Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
In Netzen, in denen Paßwörter unverschlüsselt übertragen werden, können diese relativ einfach abgehört werden. Außerdem können Implementierungs- oder Protokollfehler in Betriebssystemen und Applikationssoftware dazu führen, daß auch verschlüsselte Paßwörter kompromittiert werden können.
Daher empfiehlt sich die Verwendung von Einmalpaßwörtern, also Paßwörtern, die nach einmaligem Gebrauch gewechselt werden müssen. Einmalpaßwörter können software- oder hardwaregestützt erzeugt werden.
Bei der Verwendung von Einmalpaßwörtern muß der Benutzer das Einmalpaßwort auf dem lokalen IT-System oder über ein Token generieren oder aus einer Liste einlesen, die vom entfernten IT-System generiert worden ist und die sicher aufzubewahren ist. Das entfernte IT-System muß dann das Einmalpaßwort verifizieren.
Für den Einsatz von Einmalpaßwörtern können z. B. Public-Domain-Programme wie OPIE bzw. S/Key benutzt werden. OPIE (One-time Passwords in Everything) ist die Public-Domain-Weiterentwicklung von S/Key, das mittlerweile als kommerzielles Produkt vertrieben wird.
S/Key benutzt im Gegensatz zu OPIE noch standardmäßig den MD4-Algorithmus zum Erzeugen und Verifizieren der Einmalpaßwörter. Wegen der bekannten Schwachstellen des MD4-Algorithmus sollte der im Lieferumfang enthaltene MD5-Algorithmus benutzt werden.
OPIE bzw. S/Key bestehen aus einem Programmteil auf dem Server zum Verifizieren der eingegebenen Paßwörter und einem Programmteil auf dem IT-System des Benutzers. Ein Benutzer bekommt beim Login auf dem entfernten IT-System nach Eingabe seines Benutzernamens die Sequenznummer des einzugebenden Einmalpaßwortes und eine Kennung angezeigt. Mit diesen beiden Angaben und einem geheimzuhaltenden Paßwort berechnen OPIE bzw. S/Key auf dem lokalen IT-System das Einmalpaßwort für diese Sitzung. Steht dem Benutzer zur Berechnung der Einmalpaßwörter lokal kein Programm zur Verfügung, kann vom entfernten System eine Liste mit Einmalpaßwörtern erzeugt werden, die dann entsprechend sicher zu verwahren ist.
Einmalpaßwörter können auch über Token erzeugt werden, die die Generierung übernehmen. Dies können entweder Chipkarten oder taschenrechnerähnliche Geräte sein. Der Benutzer muß sich zunächst gegenüber dem Token authentisieren. Nach erfolgter Benutzerauthentisierung authentisiert sich dann entweder der Token selbständig gegenüber dem Server oder er zeigt dem Benutzer an einem Display das am Client einzugebende Einmalpaßwort an.
Nachdem immer mehr sensible Informationen nur durch Paßwörter vor Fremdzugriff geschützt sind, kommt Einmalpaßwortsystemen und hardwarebasierten Authentifikationsmethoden ein wachsender Stellenwert zu. Wo der Einsatz von softwarebasierten Einmalpaßwortsystemen wie OPIE auf Akzeptanzprobleme stößt, sollten hardwarebasierte Systeme eingesetzt werden. Viele hardwarebasierte Systeme bieten darüber hinaus auch die Möglichkeit, "Single-Sign-On"-Lösungen aufzubauen. Über "Single-Sign-On"-Verfahren wird erreicht, daß sich Benutzer nicht an jedem IT-System mit einem anderen Paßwort ausweisen müssen, sondern daß sie sich auch bei großen heterogen Netzen ausschließlich am ersten benutzten IT-System authentisieren müssen, das diese Informationen dann an alle weiteren IT-Systeme weiterreicht.
Durch hardwarebasierte Einmalpaßwortsysteme werden außerdem viele der unter M 2.11 Regelung des Paßwortgebrauchs aufgeführten Regelungen, die die einzelnen Benutzer beachten müssen, überflüssig, da dies von den Einmalpaßwortsystemen übernommen wird.
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .