Hihi, der folgende Apple Werbespot bringt die Probleme mit Microsoft Vista User Account Control (UAC) schön auf den Punkt:
Apple Werbung und Vista Security
Grid IDs gegen RSA Token
RSA SecurID Token, diese komischen kleinen Teile mit dem 6-Ziffern-Display auf dem alle 60 Sekunden ein neues Passwort erscheint sind, obwohl teuer, immer noch erste Wahl wenn es um die Authentisierung von Remote Access Usern geht.
Ich gebe ja zu, wir verkaufen selbst RSA und gerade auch als Administrator sind die Teile sehr einfach und schnell eingerichtet und funktionieren einfach. Leider kostet ein Token so ca. 50 Euro und alle drei Jahre darf man ein neues kaufen.
Seit einiger Zeit versuche Anbieter von sogenannten Authentication Grids jedoch, mit extrem günstigen Preisen in den Markt der Authentisierungstoken einzudringen. Zu den Anbietern gehören beispielsweise Masabi aber auch Entrust mit IdentityGuard. Eine IdentityGuard Grid-Karte sieht so aus:
Der Anwender wird dann wie bei Schiffe versenken nach D4, A3 und H5 gefragt und antwortet dann mit „440“. Die Nummer gilt als Einmalpasswort, wenn diese Kombination nur einmal verwendet wird.
Ich sehe dabei zwei grundsätzliche Probleme:
- Die Grid-Karte hat nur 50 verschiedene Kombinationen, d.h. nach relativ wenig Authentisierungsvorgängen kennt der Angreifer die Position von allen Ziffern. Ich kann mit ja D4, A3 und H5 merken, und wenn das nächste mal nach F1, E2 und A3 gefragt wird dann ist die letzte Ziffer des Passworts schon bekannt. Praktisch kann man daher nicht von einem Einmalpasswort sprechen.
- Die Grid-Karte kann unbemerkt vom User kopiert und vervielfältigt werden. Ich bin mir sicher, es gibt auch Menschen mit einem photographischen Gedächtnis, die kucken sich die Karte einmal kurz an und haben alle Ziffern memoriert. Ein wenig Social Engineering („Sie haben so eine Karte? Cool, kann ich die mal sehen?“) und schon ist die Sicherheit gelaufen.
RSA Token haben den Vorteil, dass das Hardware-Token nicht kopiert werden kann. Wenn es weg ist bemerken das die Anwender meist recht schnell. Außerdem ändert sich (zeitsynchronisiert, nicht eventsynchronisiert) alle 60 Sekunden das Passwort, man kann es also gefahrlos herzeigen. Ich persönlich halte die Grid-Token ja weiterhin für eine Spielerei. In etwa einer Stunde kann man sowas z.B. für eine Webserver-Authentisierung auch selbst programmieren. Aber die Karten sind halt extrem günstig (so ab 1 Euro pro Stück) und auf die Rückseite kann man sogar noch Werbung drucken.
Lassen wir also Masabi in seiner Illusion, RSA ersetzen zu können.