Vermehrte Hacker-Aktivitäten, die große Unternehmen, Sicherheitsanbieter und Behörden im Visier haben, bescheren OTP-Tokens aktuell eine große Aufmerksamkeit. Julian Lovelock, Senior Director bei ActivIdentity, einem Unternehmen von HID Global und weltweit führendem Anbieter im Bereich Identitätssicherung, stellt fest, dass diese Angriffe die Frage aufkommen lassen, ob OTP-Tokens grundsätzlich unsicher sind.
Im März 2011 hat ein großes Unternehmen bekannt gegeben, dass bei einer APT-Attacke Informationen von seinen Server gestohlen wurden. Im darauf folgenden Mai meldete eine andere Organisation einen 'erheblichen Störfall' im Netzwerk, der teilweise damit in Verbindung gebracht wurde, dass die zuvor entwendeten Informationen dafür genutzt worden waren. "Diese Angriffe ließen zwangsläufig die Frage unter Fachleuten für Netzwerksicherheit aufkommen, ob OTP-Tokens grundsätzlich unsicher seien oder ob nur an der Technologie noch etwas gefeilt werden müsse", berichtet Julian Lovelock. "Um diese Frage zu beantworten, hilft es, die Funktionsweise von OTP-Tokens besser zu verstehen. Ein Aspekt dabei ist die Schlüsselverwaltung, ein anderer der Token-Algorithmus selbst."
Tatsächlich gibt es verschiedene Token-Algorithmen, die sich in der Art und Weise, wie die sich ständig wechselnden Zahlen erzeugt werden, unterscheiden. Diese Variationen beeinflussen sowohl die Nutzung als auch deren Sicherheit.
OTP-Algorithmen basieren normalerweise auf einem statischen Schlüssel (pro Gerät) und Variablen zur Berechnung der wechselnden Zahlen (OTPs), auch "dynamische Faktoren" genannt, wie Zeit, Ereignis oder beides:
Einige Tokens verwenden einen zeitbasierten Algorithmus. Das Problem mit der Zeit als dynamischem Faktor ist, dass dieser eine gemeinsame Variable für alle Geräte ist und überall auf der Welt die aktuelle Zeit bekannt ist. Das bedeutet, wer über den Schlüssel für einen Token verfügt, den Algorithmus und die aktuelle Zeit kennt, kann– voilà – die ständig wechselnden Zahlen generieren.
Andere Tokens verwenden einen Zähler oder Ereignis (wie oft drückt ein Nutzer die Taste, um das OTP anzuzeigen) als dynamischen Faktor. Das bedeutet, dass jeder Token eine andere Variable verwendet. Dies erschwert einem Hacker die Berechnung der Nummer für einen bestimmten Token. Das Problem bei einfachen zählerbasierten OTP-Algorithmen ist, dass die OTP nicht wirklich ungültig wird und daher für Phishing anfällig ist, z.B. durch eine überzeugende E-Mail, die zur Eingabe der OTP verführt.
Dies führt uns zu einer weiteren Kategorie von OTP-Algorithmen, die auf der Zeit und einem Zähler basieren und somit die besten Eigenschaften von zeit- und zählerbasierten Tokens in sich vereinen. In diesem Fall ist das Phishing schwerer und Voraussagen sind schwieriger, da jeder Token einen anderen Zähler hat und die Kompromittierung eines Seeds viel weniger Auswirkungen hat.
Julian Lovelock meint dazu: “Basisinformationen sind hier bereits hilfreich. Es gibt tatsächlich verschiedene OTP-Tokens, und wenn Sie die Unterschiede kennen, können Sie eine sachkundige Entscheidung treffen, etwa dass Sie beim Austausch eines Tokens einen Token wählen, der als dynamische Faktoren Zeit und Ereignis verwendet.“
Im März 2011 hat ein großes Unternehmen bekannt gegeben, dass bei einer APT-Attacke Informationen von seinen Server gestohlen wurden. Im darauf folgenden Mai meldete eine andere Organisation einen 'erheblichen Störfall' im Netzwerk, der teilweise damit in Verbindung gebracht wurde, dass die zuvor entwendeten Informationen dafür genutzt worden waren. "Diese Angriffe ließen zwangsläufig die Frage unter Fachleuten für Netzwerksicherheit aufkommen, ob OTP-Tokens grundsätzlich unsicher seien oder ob nur an der Technologie noch etwas gefeilt werden müsse", berichtet Julian Lovelock. "Um diese Frage zu beantworten, hilft es, die Funktionsweise von OTP-Tokens besser zu verstehen. Ein Aspekt dabei ist die Schlüsselverwaltung, ein anderer der Token-Algorithmus selbst."
Tatsächlich gibt es verschiedene Token-Algorithmen, die sich in der Art und Weise, wie die sich ständig wechselnden Zahlen erzeugt werden, unterscheiden. Diese Variationen beeinflussen sowohl die Nutzung als auch deren Sicherheit.
OTP-Algorithmen basieren normalerweise auf einem statischen Schlüssel (pro Gerät) und Variablen zur Berechnung der wechselnden Zahlen (OTPs), auch "dynamische Faktoren" genannt, wie Zeit, Ereignis oder beides:
Einige Tokens verwenden einen zeitbasierten Algorithmus. Das Problem mit der Zeit als dynamischem Faktor ist, dass dieser eine gemeinsame Variable für alle Geräte ist und überall auf der Welt die aktuelle Zeit bekannt ist. Das bedeutet, wer über den Schlüssel für einen Token verfügt, den Algorithmus und die aktuelle Zeit kennt, kann– voilà – die ständig wechselnden Zahlen generieren.
Andere Tokens verwenden einen Zähler oder Ereignis (wie oft drückt ein Nutzer die Taste, um das OTP anzuzeigen) als dynamischen Faktor. Das bedeutet, dass jeder Token eine andere Variable verwendet. Dies erschwert einem Hacker die Berechnung der Nummer für einen bestimmten Token. Das Problem bei einfachen zählerbasierten OTP-Algorithmen ist, dass die OTP nicht wirklich ungültig wird und daher für Phishing anfällig ist, z.B. durch eine überzeugende E-Mail, die zur Eingabe der OTP verführt.
Dies führt uns zu einer weiteren Kategorie von OTP-Algorithmen, die auf der Zeit und einem Zähler basieren und somit die besten Eigenschaften von zeit- und zählerbasierten Tokens in sich vereinen. In diesem Fall ist das Phishing schwerer und Voraussagen sind schwieriger, da jeder Token einen anderen Zähler hat und die Kompromittierung eines Seeds viel weniger Auswirkungen hat.
Julian Lovelock meint dazu: “Basisinformationen sind hier bereits hilfreich. Es gibt tatsächlich verschiedene OTP-Tokens, und wenn Sie die Unterschiede kennen, können Sie eine sachkundige Entscheidung treffen, etwa dass Sie beim Austausch eines Tokens einen Token wählen, der als dynamische Faktoren Zeit und Ereignis verwendet.“
