OTP-Generator als USB-Stick
Von Uli Ries
Beim Umgang mit PC oder Notebook ist eine Zwei-Faktor-Authentifizierung normalerweise kein Problem. Daher erfreuen sich insbesondere die kleinen USB-Sticks des schwedischen Herstellers Yubico großer Beliebtheit. Die Yubikey genannten Sticks melden sich als normale Tastatur am Rechner an und produzieren nach Druck auf den kleinen goldenen Taster an der Oberseite wahlweise ein One Time Passwort (OTP) oder schicken ein zuvor abgelegtes, festes Passwort an Betriebssystem bzw. anfragende Anwendung. Beim OTP wird der auf dem Key gespeicherte symmetrische AES-Schlüssel zum Erzeugen des Passworts eingesetzt.
Der einzige Haken an der Anmeldung per Einmalpasswort ist, dass das Verfahren eine Internet-Anbindung voraussetzt, damit ein Server von Yubikey (oder einem anderen Anbieter – die hierzu verwendete Software bietet Yubikey gratis zum Download) das OTP abgleichen kann. Hierdurch leidet die Praxistauglichkeit insbesondere bei mobilen Notebooks, Tablets und Smartphones ein wenig. Der Login am Betriebssystem – Yubikeys können zur Anmeldung an Linux, Mac OS X und Windows verwendet werden – sollte also auch per statischem Passwort möglich sein. Andernfalls kommt es z.B. an Bord eines Flugzeugs zu Zwangspausen.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT 2014. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Eine Reihe großer Unternehmen wie Agfa, Facebook, Google, Microsoft oder Symantec geben die Keys bereits an ihre Mitarbeiter aus, um so für mehr Sicherheit beim Login zu sorgen. Im Fall von Facebook ist bekannt, dass Mitarbeiter wie gewohnt per Nutzername und Passwort an ihr E-Mail-Konto kommen – es sei denn, sie wollen sich von einem bislang vom Server nicht erkannten Ort aus tun. Das ist z.B. dann der Fall, wenn der Mitarbeiter im Urlaub oder in einer ausländischen Niederlassung des Unternehmens weilt. In diesem Fall verlangt der Server zusätzlich nach dem Yubikey. Auch das Authentisieren von SSH-Sessions übernehmen die Yubikeys für einige Facebook-Mitarbeiter, wie das US-Magazin Wired auf seiner Website schreibt.
Tresor für die Doppelsicherung
Immens praktisch ist ein Token wie der Yubikey in Verbindung mit einem Passwortsafe wie KeePass oder LastPass. Dann erhöht der zweite Faktor die Sicherheit des Passwortsafes noch einmal deutlich. Beide Anbieter verstehen sich mit Yubikeys, sodass keinerlei Konfigurationsaufwand nötig ist.
Empfehlenswert ist der Zwei-Faktor-Login, wenn der Passwortsafe per Online-Synchronisation vom PC aufs Smartphone gespiegelt werden soll. Selbst wenn das Passwort des Anwenders geknackt wäre, bräuchte ein Datendieb, der sich z.B. nach einem Einbruch in die Server des Anbieters der Passwortsafe-Software des Tresors bemächtigt, noch den Yubikey zum Entsperren des Safes. In Verbindung mit einem NFC-fähigen Smartphone wie den Lumia-Modellen von Nokia, dem Samsung Galaxy S4 oder einem Sony-Xperia-Modell wird das Öffnen des Safes noch eine Spur komfortabler, wenn der ebenfalls NFC-taugliche Yubikey NEO zum Einsatz kommt. Dann genügt es, den Key kurz ans Telefon zu halten, um den Safe zu öffnen.
Microsoft macht Fingerfotos
Auch Microsoft versucht offenbar, dem Einsatz von Fingerabdruckscannern auf die Sprünge zu helfen. Denn anders als die Vorgänger enthält das neue Windows 8.1 alle nötigen Tools, um den biometrischen Zugangsschutz in Betrieb zu nehmen. Bislang gab es zwar passende APIs, der Scanner-Hersteller musste jedoch auf dieser Grundlage erst eigene Software entwickeln, um etwa ein Windows-Login per Fingerabdruck anbieten zu können.
Microsoft hat ab Windows 8.1 z.B. auch die Anwendung parat, die zum erstmaligen Erfassen der Abdrücke nötig ist. Durch die flächendeckende Unterstützung könnte sich der bisherige Wildwuchs an Anwendungen lichten und gleichzeitig die Bereitschaft der Gerätehersteller steigen, einen Fingerabdruckleser zu integrieren. Andere biometrische Verfahren unterstützt Windows 8.1 nicht.
Microsoft gibt Windows 8.1 Programmierschnittstellen zum Einsatz biometrischer Verfahren mit auf den Weg. (Bild: Microsoft)
Neben dem biometrischen Windows-Login, bei dem das System automatisch das Profil des Fingerbesitzers lädt, gibt es noch eine Schnittstelle für Apps, damit diese verifizieren können, ob gerade eine bestimmte Person vor dem Rechner sitzt. So könnte z.B. die Onlinebanking-App vor dem Absenden einer Übervweisung überprüfen, ob tatsächlich der Kontoinhaber die Transaktion auslösen will – oder ein Banking-Trojaner, der den Rechner fernsteuert. Außerdem lassen sich Einkäufe im Windows Store, bei Xbox Music und Xbox Video laut Microsoft künftig per Fingerabdruck abschließen.
Ebenso soll Windows 8.1 eine Brücke zu den Apps bauen, die noch ein konventionelles Passwort voraussetzen. Nach dem Fingerabdruckscan schickt das System das Passwort automatisch an die App. Der Vorteil liegt auf der Hand: Es lassen sich dann beliebig lange und komplexe Passwörter wählen – schließlich muss man sie nun weder im Gedächtnis behalten noch kompliziert eintippen.
Fast IDentity Online
Alle Anmeldeverfahren, die vom reinen Passwort abweichen haben in der Praxis einen Nachteil: die mangelnde Kompatibilität. Nur wenn der Anbieter der App, des Betriebssystems oder Online-Dienstes sich mit Token bzw. Fingerabdruck versteht, klappt das Freischalten. Um genau dieses Problem so weit es geht aus der Welt zu schaffen, hat sich die FIDO Alliance (Fast IDentity Online) formiert und ein entsprechendes Protokoll definiert. Zur Allianz gehören u.a. Unternehmen wie Paypal, Lenovo, Infineon oder der spanische Stimmerkennungsspezialist Agnitio. Das Unternehmen beliefert seit Jahren Strafverfolgungsbehörden mit Software, die dabei hilft, Straftäter zu identifizieren.
Diverse Hersteller, darunter PayPal, Lenovo, Microsoft und Mastercard, wollen über die FIDO Alliance das Ende der Passwort-Ära einläuten. (Bild: FIDO Alliance)
Mastercard hat ebenfalls angekündigt, in Zukunft per FIDO-Protokoll erfasste Fingerabdrücke und andere biometrische Merkmale zum Freischalten von Online-Shopping-Transaktionen zu akzeptieren. Apples Touch ID versteht sich momentan nicht mit FIDO, doch PayPal-Mann Barrett sagte in einem Interview mit USA Today, dass sich Touch ID aber ohne großen Aufwand auch kompatibel zu FIDO machen lasse.
Fazit: Multifaktor wird kommen
Unabhängig von diesen Entwicklungen konzipieren Forscher derzeit bereits das Anmeldeverfahren der Zukunft. Und schon in ca. drei Jahren soll es soweit sein: Aus Zwei-Faktor-Authentisierung wird Multifaktor. Dieser Ansicht ist zumindest Sam Curry, CTO beim Verschlüsselungsspezialisten RSA. Er geht davon aus, dass neben Passwörtern und Fingerabdrücken künftig auch das Gewicht des Anwenders, sein Aufenthaltsort oder seine Körpertemperatur beim Anmeldevorgang herangezogen werden. Denn die Kombination von Faktoren sei immer schwerer zu knacken als jeder Faktor für sich genommen. Von daher gelte das Motto „Viel hilft viel“, sagte Curry.
Teil 1 nimmt das iPhone 5S zum Anlass, nachzusehen, was Access Controll per Fingerabdruck eigentlich leisten könnte. Teil 2 sieht nach, welche Lösungen für die Zwei- oder Mehrfaktor-Authentifizierung sich bereits bewährt haben.
Je nach Risiko der jeweiligen Transaktion – ein Foren-Login mit einem bekannten Gerät von einem bekannten Ort aus ist weniger risikobehaftet als eine Banküberweisung mit einem unbekannten Gerät von unterwegs – könnten die Backend-Systeme den Anwender dazu auffordern, weitere Faktoren ins Spiel zu bringen. Je mehr Kontext dem Login-Dienst zur Verfügung stehe, desto zielsicherer könne der legitime Anwender erkannt werden. Dabei spiele es laut Sam Curry auch keine Rolle, ob das jeweilige Endgerät mit Schadsoftware infiziert oder sauber sei.
Auf die Frage, ob wir künftig ganz ohne Passwörter auskommen werden, gab Curry Bescheid: „Ich wünsche es mir so sehr, wie ich mir Frieden auf der Welt wünsche. Die Wahrscheinlichkeit dürfte aber ähnlich niedrig sein.“
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing