(openPR) Auf eine aktuelle Sicherheitslücke in Token-basierten Zwei-Faktor-Authentisierungssystemen weist der Distributor ProSoft hin. Ein sehr bekannter amerikanischer Hersteller von Sicherheits-Hard- und -Software hatte kürzlich in einem offenen Brief an seine Kunden eine teilweise erfolgreiche Hacker-Attacke auf seine Server eingeräumt. Dabei sollen "gewisse Informationen" abgegriffen worden sein. Unklar ist, ob und in welchem Maße Kunden davon betroffen sind.
Schwäche der Token-Systeme
Die jüngste Cyber-Attacke offenbart eine ganz entscheidende Schwäche der Sicherheitssysteme auf Token-Basis. Auf den Hardware-Authentisierern ist ein unveränderliches 'Secret' gespeichert, das die Grundlage für die Berechnung des Einmal-Passworts bildet. Dieser im Voraus berechnete 'Aktivation Key' ist die Achillesferse des Token-Konzepts: Gelingt es einem Cyber-Kriminellen, ihn auszuspionieren oder nachzuvollziehen, ist die vermeintlich so sichere Token-Authentisierung ausgehebelt.
Aber auch viele SMS-basierte Authentisierungssysteme nutzen Codes, die vorab berechnet und hinterlegt werden. Diese bilden eine gefährliche potenzielle Schwachstelle.
Sichere und günstige Alternative zu Token-Systemen
Das Produkt SMS PASSCODE bietet derlei Angriffspunkte nicht. Will sich ein User hier einloggen, gibt er zunächst seinen Benutzernamen und sein dazugehöriges Passwort ein. Diese Parameter werden vom System zunächst überprüft. Erst wenn SMS PASSCODE einen gültigen Account zuordnen kann, wird ein Einmal-Passwort nach FIPS 140-2-Standard zufällig generierter Passcode erstellt und dann unmittelbar per SMS versandt. Es gibt also keine vorausberechneten Secrets – und damit auch keinerlei Angriffsflächen für Hacker.
Token auf dem Rückzug
"Token-basierte Authentisierungs-Systeme sind generell auf dem Rückzug", erklärt Robert Korherr, Leiter Marketing, beim Distributor ProSoft, der SMS PASSCODE in Deutschland, Österreich und der Schweiz vertreibt. "Der Deployment- und Verwaltungsaufwand einer Handy-basierten Authentisierung wie SMS PASSCODE ist viel geringer. Und aus den Praxiserfahrungen der vergangenen Tage sehen wir, dass SMS PASSCODE nicht nur die preiswertere und praktikablere Lösung ist, sondern auch in punkto Sicherheit klar die Nase vorn hat. Nicht umsonst hat SMS PASSCODE für seine hochsichere Technologie weltweit bedeutende Auszeichnungen wie Secure Computing Magazine Top 5 Innovator, Citrix Partner of the Year Finalist sowie InfoSecurity Product Guide Customer Choice und erst kürzlich zum zweiten Mal hintereinander den Red Hearing Global 100 Award erhalten."
