Dreifachauthentifizierung auf einer Karte
Wissen, haben, sein und dürfen
Token, Smartcard oder biometrische Identifikation - das beste Mittel für die Authentifizierung an Unternehmensressourcen ist immer noch Gegenstand heftiger Diskussionen. Der ägyptische Hersteller Softlock löst das Problem auf eigene Art: Er intergriert Fingerabdruckleser und OTP-Token (One-Time Password) auf einem Gerät im Kreditkartenformat.
Softlock, ein in Ägypten beheimateter Anbieter von Authentifizierungstechnik, arbeitet an der
Integration von Fingerabdruck-Scannern und OTP-Token mit Display auf einem Gerät, das – so war es
auf der Cebit 2009 in Hannover zu sehen – das Format einer Bank- oder Kreditkarte hat und bald auch
entsprechend dünn produziert werden soll. Das resultierende, bereits international patentierte
Produkt könnte die Authentifizierungstechnik revolutionieren, weil es die Sicherheit einer
Drei-Faktor-Authentifizierung bei gleichzeitig bequemer Handhabung bietet, ohne dass bestehende und
erprobte Infrastrukturen für die Authentifizierung bei Online-Anbietern und in Unternehmensnetzen
stark verändert werden müssten.
Der Markt, für den das Softlock-Produkt mit dem Namen Quardlock OTP Biometric Card entwickelt
wurde, ist technisch anspruchsvoll. So spielt für den Nutzen eines Authentifizierungsgeräts die
universelle Einsetzbarkeit an möglichst vielen Anwendungen und Zugangsgeräten eine wichtige Rolle –
so etwa am Heim-PC, in Internet-Cafés, vom Firmenrechner aus und per Handy. Für Akzeptanz und
geringe Support-Kosten sollte die Merkfähigkeit des Menschen nicht überstrapaziert werden, was
komplexe Kennwörter ausschließt. Und für die Sicherheit wünscht man Mehr-Faktor-Authentifizierung,
wobei der Anwender aber wiederum kein unhandliches Gerät mit sich herumtragen soll.
Biometrie ist eine häufig favorisierte Lösung. Dem flächendeckenden Einsatz steht allerdings
entgegen, dass sie die Integration biometrischer Sensoren in alle vermutlich benutzten Geräte
erfordert, inklusive möglichst vieler öffentlicher Terminals. Dies wiederum weckt
Akzeptanzprobleme, die vom Ekel vor fettigen Fingerabdruck-Scannern bis hin zur
Datenschutzproblematik reichen, die mit einer eventuellen zentralen Speicherung von Biometriedaten
verbunden ist. Sollte man also alle Terminals zusätzlich mit Smartcard-Lesern ausrüsten, damit der
Anwender seine Biometriedaten für den Identifikationsabgleich bei sich tragen kann? Hohe Sicherheit
und Datenschutz scheinen dabei zwangsläufig hohe Kosten, Kompatibilitätsprobleme und hohe
Ausfallrisiken nach sich zu ziehen.
Die Integration von Fingerabdruck-Scanner und OTP-Generator auf einer Karte des Anwenders löst
gleich mehrere der geschilderten Probleme. Der Fingerabdruck kann auf dem Gerät des Anwenders
gespeichert bleiben, weil er nur dazu dient, persönliche Einmal-Kennwörter freizugeben. Dies
beseitigt Datenschutzprobleme weitgehend – sieht man davon ab, dass Karten samt biometrischer Daten
in falsche Hände geraten könnten. Dann hängt die Risikohöhe von der eingebauten Verschlüsselung und
eventuellen Selbstzerstörungsfunktionen ab. Ekelfaktoren spielen keine Rolle, da der Anwender nur "
sein" Gerät nutzt. Kompatibilitätsprobleme sind reduziert, da der System-Output eine Token-typische
Zahlenkolonne ist, die der Anwender wie gewohnt an beliebigen Terminals eintippt.
Die Sicherheit des Systems bemisst sich am schwächsten Faktor, und dies ist die Übermittlung des
Einmal-Kennworts zum Zielsystem. Hier bestehen die gleichen Betrugsmöglichkeiten durch
Man-in-the-Middle-Angriffe, wie sie beim normalen Token einzukalkulieren sind. Die Erfahrung zeigt
allerdings, dass die Sicherheit entsprechender Systeme auch für größere Transaktionen oder den
Zugriff auf heiklere Firmenressourcen reicht. Das zweite Token-Problem, die Möglichkeit des
Ausspähens der zusätzlichen Ziffernkolonne, die das Einmal-Kennwort eines Tokens ergänzt, wird
durch die Biometrietechnik allerdings ausgeschlossen.
Banken können darüber nachdenken, ob sie solche Geräte nicht gleich als Kredit- oder Bankkarte
ausgeben und damit zugleich als Identity Provider für andere Anwendungen fungieren können. Der
Anwender muss dann weniger Identitätsnachweise mit sich herumtragen, das entsprechende Fach dafür
im Geldbeutel hat er schon – und für den Fall des Diebstahls existiert bereits eine ausgefeilte
Deaktivierungsinfrastruktur. Im Unternehmen wiederum könnte das System Token und Zugangskarte
vereinen, wobei die gleichen Formatvorteile existieren. Man darf gespannt sein, ob sich die Idee
durchsetzt.
Info: Softlock Tel.: 00202/26702267 Web: www.softlock.net
Lesen Sie mehr zum Thema
