grid-Karte hat nur 50 verschiedene Kombinationen, d.h. nach relativ wenig Authentisierungsvorg\u00e4ngen kennt der Angreifer die Position von allen Ziffern. Ich kann mit ja D4, A3 und H5 merken, und wenn das n\u00e4chste mal nach F1, E2 und A3 gefragt wird dann ist die letzte Ziffer des Passworts schon bekannt. Praktisch kann man daher nicht von einem Einmalpasswort sprechen.<\/li>\n<li>Die Grid-Karte kann unbemerkt vom User kopiert und vervielf\u00e4ltigt werden. Ich bin mir sicher, es gibt auch Menschen mit einem photographischen Ged\u00e4chtnis, die kucken sich die Karte einmal kurz an und haben alle Ziffern memoriert. Ein wenig Social Engineering (&#8222;Sie haben so eine Karte? Cool, kann ich die mal sehen?&#8220;) und schon ist die Sicherheit gelaufen.<\/li>\n<\/ol>\n<p>RSA Token haben den Vorteil, dass das Hardware-Token nicht kopiert werden kann. Wenn es weg ist bemerken das die Anwender meist recht schnell. Au\u00dferdem \u00e4ndert sich (zeitsynchronisiert, nicht <a href=\"\/blog\/98-bundestag-verwendet-kobil\">eventsynchronisiert<\/a>) alle 60 Sekunden das Passwort, man kann es also gefahrlos herzeigen. Ich pers\u00f6nlich halte die Grid-Token ja weiterhin f\u00fcr eine Spielerei. In etwa einer Stunde kann man sowas z.B. f\u00fcr eine Webserver-Authentisierung auch selbst programmieren. Aber die Karten sind halt extrem g\u00fcnstig (so ab 1 Euro pro St\u00fcck) und auf die R\u00fcckseite kann man sogar noch Werbung drucken.<\/p>\n<p>Lassen wir also <a href=\"http:\/\/www.theinquirer.net\/gb\/inquirer\/news\/2007\/10\/19\/masabi-kill-rsa-keyfobs\">Masabi in seiner Illusion<\/a>, RSA ersetzen zu k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>RSA SecurID Token, diese komischen kleinen Teile mit dem 6-Ziffern-Display auf dem alle 60 Sekunden ein neues Passwort erscheint sind, obwohl teuer, immer noch erste Wahl wenn es um die Authentisierung von Remote Access Usern geht. Ich gebe ja zu, wir verkaufen selbst RSA und gerade auch als Administrator sind die Teile sehr einfach und [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[5,6],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/328"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=328"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/328\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}