Gefragt ist eine sichere Authentisierung f\u00fcr VPN und\/oder Web \u00fcber das Internet. Statische Passw\u00f6rter sind daf\u00fcr offensichtlich unbefriedigend, gew\u00fcnscht ist eine sogenannte „Zwei-Faktor Authentisierung“, d.h. zus\u00e4tzlich zum normalen statischen Passwort soll eine zweite Authentisierung hinzukommen. Mit fallen da spontan mehrere L\u00f6sungen ein: Token (so kleine Schl\u00fcsselanh\u00e4nger mit Display die Einmalpassw\u00f6rter generieren), USB-Token (so \u00e4hnlich nur statt Display einen USB-Anschluss), Grid-Karten und Handys.<\/p>\n
Im deutschen Markt gibt es scheinbar nicht so viel Auswahl an Authentisierungstoken. Ich w\u00fcsste bei den klassischen Token nur drei Hersteller: RSA SecurID<\/a>, Vasco DigiPass<\/a> und Kobil SecOVID<\/a> (Nachtrag: au\u00dferdem hat Aladdin SafeWord<\/a> von SecureComputing gekauft und Entrust hat ebenfalls neue IdentityGuard-Token<\/a>). RSA funktioniert super, ist aber sehr teuer seit es die Starter Bundles nicht mehr gibt. Vasco kenne ich nicht, die Token waren vor ein paar Jahren aber etwas wacklig und wenig \u00fcberzeugend. Kobil habe ich mir zum Testen mal bestellt, da gibt es gerade Server + 5 Token + 5 User Lizenz f\u00fcr bissi \u00fcber 180 Euro netto in der Distribution.<\/p>\n Dann gibt es die USB-basierten L\u00f6sungen, die jedoch den Nachteil haben, nicht im Internet-Caf\u00e9 nutzbar zu sein. Daf\u00fcr kann man aber z.B. den Festplattenverschl\u00fcsselungskey einer Utimaco SafeGuard Easy darauf speichern. Da wei\u00df ich zwei Hersteller: Aladdin eToken<\/a> und SafeNet iKey<\/a> (Nachtrag: man k\u00f6nnte auch die RSA SD800 Token<\/a> noch erw\u00e4hnen). Aladdin setze ich zusammen mit Utimaco ein, f\u00fcr die Authentisierung sind mir die USB-Token aber nicht flexibel genug. Mein HP iPaq hat z.B. gar kein USB.<\/p>\n Schlie\u00dflich gibt es die „wir wollen alles noch billiger“-Variante mit statischen Gridkarten. Das sind meist scheckkartengro\u00dfe Plastikkarten mit in einer Tabelle angeordneten Zahlen und Buchstaben. Zur Authentisierung muss man dann z.B. wie bei Schiffe versenken A5, C3 und D7 angeben. Da fallen mir ebenfalls zwei Hersteller ein: Entrust IdentityGuard<\/a> und die Schweizer Savernova<\/a>. Ich pers\u00f6nlich halte das zwar f\u00fcr SnakeOil aber es gibt tats\u00e4chlich Banken die das einsetzen.<\/p>\n Und zu guter Letzt gibt es auch die „ich programmiere mir das selber“-Variante, die meistens daraus besteht, dass man \u00fcber ein Webinterface seinen Loginnamen und ein statisches Passwort eingibt, dann ein zuf\u00e4llig generiertes Einmalpasswort per SMS auf’s Handy geschickt bekommt, das auch noch eingibt und dann Zugang erh\u00e4lt. Da man so eine Funktion in einer PHP-Anwendung leicht implementieren kann und es diverse E-Mail-to-SMS-Gateways gibt (oder man schlie\u00dft ein altes Handy seriell an einen Rechner an) kenne ich mehrere Unternehmen, die sich so eine L\u00f6sung selbst gebaut haben. Die mTAN (Mobile TAN) einiger Banken ist im Grunde nichts anderes.<\/p>\n Mehr f\u00e4llt mir zur Authentisierung dann auch schon nicht mehr ein.<\/p>\n Habe ich einen wichtigen Hersteller oder noch schlimmer eine clevere Variante vergessen?<\/p>\n