NW_20010328_de_ZDNetAsia, 28.03.01_ "Tokens_ Eine zusätzliche Ebene für sicheren Zugriff"

28. März 2001

Identifikation und Authentifizierung sind zwei Zauberwörter, wenn es um Sicherheit geht. Das Einlassen eines autorisierten Benutzers, während nicht autorisierte Personen ferngehalten werden, klingt einfacher als es ist. Wenn ich Sie auf der Straße treffen würde, könnte ich Sie sehen, mit Ihnen Geschäfte machen, und wenn wir vorher Geschäfte gemacht hätten, würde ich Sie höchstwahrscheinlich erkennen - an Gesicht, Stimme oder einer Art körperlichem Manierismus oder Körpersprache.

Das heutige E-Business wird über drahtgebundene und drahtlose Medien abgewickelt, bei denen Gesichter in Bytes verschwimmen. In den meisten Fällen ist die Identifizierung ein Kennwort, das in ein Textfeld eingegeben wird.

Einer der ersten und wichtigeren Schritte bei der Verwendung eines Remote-Sicherheitssystems ist der Identifizierungs- und Authentifizierungsprozess: Wer sind Sie und können Sie dies beweisen?

Identifikation / Authentifizierung macht zwei Dinge (und es macht sie besser gut): Es ermöglicht dem richtigen Benutzer hinein; und es hält alle anderen fern. Zumindest ist das die Idee. Es ist einfach, einen der beiden Schritte auszuführen - entweder lassen Sie alle rein oder lassen Sie alle draußen. Beides gut zu machen ist schwieriger.

Traditionell hat sich die Identifikation auf eines von drei Dingen beschränkt: etwas, das Sie wissen, etwas, das Sie sind oder etwas, das Sie haben. Technologisch gesehen bedeuten diese:
· Passwörter
· Biometrie
· Token

Passwörter sind allgemein bekannt und werden in den meisten alltäglichen Problemen verwendet. Biometrie bezieht sich auf die Verwendung der Bio-Daten einer Person zur Authentifizierung. Fingerabdrücke, Retina-Scans und Sprachabdruckerkennung sind einige der gebräuchlichsten Methoden zur Überprüfung der Identität.

Sowohl Passwörter als auch biometrische Daten weisen Mängel auf, die sich schnell bemerkbar machen. Ein Passwort zu haben bedeutet, sich daran erinnern zu müssen. In der Regel sind sie kompromittiert, weil sie schwer zu merken sind und daher aufgeschrieben werden. Biometrie wird teurer, wenn sie genauer wird, obwohl sie immer beliebter wird.

Zugriffstoken fallen unter die dritte Authentifizierungsmethode und authentifizieren sich basierend auf dem, was sich in Ihrem Besitz befindet. Tokens können verwendet werden, um einen Rückkehrcode für den Zugriff auf ein System bereitzustellen, das einen Challenge-Code ausgibt. Token an sich sind nicht unfehlbar, bieten aber eine zusätzliche Sicherheitsebene. Ein Sicherheitstoken, der in die Hände eines anderen fällt, funktioniert weiterhin so, wie es programmiert wurde. Die beste Verwendung der Authentifizierung wäre die Verwendung einer Kombination aus zwei oder mehr der drei Prüfungen.

Ein Beispiel wäre das Digipass-Sicherheitstoken von VASCO. Das Unternehmen hat sich kürzlich mit der OCBC Bank in Singapur zusammengeschlossen, um ihre Authentifizierungs- und Signaturlösungen in das bestehende E-Transaktionssystem der Bank zu integrieren.

Der Digipass ähnelt einem kleinen Taschenrechner, der dynamische Passwörter, auch Einmalpasswörter (OTP) genannt, berechnet. Bei Eingabe einer persönlichen Identifikationsnummer (PIN) für den Digipass kann das Token ein OTP für die Verwendung auf dem Remote-System berechnen, auf das zugegriffen wird.

Die Berechnungen basieren auf dem DES-Algorithmus (Data Encryption Standard), der einen zufällig ausgewählten 56-Bit-Schlüssel auf jeden 64-Bit-Datenblock anwendet. Dies bedeutet, dass die Benutzer nicht nur ihre Kontodaten und ihre PIN-Nummer kennen müssen, sondern auch im Besitz des Digipass sein müssen, da sowohl das Sender- als auch das Empfängersystem den Verschlüsselungsschlüssel kennen müssen, um sich zu authentifizieren.

Mit dem Digipass können auch digitale Signaturen, auch elektronische Signaturen genannt, berechnet werden, um elektronische Transaktionen zu authentifizieren und die Integrität der Nachricht zu gewährleisten, indem sichergestellt wird, dass sie nicht manipuliert wurde. Diese Art der Sicherheit mag einigen übermäßig erscheinen, ist jedoch die Kombination einiger Maßnahmen, die in ein System implementiert werden, mit dem die Benutzer ein leichtes Gerät mit sich führen können, das eine sichere Authentifizierung und Identifizierung ermöglicht.

Die kryptografischen Berechnungen werden vom Gerät ausgeführt, so dass der Benutzer nur minimalen Aufwand hat und eine angemessene Sicherheit für große elektronische Transaktionen bietet. Man zahlt den geringen Preis für das Mitführen eines Geräts von der Größe eines Taschenrechners, um sichere elektronische Transaktionen durchführen zu können.

Selbst wenn das Digipass-Gerät in die Hände eines anderen fällt, ist eine PIN-Nummer erforderlich, um darauf zuzugreifen und es zu aktivieren. Wenn ein Benutzer das Authentifizierungskennwort notiert oder nach einer Transaktion im Cache eines Terminals belassen sollte, ist dies für andere Benutzer nicht von Nutzen, da es nur einmal gültig ist.

Aus Sicht des Unternehmens implementiert der Digipass Sicherheit an dem traditionell schwächsten Glied - dem Kunden. Der Kunde möchte wirklich nur in der Lage sein, sicher Geschäfte zu machen, und kümmert sich wirklich nicht um Kryptografie oder ein anderes Back-End-System.

Ein tragbares Sicherheitstoken wie der Digipass bietet eine weitere Sicherheitsebene, die nicht nur für Unternehmen oder Banken skalierbar, sondern auch für Kunden bequem ist.

VASCO hat kürzlich ein neues Modell (Digipass 800) für die Digipass-Familie veröffentlicht, das die Verwendung von Smartcards in Verbindung mit dem Token ermöglicht, um noch mehr Funktionen für E-Banking oder sichere E-Commerce-Transaktionen bereitzustellen.