Auf eine aktuelle Sicherheitslücke in Token-basierten Zwei-Faktor-Authentisierungssystemen weist der Distributor ProSoft hin. Ein sehr bekannter amerikanischer Hersteller von Sicherheits-Hard- und -Software hatte kürzlich in einem offenen Brief an seine Kunden eine teilweise erfolgreiche Hacker-Attacke auf seine Server eingeräumt. Dabei sollen "gewisse Informationen" abgegriffen worden sein. Unklar ist, ob und in welchem Maße Kunden davon betroffen sind.
(firmenpresse) - Schwäche der Token-Systeme
Die jüngste Cyber-Attacke offenbart eine ganz entscheidende Schwäche der Sicherheitssysteme auf Token-Basis. Auf den Hardware-Authentisierern ist ein unveränderliches 'Secret' gespeichert, das die Grundlage für die Berechnung des Einmal-Passworts bildet. Dieser im Voraus berechnete 'Aktivation Key' ist die Achillesferse des Token-Konzepts: Gelingt es einem Cyber-Kriminellen, ihn auszuspionieren oder nachzuvollziehen, ist die vermeintlich so sichere Token-Authentisierung ausgehebelt.
Aber auch viele SMS-basierte Authentisierungssysteme nutzen Codes, die vorab berechnet und hinterlegt werden. Diese bilden eine gefährliche potenzielle Schwachstelle.
Sichere und günstige Alternative zu Token-Systemen
Das Produkt SMS PASSCODE bietet derlei Angriffspunkte nicht. Will sich ein User hier einloggen, gibt er zunächst seinen Benutzernamen und sein dazugehöriges Passwort ein. Diese Parameter werden vom System zunächst überprüft. Erst wenn SMS PASSCODE einen gültigen Account zuordnen kann, wird ein Einmal-Passwort nach FIPS 140-2-Standard zufällig generierter Passcode erstellt und dann unmittelbar per SMS versandt. Es gibt also keine vorausberechneten Secrets – und damit auch keinerlei Angriffsflächen für Hacker.
Token auf dem Rückzug
"Token-basierte Authentisierungs-Systeme sind generell auf dem Rückzug", erklärt Robert Korherr, Leiter Marketing, beim Distributor ProSoft, der SMS PASSCODE in Deutschland, Österreich und der Schweiz vertreibt. "Der Deployment- und Verwaltungsaufwand einer Handy-basierten Authentisierung wie SMS PASSCODE ist viel geringer. Und aus den Praxiserfahrungen der vergangenen Tage sehen wir, dass SMS PASSCODE nicht nur die preiswertere und praktikablere Lösung ist, sondern auch in punkto Sicherheit klar die Nase vorn hat. Nicht umsonst hat SMS PASSCODE für seine hochsichere Technologie weltweit bedeutende Auszeichnungen wie Secure Computing Magazine Top 5 Innovator, Citrix Partner of the Year Finalist sowie InfoSecurity Product Guide Customer Choice und erst kürzlich zum zweiten Mal hintereinander den Red Hearing Global 100 Award erhalten."
Das in Geretsried bei München ansässige Unternehmen ProSoft Software Vertriebs GmbH legt seit 1994 seinen Fokus auf Betriebssysteme von Microsoft und bietet dafür zeitgemäße Lösungen an. Herstellerneutral wählt ProSoft weltweit Softwareprodukte aus den Bereichen Security-, Storage und Desktop-Management aus und listet insbesondere Lösungen die sich durch wichtige Alleinstellungsmerkmale auszeichnen.
ProSoft vertreibt seine Lösungen in Deutschland, Österreich und der Schweiz und bietet zusätzlich Dienstleistungen vom Rollout-Konzept über Mitarbeiterschulung bis hin zum Kundensupport an. Auch über die Implementierung hinaus steht das Unternehmen seinen Kunden weiterhin beratend und unterstützend zur Seite. Im Rahmen bestehender Wartungsverträge betreut ProSoft heute rund 5000 Kunden im deutschsprachigen Raum von Industrie- und Handelsunternehmen über Finanzdienstleister bis zu öffentlichen Institutionen. 27 von 30 DAX-Unternehmen nutzen ProSoft-Produkte und -Lösungen.
Prolog Communications GmbH
Geiselgasteigstr. 124a
D-81545 München
Tel. 089-800 77-0
Fax 089-800 77-222
eMail Agentur: prosoft(at)prolog.biz
Hersteller-Website: www.prosoft.de