Authentifizierung einfach gemacht
Mit einem Klick bei Web-Services einloggen
Fortsetzung des Artikels von Teil 1
Authentifizierung mittels Server
Das Mobiltelefon sucht anschließend nach dem Benutzernamen des Users beim entsprechenden Service-Provider und berechnet mittels des geheimen Schlüssels aus der Sitzungsnummer ein Einmal-Passwort. Die Informationen übermittelt das Handy per Internet an einen Account-Server.
Dieser wiederum überprüft die Angaben. Ist das Passwort in Ordnung, wird die Web-Seite mit dem Account freigeschaltet.
Servername, Account-Name und der Schlüssel müssen somit auf dem Mobiltelefon des Nutzers gespeichert werden. Die Initialisierung erfolgt ebenfalls mittels eines 2D-Codes, den der User auf dem Postweg, als Fax oder via E-Mail erhält.
Die Forscher haben zudem eine Variante des Verfahrens entwickelt, die zusätzlich die Eingabe einer Foto-PIN vorsieht. Diese Vorgehensweise soll Accounts schützen, die für den Benutzer besonders wichtig sind.
Der Vorteil des Verfahrens besteht darin, dass sich der Nutzer keine ellenlangen Passwörter merken muss. Auch das gängige Verfahren, Passwörter vom Browser speichern zu lassen, entfällt damit. Denn dieses Vorgehen ist nicht ohne Risiko, weil Angreifer Schwachstellen in der Browser-Software ausnutzen können, um an die gespeicherten Account-Daten heranzukommen.
Derzeit sind Bernd Borchert und seine Mitstreiter auf der Suche nach Partnern, die Open Sesame einsetzen. Um die Technik zu integrieren, sind nach Angaben der Fachleute je nach Online-Service einige Manntage bis hin zu mehreren Monaten erforderlich.
Derzeit unterstützt Open Sesame Smartphones, die als Betriebssystem Android nutzen, sowie das iPhone von Apple. Kostenlose Apps für beide Gerätefamilien stehen zum Herunterladen bereit. Details zu Open Sesame sind auf dieser Web-Seite des Wilhelm-Schickard-Instituts für Informatik nachzulesen.
- Mit einem Klick bei Web-Services einloggen
- Authentifizierung mittels Server
