cnt

VIP-Sicherheit für jedermann

Endlich gibt es eine One-Time-Password-Lösung, die mit mehreren Websites von unterschiedlichen Anbietern genutzt werden kann.

Artikel erschienen in Swiss IT Magazine 2007/21

     

Mit Verisign Identity Protection, kurz als VIP bezeichnet, adressiert Verisign ein neues Marktsegment, das aber durchaus mit dem verwandt ist, wofür man Verisign kennt – digitale Zertifikate für den Schutz von Websites, Nutzern und die Authentifizierung.


Das Angebot gliedert sich in zwei Bereiche. Der VIP Fraud Detection Service als Serverlösung für die Erkennung von Fraud, also den Missbrauch, ist das eine Element. Für den Endbenutzer viel interessanter ist aber der VIP Authentication Service, mit dem eine One-Time-Password-Lösung geschaffen wurde, die mit mehreren Websites genutzt werden kann. Auf diesen Service wird nachfolgend auch eingegangen. Zu den ersten Websites, die das Konzept unterstützen, gehören PayPal und eBay, also zwei der meistgenutzten Anbieter, bei denen sichere Transaktionen von Bedeutung sind.


Das Konzept der VIP Authentication Services

Sogenannte OTP-Lösungen (One Time Passwords) sind für viele Benutzer nichts Neues. Banken nutzen diesen Ansatz ebenso für das Online-Banking wie er bei vielen Unternehmen für die Sicherung von Remote-Zugriffen eingesetzt wird. Dabei erhält der Benutzer einen sogenannten Token, der immer wieder aktuelle Kennwörter generiert, typischerweise als sechsstellige Ziffernfolgen. Diese müssen anstelle oder zusätzlich zu einem Kennwort und in Verbindung mit einem Benutzernamen eingegeben werden.


Da die Kennwörter im Abstand von typischerweise einer Minute neu generiert werden, erhöhen sie den Schutz deutlich. Dass er nicht absolut ist, zeigt sich aber beispielsweise daran, dass beim Online-Banking der Credit Suisse auch für die erste Transaktion noch einmal ein OTP eingegeben werden muss, um zu verhindern, dass sich jemand in der Authentifizierungsphase in eine Verbindung einklinkt.



Von den einfach nutzbaren Ansätzen für ein relativ hohes Mass an Sicherheit sind OTPs aber einer der besten, auch weil sie keine spezielle Hardware im PC voraussetzen, wie es bei klassischen Smartcard-Readern der Fall ist, wobei es hier mit USB-Tokens für die Speicherung der digitalen Zertifikate ja inzwischen auch gute Lösungen gibt. Für den Einsatz im Web ist eine Lösung, die keinerlei spezifische Hard- und Software auf dem Client erfordert und damit zum Beispiel auch keine Betriebssystemabhängigkeit schafft, sondern eben nur ein externes Token erfordert, aber auch aus Anbietersicht am wenigsten problematisch.


Der grundsätzlich gute Ansatz hat aber gerade beim Einsatz im Internet auch einen gravierenden Haken: Mit jedem weiteren Anbieter, der OTPs nutzt, erhält man normalerweise auch einen zusätzlichen Token. Und damit wird das Konzept schnell unhandlich, umso mehr, als der typische Formfaktor eines Tokens eben nicht einfach in den Geldbeutel passt. Allerdings gibt es, auch von Verisign, inzwischen auch OTP-Generatoren, die nicht dicker und grösser als eine Kreditkarte sind. Aber auch viele kleine oder flache Tokens sind noch unhandlich.


Verisign bietet dagegen genau einen Token an, der bei unterschiedlichen Websites, die die VIP Authentication Services nutzen, registriert werden kann. Man kann also beispielsweise bei eBay und PayPal, aber auch bei allen anderen zukünftigen Kunden von Verisigns VIP Authentication Services, mit genau einem Token arbeiten.


Das Geschäftsmodell

Nun will natürlich auch Verisign an dem Konzept verdienen. Das geschieht primär über die Kosten der Tokens selbst, die sich allerdings im Bereich von deutlich unter 50 Franken bewegen. Damit hat Verisign, wie bei den Zertifikaten, ein skalierbares und damit hoch interessantes Geschäftsmodell. Gleichzeitig sind die Kosten aber für die Nutzung überschaubar, unabhängig davon, ob sie durch Endanwender oder die Anbieter getragen werden.

Dabei spielt insbesondere die mehrfache Verwendbarkeit eine Rolle. Ein Ansatz, bei dem nur ein Token für mehrere Websites unterschiedlicher Anbieter benötigt wird, führt eben auch zu einer Verteilung der Kosten – und wenn es nur dadurch ist, dass man nur für einen Teil seiner Nutzer Token bei Verisign besorgen muss, weil der andere Teil zumindest über die Zeit gesehen bereits einen Token haben wird, den er nutzen kann.



Eine zweite wichtige Säule im Modell von Verisign sind die Gebühren für die Authentifizierung einzelner Benutzer. Diese sind relativ gering, wobei eine grosse Zahl von Authentifizierungen für Verisign eben auch zu signifikanten Umsätzen führen kann. Eine Basisgebühr für die Nutzung der Technologie auf Websites gibt es hingegen nicht.


Die Nutzung

Erfreulich ist dabei auch die einfache Nutzung. Die grösste Hürde bei der Einrichtung war bei Paypal die Identifizierung des Bereichs im Benutzerprofil, in dem der Token registriert wird. Die Registrierung eines vorhandenen Token erfolgt anschliessend mit der aufgedruckten ID des Token und dem aktuellen Einmal-Kennwort. Man kann das Kennwort ausserdem einfach auch bei eBay hinzufügen, indem man eBay als weitere Site für die Nutzung einrichtet. Der entsprechende Link findet sich bei der Verwaltung des Paypal-Profils.


Anschliessend kann man sich authentifizieren, indem man weiterhin seinen Benutzernamen und das Kennwort verwendet. Das Einmal-Kennwort kann wahlweise direkt an das Kennwort angefügt oder auf einem anschliessenden Bildschirm eingegeben werden.



Natürlich ist das umständlicher als nur das «normale» Kennwort. Das Ziel ist ja aber genau, dass man eine stärkere Authentifizierung nutzt. Und ohne ein Minimum an zusätzlicher Unbequemlichkeit geht das eben nicht. Das zusätzliche Mass bewegt sich aber doch in engen Grenzen und unterscheidet sich nicht von dem, das man auch bei Online-Banking-Lösungen mit Zwei-Faktor-Authentifizierung hat. Was im Moment noch fehlt, ist die breite Akzeptanz ausserhalb der Pionierkunden. Das Potential dafür ist aber da.


In der Summe ist der Verisign VIP Authenticiation Service eine der interessantesten Lösungen im Bereich der Sicherheit, die in letzter Zeit auf den Markt gekommen ist. Es gibt zwar sicherlich Ansätze, die ein höheres Mass an Sicherheit bieten. VIP ist aber ebenso sicher eines der einfachsten Modelle, um eine Zwei-Faktor-Authentifizierung auf Websites zu realisieren – und das im Verbund mit grossen Anbietern wie eben eBay und Paypal, die eine hohe Chance dafür bieten, dass sich das Modell etablieren und die nötige Masse erreichen wird.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER