Der Herr der Schlüssel Wie zweigeteilte Seed Records alle Sicherheitsbedenken gegenüber Zwei-Faktor-Authentifizierung auflösen

Ähnliche Dokumente
Whitepaper. Nutzen Sie die Kraft von sieben Milliarden Mobiltelefonen zur Authentifizierung

ROFIN App Benutzerhandbuch. Version 1.0

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Speicher in der Cloud

Anleitung über den Umgang mit Schildern

TELIS FINANZ Login App

User Manual Data 24. Login und Layout

s aus -Programm sichern Wählen Sie auf der "Startseite" die Option " s archivieren" und dann die entsprechende Anwendung aus.

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Zwischenablage (Bilder, Texte,...)

Informationen als Leistung

Synchronisations- Assistent

Lizenzierung von SharePoint Server 2013

Dokumentenkontrolle Matthias Wohlgemuth Telefon Erstellt am

Dokumentation PuSCH App. android phone

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

FAQ Verwendung. 1. Wie kann ich eine Verbindung zu meinem virtuellen SeeZam-Tresor herstellen?

Dokumentation PuSCH App. android phone

Sie können diesen Service verwenden, um fast beliebig große Dateien auch über 2 GB zu versenden.

WinVetpro im Betriebsmodus Laptop

Outlook Web App 2013 designed by HP Engineering - powered by Swisscom

VMWARE HORIZON VIEW DOKUMENTATION V3.5.2 INHALTSVERZEICHNIS

Logics App-Designer V3.1 Schnellstart

Dokumentenverwaltung im Internet

Lizenzierung von SharePoint Server 2013

icloud nicht neu, aber doch irgendwie anders

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Sichere für Rechtsanwälte & Notare

Geld Verdienen im Internet leicht gemacht

Empfohlene Sicherheitsmaßnahmen aus Sicht eines Betreibers. Wien,

Installations- und Bedienungsanleitung CrontoSign Swiss

Mail-Signierung und Verschlüsselung

Lizenzen auschecken. Was ist zu tun?

Jetzt neu: Online Reporting Schritt für Schritt durch das Online Reporting (OLR) Online Liedmeldung

Erstellen der Barcode-Etiketten:

WLAN Konfiguration. Michael Bukreus Seite 1

» Weblösungen für HSD FM MT/BT-DATA

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

SMS/ MMS Multimedia Center

Kinderarmut. 1. Kapitel: Kinderarmut in der Welt

BENUTZERHANDBUCH für. Inhaltsverzeichnis. 1. Anmeldung. 2. Rangliste ansehen. 3. Platzreservierung. 4. Forderungen anzeigen

Mobile Intranet in Unternehmen

Verwendung von QR-Codes zum Teilen von digitalen Rezepten in Printmedien mittels der Recipe Packaging Toolbox von My Own Cookbook

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

Anleitung vom 4. Mai BSU Mobile Banking App

inviu routes Installation und Erstellung einer ENAiKOON id

KeePass Anleitung. 1.0Allgemeine Informationen zu Keepass. KeePass unter Windows7

mobilepoi 0.91 Demo Version Anleitung Das Software Studio Christian Efinger Erstellt am 21. Oktober 2005

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

SAMMEL DEINE IDENTITÄTEN::: NINA FRANK :: :: WINTERSEMESTER 08 09

Kulturelle Evolution 12

Internet online Update (Mozilla Firefox)

Lehrer: Einschreibemethoden

15 Arten von QR-Code-Inhalten!

Schumacher, Chris Druckdatum :11:00

Sie haben diese Daten auch mobil dabei und synchron auf anderen Geräten! Sie haben eine Sicherheitskopie dieser Belege in einem Cloud-Speicher.

AutoCAD Dienstprogramm zur Lizenzübertragung

Informationen zum neuen Studmail häufige Fragen

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Anleitung Postfachsystem Inhalt

BENUTZERANLEITUNG KASSANDRO -APP

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation.

EARSandEYES-Studie: Elektronisches Bezahlen

1. Laptop: Benutzen Sie die Anleitung ab Seite 2 2. Tablet / Smartphone: Benutzen Sie die Anleitung ab Seite 4. Seite 2 Seite 4

Nutzung von GiS BasePac 8 im Netzwerk

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Benutzeranleitung Remote-Office

IT-Trend-Befragung Xing Community IT Connection

Installation und Aktivierung von Norton Mobile Security ios

2015 conject all rights reserved

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Leitfaden für den -Dienst

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

ACHTUNG: Voraussetzungen für die Nutzung der Funktion s-exposé sind:

Benutzerhandbuch - Elterliche Kontrolle

DELFI. Benutzeranleitung Dateiversand für unsere Kunden. Grontmij GmbH. Postfach Bremen. Friedrich-Mißler-Straße Bremen

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

Beschreibung der Umstellungsschritte Hibiscus (Umstellung Sicherungsmedium auf smstan)

die Hand. Im ersten Schr itt wählen Sie die Sprache der Benutzeroberfläche aus. Durch Betätigen der Schaltfläche Weiter gelangen Sie zum nächsten

PROFIS Software Lösungen

FRAGEBOGEN ANWENDUNG DES ECOPROWINE SELBSTBEWERTUNG-TOOLS

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Willkommen bei Dropbox!

Gruppenrichtlinien und Softwareverteilung

StudyDeal Accounts auf

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

BILDER TEILEN MIT DROPBOX

Ein mobiler Electronic Program Guide

Kurzanleitung für Verkäufer

iphone- und ipad-praxis: Kalender optimal synchronisieren

Machen Sie sich das Leben einfacher

Erste Schritte zur Online-Hallen-Buchung beim. TC Grün-Weiß Bayreuth e.v.

Windows Server 2012 RC2 konfigurieren

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

Erweiterung AE WWS Lite Win: AES Security Verschlüsselung

Tutorial about how to use USBView.exe and Connection Optimization for VNWA.

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Transkript:

Whitepaper Der Herr der Schlüssel Wie zweigeteilte Seed Records alle Sicherheitsbedenken gegenüber Zwei-Faktor-Authentifizierung auflösen

Inhaltsverzeichnis Einleitung... 2 Passwortschutz allein reicht nicht mehr... 2 2FA ja, Hardware-Token nein... 3 Wenn der Hersteller den Zweitschlüssel verliert... 3 Doppelter Schutz vor Passwortdieben... 4 Auch offline authentifizieren... 5 Lebenszyklus eines Tokens... 6 Kein Mobilgerät? Kein Problem... 6 SMS noch nicht ausgestorben... 6 Fazit... 6 1

Einleitung Was ein Haus für Familien ist, ist ein Netzwerk für Unternehmen ein Ort, an dem sich das eigene Hab und Gut befindet. Oberste Prämisse ist in beiden Fällen, jederzeit für eine 100 %ige Absicherung zu sorgen. Viele Privatanwender riegeln ihre Habseligkeiten mit Vorhängeschlössern ab, weil diese als sehr sicher gelten, da nur der Hausbesitzer selbst einen Schlüssel zum Öffnen besitzt. Kaum jemand denkt beim Kauf einer solchen Verriegelungsvorrichtung daran, dass auch der Schlosser als Verkäufer bzw. bei Mietshäusern der Hausmeister einen Zweitschlüssel als Sicherheitskopie haben könnte. Doch Schlosser bzw. Schlüsseldienste könnten von Dieben bestohlen werden, die dann direkten Zugriff auf Aberhunderte von Zweitschlüsseln hätten. Einem Beutezug durch Häuser und Villen stünde nichts mehr im Wege. Somit lauert für Haus- und Wohnungsbesitzer eine stete Gefahr im Hintergrund, der sich die meisten gar nicht bewusst sind. Dieser Fall lässt sich nahezu eins zu eins auch in der digitalen Welt wiederfinden insbesondere bei Netzwerkzugriffen via Zwei-Faktor-Authentifizierung (2FA). Die Methode soll als Schutzschirm für sensible Firmendokumente dienen, doch manche 2FA-Anbieter setzen ihre Kunden dabei neuen, externen IT-Bedrohungen aus. Welche Schäden dadurch entstehen können und worauf Unternehmen achten sollten, erklärt dieses Whitepaper. Passwortschutz allein reicht nicht mehr Nicht nur Wohnungs- und Hausbesitzer verriegeln ihr Hab und Gut; auch Unternehmen schirmen interne Daten und Informationen gegenüber Hackern und anderen Cyberkriminellen ab. Immer noch am weitesten verbreitet ist der Passwortschutz. Mitarbeiter müssen daher für den Zugriff auf das Firmennetz zunächst ihre Identität belegen, was mittels Eingabe des Benutzernamens und des persönlichen Passworts geschieht. Doch der einfache Passwortschutz allein bietet nicht ausreichend Sicherheit, was aktuelle Schlagzeilen über massive Firmen-Hackings verdeutlichen: Großunternehmen wie ebay oder Dropbox waren kürzlich von millionenfach gestohlenen Passwörtern betroffen. Finanzielle und Imageschäden können hier die Folge sein. Firmen sollten daher neben Benutzername und Passwort eine zweite Sicherheitseingabe für den Netzwerkzugriff einführen so wie bei Zwei-Faktor-Authentifizierungslösungen üblich. 2FA ja, Hardware-Token nein Im Rahmen der Zwei-Faktor-Authentifizierung geben Mitarbeiter zusätzlich zu den persönlichen Login-Daten einen einmalig gültigen Passcode (One-Time-Passcode, OTP) ein. 2

Damit Angestellte diesen Code empfangen können, erhalten sie von ihren Arbeitgebern ein Hardware-Token, z.b. eine Smartcard. Dieses Gerät muss immer mitgeführt werden, um sich bei der Arbeit unmittelbar im Netzwerk authentifizieren zu können. Die Kosten der Token mögen einzeln gesehen gering sein, sind jedoch für Unternehmen ein nicht zu unterschätzender Faktor, da in der Regel jeder Mitarbeiter, der Zugriff auf das Netzwerk haben soll, ein solches Authentifizierungsgerät braucht. Je nach Mitarbeiteranzahl entstehen erhebliche Kosten, und auch der finanzielle Schaden durch Diebstahl oder Verlust der Token ist nicht zu verachten. Hinzu kommt der Wartungsaufwand, den die Hardware-Token verursachen. Beispiel für Hardware-Token Einfachere Login-Vorgänge bieten Zwei-Faktor-Authentifizierungssysteme, die ohne kostenintensive physische Token auskommen. Firmen nutzen stattdessen die vorhandenen Mobilgeräte der Mitarbeiter. Der zum Einloggen erforderliche zweite Passcode wird Nutzern per SMS, E-Mail oder App auf ihr Smartphone, Laptop oder Tablet zugeschickt. Somit kann sich der Nutzer mit einem Mobilgerät authentifizieren, das er ohnehin jeden Tag mit sich trägt. Da Smartphones die herkömmlichen Mobiltelefone in der Praxis längst abgelöst haben, ist für Firmen die Passcode-Zustellung via App mit Blick auf die Zukunft wohl die interessanteste. Wenn der Hersteller den Zweitschlüssel verliert Mitarbeiter installieren die sogenannten Soft Token Apps für ios, Android etc. auf ihrem privaten Smartphone. Die App generiert das für den zweiten Authentifizierungsschritt benötigte OTP. Mit Eingabe von PIN und OTP erhalten Angestellte über die Applikation Zugriff auf geschützte Ressourcen im Netzwerk. Doch Unternehmen sollten dabei eine Sache beachten: Die meisten 2FA-Anbieter erstellen mit der Verbreitung der OTPs auch kryptografische Schlüssel, sogenannte Seed Records, und genau diese Schlüssel bergen 3

fundamentale Sicherheitslücken: Die Kunden müssen darauf vertrauen, dass die Kopie des Schlüssels, die der Hersteller speichert, sicher aufbewahrt wird und Hackern oder Regierungsbehörden nicht zugänglich ist. Somit haben die Hersteller eine ähnliche Verantwortung wie Schlosser oder Hausmeister, die Zweitschlüssel im Falle eines Falles sicher archivieren müssen. Dem US-amerikanischen 2FA-Anbieter RSA Security Inc. sind jedoch im Zuge eines Hackerangriffs im Jahr 2011 sensible Seeds von den Unternehmensservern gestohlen worden. Da sich aus den Seeds Millionen von OTPs ableiten lassen, verloren alle Software Token wie auch die Soft Token Apps enorm an Sicherheit und Vertrauenswürdigkeit. Somit stellen sich viele 2FA-Nutzer die Frage, ob sie den entsprechenden Anbietern überhaupt noch vertrauen können. Sind die Transportwege sowie die Art und Weise der Erstellung von OTPs überhaupt noch sicher? Können sich auch Regierungen Zugang zu Seeds von Unternehmensservern verschaffen, um Wirtschaftsspionage zu betreiben? Anhand des RSA- Hacks sind diese Bedenken absolut berechtigt. Wie können 2FA-Anbieter die Seeds absichern und vor Dritten schützen? Doppelter Schutz vor Passwortdieben SecurEnvoy hat als Erfinder der tokenlosen Zwei-Faktor-Authentifizierung im Gegensatz zu RSA eine weitere Sicherheitsstufe hinzugefügt. Allerdings werden anders als üblich die Seed Records zu keiner Zeit vom Hersteller selbst generiert oder gespeichert. Dies gewährleistet SecurEnvoy durch eine automatische Separierung des Record: Ein Teil wird lokal am Server des Clients erzeugt, während sich der zweite aus charakteristischen Eigenschaften des Mobilgeräts ergibt, z.b. Informationen über die SIM-Karte, die CPU o.ä. Generiert die App einen Passcode, entschlüsselt das Mobilgerät die erste Seed Record-Hälfte und leitet die zweite Hälfte entsprechend ab. Da also ein Part der beiden Seed Records niemals auf einem Mobilgerät des Mitarbeiters vorhanden ist, schließt SecurEnvoy aus, das angreifende Malware einen Seed Record erbeuten kann. Auch wenn ein Teil des Seed Record vom sogenannten Hardware-Fingerabdruck des Smartphones abgeleitet werden kann, besitzt SecurEnvoy dennoch keinerlei Kopien des Seed. 4

Passcodes in der SecurEnvoy-Lösung Auch offline authentifizieren Die Soft Token App dient den Mitarbeitern somit als sichere Authentifizierungshilfe im Firmenalltag. Für den Fall, dass das Mobilfunksignal plötzlich ausfällt und die OTPs mit der App nicht empfangen werden können, hat SecurEnvoy die Technologie One Swipe entwickelt. Sie generiert die sicheren OTPs in Echtzeit, ohne eine Internet- oder Mobilfunkverbindung zu benötigen. Ähnlich wie bei einem physischen Token wird hierbei alle 30 Sekunden eine neue Zahlenfolge für die Passcodes bereitgestellt. Mitarbeiter können die Anwendung One Swipe auf Smartphones, Tablets und Laptops unter den Betriebssystemen ios, Blackberry, Android, Mac OSX sowie Windows XP, Vista, 7 und 8 nutzen. Schema der One Swipe-Methode Bei der One Swipe-Methode erstellt der Nutzer mit der App einen einmalig gültigen QR- Code. Dieser enthält alle nötigen Authentifizierungsinformationen, inklusive der User ID. Den QR-Code scannen Nutzer anschließend per Webcam am Laptop oder via Tablet ein und erlangen so einen unkomplizierten Identitätsnachweis für den Netzwerkzugriff. 5

Lebenszyklus eines Tokens Im Laufe des Lebenszyklus eines Mobilgerätes erhält dieses in der Regel mehrfach Upgrades oder wird repariert. Anwender ersetzen Smartphones und Co. zudem im Schadensfall oder verkaufen die als Token genutzten Geräte unbedarft weiter. SecurEnvoys Ansatz verhindert, dass der neue Besitzer des Mobilgerätes plötzlich ein fremdes Token besitzt. Der 2FA-Anbieter erlaubt nur ein Token Device pro Nutzer, dennoch wird erlaubt, dass Mitarbeiter schnell und sicher z.b. zwischen Smartphone und Tablet als Token wechseln können: Das bedeutet, es ist schlichtweg unmöglich, eine User-Identität über mehrere Mobilgeräte zu verteilen. Alle alten Seed Records werden automatisch vom SecurEnvoy-Sicherheitsserver gelöscht, so dass Nutzer das alte Mobilgerät bedenkenlos weiterverwenden oder wiederverkaufen können. Kein Mobilgerät? Kein Problem Wenn ein Mitarbeiter sein mobiles Endgerät vergessen hat oder schlichtweg keines besitzt, kann er sich trotzdem virtuell legitimieren. Dies ermöglicht SecurEnvoy durch eine Voice Call-Funktion. Dabei gibt der Anwender wie gewohnt seine Login-Daten im Anmeldebildschirm ein. Zur gleichen Zeit erhält er den Passcode über einen Festnetzanruf des SecurEnvoy-Systems. Das entgegengenommene OTP gibt der Angestellte über die Telefontastatur ein. Auf diese Weise authentifiziert er sich und erhält Zugriff auf das Netzwerk. SecurEnvoy arbeitet darüber hinaus bereits an zukunftsweisenden sicheren Authentifizierungsprozessen mittels Fingerabdruck und NFC (Near Field Communication). Die letztgenannte Methode ermöglicht sogar den kontaktlosen Austausch von Daten per Funktechnik über kurze Strecken. SMS noch nicht ausgestorben Doch nun wieder zurück in die Gegenwart, wo viele Unternehmen nach wie vor auf die klassische SMS-Methode zur Authentifizierung zurückgreifen. SecurEnvoy als Erfinder der tokenlosen SMS-Variante ermöglicht nicht nur Smartphones, sondern auch konventionellen Mobiltelefonen, sogenannten Feature Phones, als Token genutzt zu werden. Dank SMS- Fähigkeit empfangen sie die Passcodes einfach per Textnachricht. Doch was passiert, wenn der Nutzer kein Mobilfunksignal hat oder Übertragungsverzögerungen entstehen? Um diese Schwierigkeit von vornherein zu umschiffen, hat SecurEnvoy ein patentiertes Verfahren mittels vorgeladener (preload) SMS entwickelt. Dabei wird ein eingetippter Code sofort ersetzt, und für den nächsten Authentifizierungsprozess steht schon eine neue Zahlenfolge 6

zur Verfügung. Ein kleiner SMS-Trick hilft dabei, die vorhandene Nachricht mit einem neuen Passcode zu aktualisieren. Dadurch muss weder stets eine neue Nachricht gesendet werden, noch müssen Anwender ihre alten SMS löschen. Fazit Die Anbieter von Zwei-Faktor-Authentifizierungslösungen tragen die große Verantwortung, dass ihre Kunden einen zum sicheren Login notwendigen, zweiten Passcode (OTP) erhalten ohne das Dritte diesen einsehen oder zurückverfolgen können. Wenn 2FA-Hersteller wie RSA beim Versand der OTPs kryptografische Schlüssel (Seed Records) verlieren, können Hacker alle Passcodes von Unternehmen ausspionieren. Entwickler SecurEnvoy räumt diese eklatante Sicherheitslücke aus, indem man Seed Records teilt. Ein Teil wird lokal am Server des Clients erzeugt, die Charakteristiken des Mobilgeräts des Angestellten bilden den zweiten Teil. Da sich niemals beide Teile des Seed Record auf Smartphones, Tablets etc. befinden, werden Malware-Angriffe zu 100 % ausgeschlossen: Die tokenlose Zwei-Faktor- Authentifizierung von SecurEnvoy schützt somit das Hab und Gut im Firmennetzwerk zu jeder Zeit. 7

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback