Cryptography Reference
In-Depth Information
zer einher. In Zeiten, in denen die Benutzer jedoch recht freizügig mit ihren
persönlichen Daten umgehen (siehe Facebook) könnte ein biometrisches Verfahren
wie zum Beispiel eine Gesichtserkennung als Usabiltiy feature gewertet werden
und sich somit durchsetzen.
Dabei ist allerdings offen, ob sich die Sicherheit der Authentifikation mit diesen
Methoden wirklich erhöhen lässt oder nicht.
Höhere Sicherheit durch Einmalpasswörter
Ein bereits länger bekanntes Verfahren, nämlich die Verwendung von Einmal-
passwörtern kommt derzeit mehr und mehr zum Einsatz. Schon seit längerer Zeit
wird dieses Verfahren zum Beispiel im Bereich Onlinebanking eingesetzt. Dabei
werden die Einmalpasswörter allerdings nicht verwendet, um sich zu authen-
tifizieren, sondern um eine bestimmte Transaktion, wie zum Beispiel eine Über-
weisung zu legitimieren. Die Verwendung von TAN-Listen zur Authentifikation
erschien bisher zu kostenintensiv, da bei jeder Anmeldung eine TAN verbraucht
würde und somit zu häufig neue Listen generiert und versendet werden müssten.
Mittlerweile rückt man jedoch von der Verwendung der klassischen TAN-Listen
ab. Bei der Postbank zum Beispiel werden zukünftig nur noch mobile TAN-
Verfahren oder chipTAN-Verfahren verwendet, um Transaktionen zu legitimieren.
Beim mobilen TAN-Verfahren wird ein SMS an ein zuvor registriertes Handy
gesendet, in der ein temporär gültiger Passcode enthalten ist. Die Registrierung
eines Handys ist dabei etwas aufwändiger gestaltet, um sicherzustellen, dass das
Endgerät wirklich dem entsprechenden Benutzer gehört. Die Sicherheit des
Verfahrens beruht im Wesentlichen darauf, dass zwei unterschiedliche Kommuni-
kationswege gewählt werden, um die Nachrichten auszutauschen. Ein Angreifer
müsste also gleichzeitig Nachrichten über zwei verschiedene Kanäle abhören und
gegebenenfalls manipulieren, um erfolgreich einen Angriff durchzuführen.
Beim chipTAN-Verfahren, wird ein zusätzliches externes Kartenlesegerät ver-
wendet. Zusammen mit einer Chipkarte (im Falle der Postbank mit der EC-Karte)
wird ein Einmalpasswort generiert, welches eine Transaktion legitimiert.
Diese Verfahren könnten auch zukünftig schon genutzt werden, um sich an einem
Websystem anzumelden, statt für jede einzelne Transaktion genutzt zu werden.
Diese Verfahren bieten einen erhöhten Schutz gegen Angriffe. Allerdings wird
hierzu eine zusätzliche Hardware benötigt, um sich zu authentifizieren bezie-
hungsweise eine Transaktion zu legitimieren. Im einfachsten Fall ist dies ein
Handy, was in der heutigen Zeit allerdings eine hohe Verbreitung hat oder ein
spezielles Kartenlesegerät zur Generierung von Einmalpasswörtern mit einer
entsprechenden Chipkarte.
Search WWH ::
Custom Search