Frage bezüglich Karten- und Perso Lesegerät

[Domi83]

Hallo Leute, ich habe da mal eine kleine Frage an Euch
Vor ein paar Wochen gab es einen Bericht im Fernsehen wegen der tollen Sicherheit vor geklauten Daten / Passwörtern etc. und da hatte man erwähnt, dass man ja seine Passwörter (oder Logins) auch zusätzlich mit einem Dongle (z.B. der neue Perso) absichern könnte. Mich würde aber mal interessieren, wie die das gemeint haben... denn nicht jede Internetseite bietet mal eben als Feature die Funktion "Perso als Dongle" oder so etwas ähnliches an. Oder habe ich deren Prinzip was die erwähnt hatten, falsch verstanden..?

Dazu hinaus würde mich allgemein das Thema Kartenleser interessieren.
Welche sind denn gut und taugen was? Denn das eine oder andere Thema kann man ja mittlerweile dank dem neuen Personalausweis online erledigen. Aber welches Lesegerät ist gut und sicher?

Vielleicht interessiert diese Geschichte ja auch noch andere... aber bevor mein Chef dann wieder anklopft, weil er das Thema auch gesehen hat, informiere ich mich schon mal darüber

Gruß, Domi

 

[HighTech-Freak]

System wird ähnlich sein wie in AT und entspricht im Wesentlichen einer PKI, sprich ist Zertifikat-basiert.
Guckst Du hier: http://www.buergerkarte.at/index.html
Dein Zertifikat liegt auf der Karte. Somit kann man sich ohne Passwort auf diversen Seiten authentifizieren. Die Karte signiert einen Request vom Server -den man eventuell per PIN bestätigen muss- und schickt diesen anschließend zurück an den Server. Das is per se sicherer als Passwörter irgendwo einzugeben, da ein Angreifer die übertragenen Daten im Falle einer unverschlüsselten Verbindung kein 2tes mal benutzen kann. D.h. auch Trojaner, Keylogger und Co gehen leer aus. Wirklich sinnvoll is das aber nur wenn Du einen Kartenleser mit PIN-Pad hast, sonst kannst Du erst einem Key-Logger zum Opfern fallen, wenn Du die PIN über die normale Tastatur eingibst.

Das Verfahren selbst ist zwar sicher, hat aber in der Praxis einige (gravierende) Schwächen:

• Komplexe Infrastruktur
• Preis
• Bei Kompromittierung eventuell großes Sicherheitsloch (im vgl zur Verwendung von verschiedenen Passwörtern)
• Kompatibilität zu bestehenden Systemen (kein Ersatz für diverse Passwort-basierte Systeme)
• Die Karte alleine stellt je nach Umsetzung/Einsatz keine "vollwertige" 2 Faktor-Authentifizierung dar.

Den alleinigen Einsatz einer solchen Karte ohne eine weitere Authentifizierung (statisches Passwort, SMS-TAN, email-TAN,...) halte ich persönlich für riskant, da im Falle der Kompromittierung des eigenen Zertifikates -wodurch auch immer- einem Angreifer alle Tore offen stehen. Anwendungs/Website-spezifische Passwörter können dem vorbeugen. PKIs leiden leider an einigen Problemen. Zertifikat-Sperrlisten -bzw. viel mehr deren Aktualisierung und Nutzung- sind nur eines davon.

 

[MaverickM]

Passwörter als Zwei-Faktor-Authentifizierung mit einem Dongle absichern ist eine gute Idee. Aber ich würde das nicht unbedingt empfehlen mit einem Perso zu machen...
Brauchbare Lösungen wären etwa so etwas wie YUBIkey. Günstiger und einfacher, aber auch weniger sicher: Google Authenticator u.ä. Ich verwende einen Fingerabdruckleser + Google Authenticator + Passwort.