5. September 2008
Auf der Cedia Expo in Denver gibt es Neuigkeiten: Der Schlosshersteller Schlage hat mit Brightblue ein System entwickelt, bei dem die Schlösser mit einem vierstelligen Zifferncode ver- und entriegelt werden können. Das besondere daran? Man kann den Code auch über ein Webinterface eingeben, wenn man beispielsweise in den Urlaub gefahren ist und plötzlich merkt, dass man vergessen hat die Tür abzuschließen. Oder wenn die Schwiegermutter vor der Tür steht und rein will.
Über 4-stellige Codes will ich gar nicht mehr lästern. Über Webinterfaces eigentlich auch nicht. Aber die Vorstellung, tausende Haustüren über einen Webserver zu öffnen, das wäre schon lässig. Ich frage mich, wer sich so einen Schwachsinn installiert.
Ach ja, es gibt übrigens ein Fallback-System, wenn z.B. die Batterie des Systems leer ist: Schlüssel 🙂
Gefragt ist eine sichere Authentisierung für VPN und/oder Web über das Internet. Statische Passwörter sind dafür offensichtlich unbefriedigend, gewünscht ist eine sogenannte „Zwei-Faktor Authentisierung“, d.h. zusätzlich zum normalen statischen Passwort soll eine zweite Authentisierung hinzukommen. Mit fallen da spontan mehrere Lösungen ein: Token (so kleine Schlüsselanhänger mit Display die Einmalpasswörter generieren), USB-Token (so ähnlich nur statt Display einen USB-Anschluss), Grid-Karten und Handys.
Im deutschen Markt gibt es scheinbar nicht so viel Auswahl an Authentisierungstoken. Ich wüsste bei den klassischen Token nur drei Hersteller: RSA SecurID, Vasco DigiPass und Kobil SecOVID (Nachtrag: außerdem hat Aladdin SafeWord von SecureComputing gekauft und Entrust hat ebenfalls neue IdentityGuard-Token). RSA funktioniert super, ist aber sehr teuer seit es die Starter Bundles nicht mehr gibt. Vasco kenne ich nicht, die Token waren vor ein paar Jahren aber etwas wacklig und wenig überzeugend. Kobil habe ich mir zum Testen mal bestellt, da gibt es gerade Server + 5 Token + 5 User Lizenz für bissi über 180 Euro netto in der Distribution.
Dann gibt es die USB-basierten Lösungen, die jedoch den Nachteil haben, nicht im Internet-Café nutzbar zu sein. Dafür kann man aber z.B. den Festplattenverschlüsselungskey einer Utimaco SafeGuard Easy darauf speichern. Da weiß ich zwei Hersteller: Aladdin eToken und SafeNet iKey (Nachtrag: man könnte auch die RSA SD800 Token noch erwähnen). Aladdin setze ich zusammen mit Utimaco ein, für die Authentisierung sind mir die USB-Token aber nicht flexibel genug. Mein HP iPaq hat z.B. gar kein USB.
Schließlich gibt es die „wir wollen alles noch billiger“-Variante mit statischen Gridkarten. Das sind meist scheckkartengroße Plastikkarten mit in einer Tabelle angeordneten Zahlen und Buchstaben. Zur Authentisierung muss man dann z.B. wie bei Schiffe versenken A5, C3 und D7 angeben. Da fallen mir ebenfalls zwei Hersteller ein: Entrust IdentityGuard und die Schweizer Savernova. Ich persönlich halte das zwar für SnakeOil aber es gibt tatsächlich Banken die das einsetzen.
Und zu guter Letzt gibt es auch die „ich programmiere mir das selber“-Variante, die meistens daraus besteht, dass man über ein Webinterface seinen Loginnamen und ein statisches Passwort eingibt, dann ein zufällig generiertes Einmalpasswort per SMS auf’s Handy geschickt bekommt, das auch noch eingibt und dann Zugang erhält. Da man so eine Funktion in einer PHP-Anwendung leicht implementieren kann und es diverse E-Mail-to-SMS-Gateways gibt (oder man schließt ein altes Handy seriell an einen Rechner an) kenne ich mehrere Unternehmen, die sich so eine Lösung selbst gebaut haben. Die mTAN (Mobile TAN) einiger Banken ist im Grunde nichts anderes.
Mehr fällt mir zur Authentisierung dann auch schon nicht mehr ein.
Habe ich einen wichtigen Hersteller oder noch schlimmer eine clevere Variante vergessen?
Nachtrag:
Joelle hat mich in den Kommentaren freundlicherweise darauf hingewiesen, dass ich die SafeWord-Token von Aladdin (ehemals SecureComputing) komplett unterschlagen habe. Eine SecureComputing-Tokenbox hab ich sogar noch irgendwo im Schrank stehen, die Teile sind aber tatsächlich nie zum Einsatz gekommen.
Nachtrag 2:
Ok ok, ich schreibe einen neuen Artikel mit einer neuen Herstellerübersicht 🙂
anzusehen bei der ARD: Der erfasste Bürger von Eric Beres, SWR.
Aus dem Nachtmagazin (05.09.2008, 01:05) und den Tagesthemen (05.09.2008, 22:45). Für das Hauptprogramm scheint der ARD das Thema zu sensibel zu sein. Vielleicht hat man Angst, man könnte damit die Politiker in den Verwaltungsräten der Sender zu sehr verärgern.