Open Source im professionellen Einsatz
Linux-Magazin 07/2008
© FotoFactory.cc, fotolia.com

© FotoFactory.cc, fotolia.com

Sichere Authentifizierung mit Einmalpasswörtern

Einmalige Gelegenheit

Passwörter sind trotz Biometrie-Boom immer noch das am häufigsten eingesetzte Mittel zur Authentifizierung. In unfreundlichen Umgebungen versuchen Falschspieler sie abzuhören oder auszuspähen. Das macht aber nichts, wenn sie nur einmal gültig sind.

675

Sicherheitssysteme greifen auf Wissen oder Besitz zurück, wollen prüfen, ob ein Benutzer berechtigt ist. Wissen prüfen sie typischerweise durch Passwörter, Besitz durch das Vorweisen eines Gegenstands, sei dies ein Hausschlüssel oder ein elektronisches Token. Wer den ersten Weg geht, sieht sich mit dem Problem konfrontiert, dass sich Passwörter weitergeben oder abhören lassen.

One-Time-Passwords gelten dagegen nur einmal, etwa die TANs beim Onlinebanking. Sollten Angreifer sie abhören, während sie sich auf dem Weg zur Authentifizierungsstelle befinden - kein Problem, einmal benutzt, sind sie ungültig. Anwendern eröffnet sich so die Möglichkeit, mit besserem Gewissen Internetcafés im Urlaub nutzen, von denen nicht klar ist, ob jemand die PCs an der Strandbar manipuliert hat. Eine Anforderung an diese Zugangsberechtigung ist also, einmalig zu sein. Damit verhindert das System, dass ein Angreifer sie später für eine erneute Authentifizierung nutzt.

Sogar eine am Ferienort selbst installierte Verschlüsselungssoftware hilft in diesem Szenario nur bedingt, wenn Passwörter im Spiel sind: Passwortgrabber lassen sich selbst im Kabel zwischen Tastatur und PC fast unentdeckbar verstecken.

Quizfrage

Ein fiktives System für Einmalpasswörter speichert einfach viele Kennwörter pro Benutzer. Zu den Nachteilen dieser Methode gehört, dass Anwender sich alle merken müssen. Besser sind Verfahren, die eine Frage stellen, die der Einlass-Suchende korrekt beantworten muss - und deren Antwort nur er kennt. Dieser Challenge-Response genannte Ansatz (Abbildung 1) arbeitet meist mit Zahlen für die Frage eines Servers und die Antwort eines Clients, der Zugang verlangt. Der Server übermittelt eine zufällige Zahl, erzeugt also ein Ereignis (Event-based OTP). Aus dieser Challenge berechnet der Client eine Antwort auf eine Weise, die nur die beiden kennen.

Abbildung 1: Beim Challenge-Response-Verfahren stellt der Server eine Aufgabe (Challenge), die der Client beantwortet (Response). In realen Systemen kommen oft Hashfunktionen und ein Passwort zum Einsatz.

In einem einfachen Beispiel etwa dadurch, dass er zu ihr 42 addiert. Die so gewonnene Response meldet er zurück. Weil beide Partner die Rechenvorschrift und die geheime PIN 42 kennen, ist für Außenstehende nicht offensichtlich, wie die Response zu einer Challenge lautet.

Rechenübungen

Hört ein Angreifer jedoch einige Paare von Challenges und Responses ab, könnte er bei genauerer Betrachtung hinter den Mechanismus kommen. Dieses Known-Plaintext genannte Verfahren der Kryptoanalyse ist in der Fachliteratur umfassend beschrieben [1]. Wenden beide Partner nach der Rechenvorschrift jedoch noch eine Hashfunktion an, ist dem Lauscher dieser Weg versperrt. Deren Ergebnisse muten nämlich fast wie Zufallszahlen an und lassen sich nicht umkehren.

Weil sich diese Berechnung schlecht im Kopf ausführen lässt, trägt der Anwender ein kleines Gerät bei sich. Es heißt Token und sieht einem Taschenrechner ähnlich. Ein Vertreter dieser Token ist der Digipass Pro 300 von Vasco [2] in Abbildung 2. Alternativ gibt es Java-Programme für Mobiltelefone oder PDAs. Ganz ohne Tastatur kommen Token aus, die von der aktuellen Zeit und einer eingebauten PIN einen Hashwert bilden (Time-based OTP, Abbildung 3).

Abbildung 2: Der Digipass Pro 300 von Vasco setzt das Challenge-Response-Verfahren ein. Der Anwender tippt über die Tastatur des Token die Challenge ein und liest die Response vom Display ab.

Abbildung 3: Das Secur-ID-Token SID700 von RSA/EMC kodiert die aktuelle Uhrzeit und den eingebauten Schlüssel. Das Display zeigt also jede Minute eine neue PIN an.

Damit das funktioniert, ist es nötig, dass die Uhren im Server und im Token sehr synchron laufen - nach mehreren Jahren Betrieb oft ein Problem. Daher drucken viele Anbieter gleich ein Verfallsdatum auf den Token auf. Prominenter Vertreter der ersten Klasse ist Secur ID von RSA/EMC [3]. Eine Reihe weiterer Anbieter bietet Hardwarelösungen an, darunter Aladdin mit dem E-Token [4] oder Cryptocard mit dem Crypto-Token [5].

Der Vorteil dieser Geräte ist, dass sie mit normalem Aufwand kaum kopierbar sind. Ein Passwort hingegen ist schnell einem Kollegen erzählt, eine Passwortliste lässt sich per Fotokopierer duplizieren. Allerdings sind solche Token oft vergleichsweise teuer (je nach Stückzahl ab etwa 50 Euro), mit Patenten belegt oder in ihrer Funktionsweise als Sicherheitsgerät nicht vollständig offengelegt. Experten nennen das Security by Obscurity.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Lin OTP 2.4 unterstützt OATH und Yubikey

    Das Unternehmen Lsexperts hat Lin OTP in Version 2.4 veröffentlicht, eine freie Lösung für die Zwei-Faktor-Authentifizierung mit Einmalpasswörtern.

  • Besser abgesichert

    Wer seinen Rechner richtig absichern will, muss zu Einmalpasswörtern greifen. Da finden sich diverse proprietäre Backends, die mit Radius kommunizieren. Feature-technisch ist Lin OTP das einzige freie Pendant. Auch wenn es noch in einem frühen Stadium ist, hat es doch das Zeug zur ernsthaften Alternative.

  • Picosafe: Sicheres Embedded-Gerät mit Verschlüsselung

    Die Embedded Projects GmbH aus Augsburg hat unter dem Namen Picosafe ein sicheres Mobilgerät auf Linux-Basis vorgestellt.

  • Einmal und nicht wieder

    Einmal-Passwörter aus Hardware-Tokens sind Wegwerfware der sicheren Art. Der passende Crypto-Server 6.3 mit seiner Zwei-Faktor-Authentifizierung ist dagegen für den Dauergebrauch gedacht.

  • Fremde Finger

    Gute Passwörter sind schwer zu merken und aufwändig einzutippen. Das nimmt der USB-Stick Open Kubus bastelfreudigen Anwendern ab und implementiert zudem Einmalpasswörter.

comments powered by Disqus

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.