Universal-Passwort – durch Smartcard abgesichert
Universal-Passwort – durch Smartcard abgesichert Die Verwendung von Universalpasswörtern (Single-Sign-On) und Zugangsmanagement über intelligente Chipkarten macht heutige Anwendungen nicht nur sicher, sondern bringt im Endeffekt eine erhebliche Kostenersparnis.
- Universal-Passwort – durch Smartcard abgesichert
- Smartcards bringen mehr Sicherheit
Viele Unternehmen haben heute zehn oder mehr Applikationen im Einsatz, die alle eine eigenständige Anmeldung des Nutzers mit Username und Passwort notwendig machen. Die Folge: ein Wust von Kennwörtern, die vom Besitzer ständig vergessen werden oder so durchsichtig gewählt sind, dass sie leicht erraten werden können. Oder sie sind gleich am Monitor angeheftet. Neben der regelbasierten Zugriffsvergabe betrachten deshalb viele Fachleute das Thema Universalpasswort (Single Sign On, SSO) sowie Smartcard- und Zertifikatsmanagement als besonders wichtige Verbesserungen innerhalb der beschriebenen Arbeitsumgebungen. Beide Maßnahmen bringen nicht nur mehr Sicherheit, sondern reduzieren darüber hinaus sogar die Kosten.
Rainbow-Tabellen werden frei gehandelt Die eben beschriebenen Unsicherheitsfaktoren, die Passwörter mit sich bringen können, sind bei Smartcard-Authentisierung deutlich geringer. Die willentliche Weitergabe ist zwar auch bei der Smartcard möglich, aber mit deutlich mehr Aufwand verbunden. Weitergabe der Zugangsdaten an viele Personen ist praktisch ausgeschlossen. Wenn die Smartcard zusätzlich oder ausschließlich mit biometrischen Merkmalen arbeitet, ist eine Weitergabe überhaupt nicht möglich. Des Weiteren kann der geheime Signaturschlüssel nicht aus der Smartcard ausgelesen werden. Phishing-Angriffe sind wirkungslos. Spionage-Programme (sogenannte Trojanische Pferde) versagen, solange die geheime PIN über die gesicherte Tastatur des Lesegeräts eingegeben wird. Über den Angriff auf einzelne Passwörter hinaus wurden in jüngerer Zeit Möglichkeiten gefunden, Verzeichnisse der Hashwerte aller Passwörter anzugreifen. Gerät ein solches Verzeichnis in die Hände eines Angreifers, beschafft sich der Angreifer eine sogenannte Rainbow-Tabelle. Das ist eine Tabelle mit allen zulässigen (oder wahrscheinlichen) Passwörtern und deren Hashwerten. Moderne Computer haben genügend Leistung, um solche Tabellen berechnen können. Für jeden Hashwert aus dem gestohlenen Hashwertverzeichnis kann der Angreifer in der Rainbow-Tabelle das richtige Passwort finden und benutzen. Rainbow-Tabellen kann man ganz offen kaufen, etwa unter http://www.rainbowtables.net/products.php. Von solchen Rainbow-Angriffen waren schon Sicherheitslösungen namhafter Hersteller betroffen, zum Beispiel Passwörter der Pix-Firewall von Cisco, MySQL 3.x/4.x Passwörter, Oracle DB, Windows Lanman (siehe http://www.objectif-securite.ch/research/websec06.pdf).
