20. Oktober 2007

Grid IDs gegen RSA Token

Category: Produkte,Work — Christian @ 19:05

RSA SecurID Token, diese komischen kleinen Teile mit dem 6-Ziffern-Display auf dem alle 60 Sekunden ein neues Passwort erscheint sind, obwohl teuer, immer noch erste Wahl wenn es um die Authentisierung von Remote Access Usern geht.

Ich gebe ja zu, wir verkaufen selbst RSA und gerade auch als Administrator sind die Teile sehr einfach und schnell eingerichtet und funktionieren einfach. Leider kostet ein Token so ca. 50 Euro und alle drei Jahre darf man ein neues kaufen.

Seit einiger Zeit versuche Anbieter von sogenannten Authentication Grids jedoch, mit extrem günstigen Preisen in den Markt der Authentisierungstoken einzudringen. Zu den Anbietern gehören beispielsweise Masabi aber auch Entrust mit IdentityGuard. Eine IdentityGuard Grid-Karte sieht so aus:

Der Anwender wird dann wie bei Schiffe versenken nach D4, A3 und H5 gefragt und antwortet dann mit „440“. Die Nummer gilt als Einmalpasswort, wenn diese Kombination nur einmal verwendet wird.

Ich sehe dabei zwei grundsätzliche Probleme:

  1. Die Grid-Karte hat nur 50 verschiedene Kombinationen, d.h. nach relativ wenig Authentisierungsvorgängen kennt der Angreifer die Position von allen Ziffern. Ich kann mit ja D4, A3 und H5 merken, und wenn das nächste mal nach F1, E2 und A3 gefragt wird dann ist die letzte Ziffer des Passworts schon bekannt. Praktisch kann man daher nicht von einem Einmalpasswort sprechen.
  2. Die Grid-Karte kann unbemerkt vom User kopiert und vervielfältigt werden. Ich bin mir sicher, es gibt auch Menschen mit einem photographischen Gedächtnis, die kucken sich die Karte einmal kurz an und haben alle Ziffern memoriert. Ein wenig Social Engineering („Sie haben so eine Karte? Cool, kann ich die mal sehen?“) und schon ist die Sicherheit gelaufen.

RSA Token haben den Vorteil, dass das Hardware-Token nicht kopiert werden kann. Wenn es weg ist bemerken das die Anwender meist recht schnell. Außerdem ändert sich (zeitsynchronisiert, nicht eventsynchronisiert) alle 60 Sekunden das Passwort, man kann es also gefahrlos herzeigen. Ich persönlich halte die Grid-Token ja weiterhin für eine Spielerei. In etwa einer Stunde kann man sowas z.B. für eine Webserver-Authentisierung auch selbst programmieren. Aber die Karten sind halt extrem günstig (so ab 1 Euro pro Stück) und auf die Rückseite kann man sogar noch Werbung drucken.

Lassen wir also Masabi in seiner Illusion, RSA ersetzen zu können.

3 Comments

  1. Hallo Christian, nur ein paar kleine Zusatzbemerkungen zu Deinen Aussagen bzgl. Grid: Der Aufbau eines solchen Grids kann beliebig gestaltet werden (Anzahl Felder und Inhalt z.B. zwei alphanumerische Zeichen. Zudem ist die Ausbringungsform nicht zwingend eine Plastikkarte. Wenn z.B. ein Grid-user sein Grid im Ausland nicht dabei hat oder verloren hat, dann kann er (z.B. nach vorheriger Identitätsfeststellung) ein neues Grid per Fax erhalten. Mann überlege das Scenario mal mit SecureID oder anderen Hardware-Token. Ein großer Versicherungskonzern hat einmal seine internen Kosten für Erstellung eines Grid-Anschreibens (Brief) ermittelt. Für -,66 Eurocent inkl. Porto ist wohl das Grid als second factor authentifizierung unschlagbar. Kopierbarkeit hin oder her – eine TAN oder iTAN-Liste der Bank ist schließlich auch kopierbar. Also Aufbewahrung besser an einem sicheren Ort. Just my 2ct.

    Comment by Georg — 14. Oktober 2008 @ 11:42

  2. Ja … preislich ist das Grid absolut unschlagbar. Die Flexibilität, d.h. das Grid kann man auch per Fax erhalten sehe ich dann aber eher wieder als Sicherheitsnachteil. Dann kann ich das Grid auch gleich einscannen und bin wieder beim Vervielfältigungsproblem.

    Letztlich bleibt es eine individuelle Abwägung. Ein nicht kopierbares Token bietet die höchste Sicherheit, ein Grid bietet einen unschlagbaren Preisvorteil. Andererseits gebe ich auch zu, daß ich gegen Grids vielleicht ein wenig voreingenommen bin. So ein Grid z.B. für eine PHP-Webseiten-Authentisierung kann ich mir schließlich auch in 30 Minuten Programmieraufwand selbst basteln. Und irgendwie erinnert mich das auch an die längst vergessenen S/Key-Passwörter.

    Aber ok, die Rezession in den nächsten Jahren wird vermutlich viele Gridanbieter glücklich machen 🙂

    Comment by Christian — 14. Oktober 2008 @ 15:39

  3. Kommentare gesperrt wegen Spam

    Comment by Christian — 31. Januar 2009 @ 14:46

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.