Mittwoch, 6. Juni 2012


Topthema

Donnerstag, 22. M�rz 2007 | Topthema

About Security: Ein Bericht von der CeBIT

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/034994)
  • Teilen
  • kommentieren
  • empfehlen
  • Bookmark and Share

Sich sichere Passwörter zu merken, ist oft ein Problem, vor allem, wenn man viele davon braucht. Vom Schweizer Unternehmen Savernova gibt es dafür das 'SAVERNOVA OTP (One-Time-Password)': Ein individuelles Kärtchen mit 11 Zeilen und 22 Spalten, zufällig gefüllt mit Klein- und Großbuchstaben und Ziffern. Der Benutzer wählt eine geheime Lesemethode, nach der er ab einem gewählten Startpunkt sein individuelles Passwort abliest, z.B. "8 Zeichen nach rechts" (etwas schwieriger darf es ruhig sein, aber als Beispiel reicht das aus).
Die erste Anwendungsmöglichkeit besteht darin, eine Startspalte zu wählen und danach in jeder Zeile mit der geheimen Lesemethode ein individuelles Passwort abzulesen. Das aus der 1. Zeile z.B. für den Rechnerzugang, das in der 2. für den E-Mail-Account usw. Die Rückseite der Karte enthält 8 Felder, auf denen man sich den Verwendungszweck notieren kann. Fällt die Karte einem Angreifer in die Hände, weiß er dann zwar, in welcher Zeile welches Passwort beginnt, kennt aber weder Startspalte noch geheime Lesemethode. Denn die könnte ja auch z.B. nach dem Muster "Zwei nach links, dann 4 nach unten, dann zwei nach rechts" ablaufen. Zwar kann er nun alle Möglichkeiten durchprobieren, und der Suchraum ist deutlich eingeschränkter als wüsste er gar nichts über das Passwort. Aber wenn man bedenkt, dass diese Anwendung ein Ersatz für ein in Klartext notiertes Passwort ist, ist der Sicherheitsgewinn doch eindeutig vorhanden. Zumal die so gebildeten Passwörter für Angreifer ohne Zugriff auf die Karte extrem schwer zu knacken sind.

SAVERNOVA OTP kann auch z.B. für die Anmeldung bei einer Webanwendung (Internet ID) oder für das Windows-Login (Network ID) eingesetzt werden. Dafür wird die geheime Lesemethode zusammen mit dem Benutzerprofil gespeichert und bei jedem Login ein zufälliger Startpunkt vorgegeben. Der Benutzer muss davon ausgehend mit seiner geheimen Lesemethode das aktuelle Passwort bilden. Beim nächsten Login wird ein anderer Startpunkt gewählt, sodass ein evtl. belauschtes Passwort beim nächsten Mal nutzlos ist. Der Vorteil dieser Lösung im Vergleich zu herkömmlichen Passwort-Token: Ein herkömmliches einfaches Token gibt auf Knopfdruck ein gültiges Passwort aus – egal, wer den Knopf drückt. Hier muss zusätzlich die geheime Lesemethode bekannt sein. Außerdem ist die Karte unabhängig von einer Batterie.

N E U ! Security aktuell
Täglich aktuelle Security-Infos!

'Schau mir in ein Auge, kleine Maus' – Nein, das ist keine besonders dämliche Anmache für CeBIT-Hostessen, das könnte in Zukunft den Zugriff auf den Rechner freigeben. Von Arcturus Innovation aus Kanada wurde eine Maus mit integriertem Iris-Scanner vorgestellt: IRIBIO Protector. Die Iris-Authentifikation wird dabei von einem in die Maus integrierten Embedded-System unabhängig vom Rechner durchgeführt. Dieses System ist selbstlernend: Nach jeder positiven Erkennung wird geprüft, ob das aktuelle Iris-Bild besser als das zuletzt gespeicherte ist, um es ggf. zu ersetzen.
Um die Fokussierung der Iris zu erleichtern, befindet sich der Bildsensor in einem konkaven Spiegel, man kann sich also beim Fokussieren selbst beobachten und sieht gleich, ob man in den Bildsensor blickt oder daran vorbei. Die Erkennung läuft dann in 1–2 Sekunden ab, das Ergebnis wird verschlüsselt an den Rechner übertragen, der dann bei einem positiven Ergebnis den Zugriff auf das System freigibt, verschlüsselte Dateien entschlüsselt o.Ä. Die Systemanforderungen bisher: USB 1.1 für die Maus, Windows 2000 und XP als Betriebssystem. Notebook-Hersteller haben bereits Interesse bekundet, das System in ihre Geräte zu integrieren. Ein sehr naheliegender Gedanke wie ich finde: Während der Deckel aufgeklappt wird, scannt der Iris-Scanner das Auge des Benutzers und wenn das Gerät keinen legitimen Benutzer erkennt, bleibt die Kiste einfach aus.

APC hat seine NetBotz-Überwachungsappliances jetzt auch mit Kamera-Modulen bestückt. Die Geräte überwachen also nicht mehr nur wie schon länger üblich Faktoren wie Temperatur und Luftfeuchtigkeit, sondern können bei Bedarf auch gleich noch ein Fahndungsfoto eines evtl. Einbrechers liefern. Sofern der nicht gleich das gesamte Rack samt Kamera und Überwachungsrechner abtransportiert hat. Und ansonsten lässt sich das Gerät immer noch als 'Admin-Cam' verwenden: Falls der den Serverraum mal für ein ausgedehntes Mittagsschläfchen oder Ähnliches nutzt, findet sich das Video hinterher vielleicht bei YouTube wieder.

About Security: Die komplette Serie

Von Navayo Technologies wurde mit der Secbox eine neue Möglichkeit zum Aufbau privater Netze vorgestellt: Diese kleinen, handlichen Geräte nutzen die von Navayo zum Patent angemeldete Technologie MVCN (Manageable Virtual Closed Network), um untereinander geschützte Punkt-zu-Punkt-Verbindungen aufzubauen. Das Ganze ist einfach zu konfigurieren, als Übertragungsmedium dient z.B. das Internet. Zwei besondere Merkmale der Secbox-Geräte: Ein Fingerprint-Sensor kann zum Schutz der Konfiguration verwendet werden, ein USB-Anschluss erlaubt das komfortable Einbinden von USB-Geräten in das private Netz.

In der nächsten Folge wird die Beschreibung von OpenVPN mit einem Beispiel fortgesetzt.

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

Kommentare

Folgende Links könnten Sie auch interessieren