One Time Password

Was haben Banken, World of Warcraft und einige große Unternehmen gemeinsam? In allen kann ein Gerät, welches ein „One Time Password“ erstellt, zum authentifizieren verwendet werden.

Wie sieht sowas aus und wie wird es verwendet?

Das Gerät besitzt ein oder zwei Knöpfe und ein kleines Display. Nachdem ein Knopf betätigt wurde zeigt dieser einen meist 6-stelligen Code an. Dieser muss dann im System (z.B. für die Banküberweisung) eingegeben werden. Bei erneutem betätigen wird wiederrum eine andere Ziffernfolge (pseudozufällig) erstellt.

Wie funktioniert das?

Sofern das Gerät keine innere Uhr besitzt (meist der Fall), müssen 2 Modi unterstützt werden:
TAN-Generierung und Synchronisation. Sobald also, wie oben geschildert, der Benutzer aufgefordert wird eine Tan einzugeben, berechnet das Gerät aus dem aktuellen Index einen Code. Der Index ist die Anzahl der bisher erstellten TANs.

Also ein Beispiel: G(I,K) ist die zweistellige Generatorfunktion, I ist der Index und K ein Passwort, welches fest im Gerät „eingebrannt“ und nicht auslesbar ist:

beim ersten Mal: G(0001,“abc123″) -> 495096
beim zweiten Mal: G(0002,“abc123″) -> 938237
beim dritten Mal: G(0003,“abc123″) -> 294921

Der Index wird also immer weiter inkrementiert.

Der Server, auf der anderen Seite, kennt auch das Passwort K. Dies hat der Hersteller so eingerichtet. Nach jedem benutzen inkrementiert der Server, genau wie das Gerät, den Index wodurch synchronisation zwischen Gerät und Server hergestellt wird.

Beispiel: Der Benutzer betätigt die Taste des Geräts und lässt sich ein Key berechnen: G(0325, „abcdefg“). Der Benutzer gibt die ausgegebene Ziffernfolge (439323) in das Formular ein. Der Server kennt die Anzahl der bisherigen Logins (324) und berechnet nun den aktuellen Index: 0325. Dadurch ist es möglich die Eingabe zu validieren.

Angenommen ein Benutzer betätigt versehentlich die Taste ist das System asynchron. Daher muss, wie schon angedeutet, die Möglichkeit bestehen, den aktuellen Index auszugeben.

Sicherheit?

Das System eliminiert das recht große Sicherheitsloch des unsicheren Benutzerpassworts. Es stetig wechselndes Passwort bietet durchaus Vorteile. Allerdings ist das System nicht resistent gegen Man-in-the-Middle. Beispiel: Der Server sendet an den Benutzer die Aufforderung zur Eingabe. Dieser kommt dem natürlich sofort nach und sendet die entsprechende Tan. Der Angreifer fängt diese Antwort ab, ändert den Inhalt (Überweisung auf ein anderes Konto) und schickt diese zum Server. Grund zur Angst besteht allerdings nicht, da Online-Banking mittels SSL resistent dem gegenüber ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.