Heise berichtet, dass der Bundestag die bisher verwendeten TAN-Listen zum Remote-Zugriff auf interne Daten abschafft und dafür Einmalpasswörter verwendet:
- Nach einer erfolgreichen Testphase kommt das SecOVID-System des Wormser IT-Security-Anbieters Kobil Systems zum Einsatz.
Das Kobil SecOVID ist meines Erachtens ganz nett, hat aber einen nicht zu unterschätzenden Nachteil. Die Einmalpasswörter werden nur eventsynchronisiert und nicht zeitsynchronisiert.
Zeitsynchronisiert bedeutet in diesem Zusammenhang, dass ein Passwort nur einmal gültig ist, und das zusätzlich auch nur zu einem bestimmten Zeitpunkt. Also meinetwegen nur von 13:45:00 bis 13:45:59. Wenn sich nun jemand das Passwort aneignet, beispielsweise bei einem Blick auf das Display oder bei einer kleinen Vorführung („ui, wie funktioniert denn das?“) kann der Angreifer dieses Einmalpasswort auch nur zu diesem Zeitpunkt verwenden, müsste also sehr schnell sein mit dem Ausnutzen der Lücke. Die Produkte von RSA oder Vasco bieten so eine Zeitsynchronisation.
Eventsynchronisiert bedeutet, dass bei bestimmten Ereignissen jeweils ein neues Einmalpasswort erzeugt wird. Bei Kobil passiert das per Knopfdruck auf das SecOVID-Token. Dieses Einmalpasswort kann dann zwar nur einmal verwendet werden, bleibt jedoch so lange gültig, bis dieses oder ein später erzeugtes Passwort verwendet wurde. Der Angreifer kann sich das Token also vorführen lassen, merkt sich das Passwort und hat dann zumindest theoretisch bis zur nächsten Einwahl des berechtigten Benutzers Zeit, sich mit diesem Einmalpasswort anzumelden. Noch schlimmer, man könnte10 mal auf den Knopf drücken und sich die 10 Passwörter aufschreiben. Schon braucht man das Token nicht mehr sondern hat eine handliche Liste auf Papier, die man auch bequem kopieren kann.
Die einzige Beschränkung dabei ist, dass Kobil standardmäßig nur 10 ungenutzte Einmalpasswörter erlaubt. Wenn man also 11 mal auf das Knöpfchen drückt, ist das dann erzeugte Passwort erst gültig, wenn vorher eines verwendet wurde. Ich fürchte nur, das hat die Bundestagsverwaltung aufgebohrt, da der Spieltrieb der Abgeordneten ja bekannt ist.
Ich vermute, der Hauptgrund sich für Kobil zu entscheiden war, es ist erstens ein deutscher Anbieter und zweitens die billigste Lösung. Ach ja, und wenn das T-Systems eingerichtet hat, dann ist alles klar, weil die Telekom der wichtigste Vertriebspartner für Kobil ist.
Kommentare gesperrt wegen Spam
Comment by Christian — 7. Juni 2012 @ 07:30