Deutschlands großes Presseportal - Homepage
» kostenlos Pressemitteilung veröffentlichen
» Kunden Login zu "meine Redaktion"
»Suche / Lokale Suche
> Startseite > Interviews

 

Ein Passwort allein ist nicht sicher

Interview mit Marko Rogge und Cornelius Kölbel

PresseAnzeiger: Wieviel mehr Sicherheit bietet LSE LinOTP 2 im Vergleich zu Nutzernamen/Passwort-Systemen?

Marko Rogge und Cornelius Kölbel: Nutzername/Passwort-Systeme bringen das Problem mit sich, dass ein Benutzer hier lediglich über das Wissen eines Passwortes authentifiziert wird. Man spricht hier von nur einem Faktor: Dem Wissen um das Passwort. Wissen lässt sich natürlich beliebig teilen und weitergeben. Dies ist mit dem Passwort nicht anders. Ein Passwort kann gewollt oder ungewollt weitergegeben werden. In einem solchen Fall ist evtl. auch gar nicht nachvollziehbar, ob und an wen alles das Passwort weitergegeben wurde. LSE LinOTP 2 ist ein Einmalpasswort-System, bei dem Einmalpasswörter (OTP) mit einem Einmalpasswortgenerator erzeugt werden. (Hardware-Token oder auch Software-Token mit unterschiedlichen OTP-Algorithmen). Da dieses Einmalpasswort außerhalb des Backends nur mit Hilfe dieses Hardware-Tokens erzeugt werden kann, spricht man hier von einem zweiten Faktor: dem Besitz des Hardware-Tokens. Ohne den Besitz des Tokens (um das Einmalpasswort zu erzeugen) kann sich der Benutzer nicht anmelden – sondern der Benutzer muss sich mit einem Passwort, das er sich merkt (Wissen) und dem Einmalpasswort, das er mit dem Hardware-Token erzeugt (Besitz), anmelden. Die Anmeldung ist also nur mit den zwei Faktoren Wissen und Besitz möglich. Der Besitz kann zwar weitergegeben, aber nicht dupliziert werden. D.h. Wenn dem Benutzer der Hardware-Token abhanden kommt, wird er es – anders als im Falle des Verlustes eines normalen Passwortes – merken. LSE LinOTP 2 schützt also vor 1. Duplizierung der Authentisierungsmerkmale; 2. Replay-Attacken einer Anmelde-Kommunikation; 3. Passwort Sniffing zum Erspähen des Passwortes; 4. Social Engineering zum Herausfinden des Passwortes; 5. Keylogger in Soft- oder Hardware. Da Sniffing, Social Engineering und Keylogger recht gebräuchliche Varianten sind, um an Passwörter zu gelangen, ist der Sicherheitsgewinn, den man durch den Einsatz von LSE LinOTP 2 gegenüber normaler Passwortauthentisierung erreicht, als sehr hoch anzusehen. Natürlich sollte unbedingt darauf geachtet werden, dass Daten nach einer erfolgreichen, starken Authentisierung auch verschlüsselt über öffentlich Leitungen transportiert werden.

 

PresseAnzeiger: Welchen Weg geht Ihre LSE LinOTP 2-Lösung, um man-in-the-middle-Attacken weniger erfolgversprechend zu machen?

Marko Rogge und Cornelius Kölbel: LSE LinOTP 2 schützt per se nicht vor MITM Attacken (Man-in-the-Middle). Der Schutz der Wahl vor solchen Attacken ist nach wie vor die Authentifizierung des Dienstes (Webserver, SSH-Server, Terminalserver) gegenüber dem Benutzer. Dies wird durch vertrauenswürdige Zertifikate oder unveränderte Fingerprints von öffentlichen SSH Keys sichergestellt. Die Aufgabe von LSE LinOTP 2 ist nicht die Sicherung des Kommunikationsweges, sondern wie vorher dargestellt die Sicherung der Authentisierung. Das bedeutet, wird ein unsicherer Kommunikationsweg zur Authentisierung gewählt, so kann auch LSE LinOTP 2 eine Man-in-the-Middle Attacke nicht verhindern. Ein Angreifer wird alles – sowohl die Authentisierung als auch die nachher transferierten Daten – mitlesen können. LSE LinOTP 2 wird natürlich, da für die Authentisierung ein Einmalpasswort verwendet wurde, verhindern, dass sich der Angreifer zu einem späteren Zeitpunkt selber authentisieren kann. Doch sind natürlich alle transferierten Nutzdaten und evtl. Geschäftsgeheimnisse für den Angreifer sichtbar geworden. Daher ist es erforderlich, die starke Authentisierung mit LSE LinOTP 2 auch immer mit einer starken Verschlüsselung und einem sichere Authentisierungsprotokoll zu kombinieren.

 

PresseAnzeiger: Welche weiteren Verbesserungen sind anzuraten, um Systeme umfassend zu sichern?

Marko Rogge und Cornelius Kölbel: Das hängt sehr stark davon ab, welche Daten die Systeme tragen und wo und wie sie eingesetzt werden. Ein Thin-Client, der keine sensiblen Daten enthält muss nicht verschlüsselt werden, sollte aber davor geschützt werden, das unbemerkt Trojaner oder Keylogger aufgebracht werden können. Wie bereits dargestellt, sollte ein sicheres Authentisierungs- bzw. Kommunikationsprotokoll gewählt werden. Notebooks sollte man vollverschlüsseln. An anderer Stelle können andere Verschlüsselungslösungen ratsam sein. Dann muss das weite Feld der auf den Systemen installierten Software betrachtet werden. Welche Dienste laufen dort? Wie kann die Software gehärtet werden? Eventuell ist es ratsam, ein System zu monitoren. Um ein System umfassend sicher zu machen, ist jeweils das dedizierte System und seine Umgebung zu betrachten und eine umfassende Sicherheitsberatung anzuraten. Dies sind Fragestellungen, bei der die Consulting Abteilung der LSE ihren Kunden zur Seite steht.

 

Seite 1 von 2 - lesen Sie weiter >

Datum: 07.06.2010


Vervielfältigung, Abdruck und Veröffentlichung nur mit ausdrücklicher und schriftlicher Genehmigung. Zitieren mit Quellenangabe ist genehmigungsfrei.


zur vorherigen Seite | alle Interviews | nach oben

Λ nach oben

Stichwort-Suche:

Pressemitteilung von:

Logo: LSE Leading Security Experts GmbH


LSE Leading Security Experts GmbH

LSE Leading Security Experts GmbH
Ansprechpartner: Cornelius Kölbel
Robert-Koch-Straße 9
64331 Weiterstadt

Die LSE Leading Security Experts GmbH ist spezialisiert auf Informations- und IT-Sicherheit für Unternehmen. Die LSE hat sich ihren Platz an der Spitze der Kompetenzträger der deutschen IT/TK-Security-Branche erarbeitet und...

mehr »

zur Pressemappe von
LSE Leading Security Experts GmbH

weitere Meldungen von
LSE Leading Security Experts GmbH

Mehr Sicherheit durch Einmal-Passwörter (OTP) mit LSE LinOTP 2 Enterprise

mehr »

 

 

Interviews nach
Kategorien sortiert:

» alle anzeigen
» IT, Computer & Internet
» Handel & Wirtschaft
» Finanzen & Versicherungen
» Umwelt & Energie
» Gesellschaft & Kultur
» Wissenschaft & Forschung
» Gesundheit & Medizin
» Industrie & Handwerk
» Politik
» Urlaub & Reise
» Recht & Gesetz
» Logistik & Verkehr
» Mode & Lifestyle
» Freizeit & Hobby
» Vereine & Co
» Immobilien
» Mobile (Auto, Motorrad, Boote)
» Weiterbildung & Schulungen
» Sport

 

 


Hinweis: Um Ihnen ein optimales Nutzererlebnis zu bieten, verwenden wir Cookies. Durch die Nutzung dieser Webseite erklären Sie sich damit einverstanden.   Nachricht schließen   mehr info