Zwei-Faktor Authentifizierungslösung über die Abfrage einer Zahlenkombination

"Man in the middle"-Attacken ausschließen

(13.12.05) - Entrust präsentierte die Version 8.0 der Zwei-Faktor Authentifizierungslösung "Identity-Guard". Sensible Daten sind jetzt nach Ansicht des Herstellers noch besser gegen Phishing-Attacken geschützt. Möglich wird dies durch eine Reihe von weiteren Sicherheitsoptionen, die je nach Bedarf zusätzlich ergänzt werden können.

Entrust IdentityGuard bietet eine einfache Methode, Nutzer zu authentifizieren. Jeder Nutzer erhält eine individuelle Tabelle, in der Buchstaben und Zahlen hinterlegt sind. Bevor ein Zugang zu Online-Services gewährt wird, werden bestimmte Zeichenkombinationen aus der Tabelle per Zufallsver-fahren abgefragt. Dadurch haben Angreifer äußerst geringe Chancen, die gerade geforderte Login-Kombination zu finden, um sich Zugang zum Account des Users zu verschaffen.

Sowohl von Analysten als auch von betroffenen Unternehmen wurden in jüngster Zeit vermehrt flexible Authentifizierungslösungen gefordert. Dabei geht es um Lösungen, die, je nach den spezifischen Sicherheitserfordernissen eines Unternehmens oder einer Behörde, verschiedene Authentifizierungsmöglichkeiten bieten, und auch nachträglich um zusätzliche Sicherheitsstufen erweitert werden können. Entrust erfüllt diese Anforderung: IdentityGuard 8.0 bietet unterschiedliche Funktionen - je nach Risiko einer Transaktion.

Zusätzlich zur bei IdentityGuard bereits bisher üblichen Authentifizierung des Nutzers über die Abfrage einer Zahlenkombination aus seiner individuellen IdentityGuard-Tabelle stehen in der neuen Version folgende Optionen zur Verfügung.

· Beidseitige Authentifizierung: Richtet sich ein Internet-Nutzer einen Online-Account ein, so hinterlegt er dort ein Bild oder eine Textnachricht. Beim Einloggen weist sich die Website nun mit dem vom Benutzer vorher ausgewählten Bild oder der Textnachricht aus. So kann der Nutzer sicher sein, dass er sich tatsächlich auf der gewünschten, sicheren Website, und nicht etwa auf einer Phishing-Site befindet.

· Geräte-Authentifizierung: Authentifizierung des Endgeräts (PC, Mobiltelefon etc.), von dem aus die Transaktion ausgeführt wird.

· Mobile Authentifizierung: Authentifizierung des Nutzers, indem ein einmalig gültiges Passwort via Handy, PDA, Telefon oder auch per E-Mail an den Nutzer vergeben wird. So können so genannte "Man in the middle"-Attacken ausgeschlossen werden.

· Wissensbasierte Authentifizierung: Authentifizierung des Nutzers durch Abfrage von bestimmten Informationen, die der Nutzer bei der Registrierung hinterlegt hat.

· Passwortstreichlisten: Authentifizierung des Nutzers mit Passwörtern, die je nur für einen Vorgang gültig sind und dann von einer vorab gelieferten Liste gestrichen werden.

(Entrust: ra)