Wie funktioniert Authentisierung mit Einmalpasswörtern?

Was ist eine zertifikatsbasierte Authentifikation?

(18.10.05) - Die Absicherung mit Einmalpasswörtern besteht aus zwei Hauptkomponenten: Auf der Benutzerseite benötigt der Zugangsberechtigte ein Authentifikationsgerät in Verbindung mit einer PIN, zum Beispiel ein Token, eine Smart Card und Kartenterminal, ein PDA oder ein Handy. Die zweite Komponente ist der Server - bestehend aus Software und Administrationstool zur Verwaltung der Benutzer. Der Benutzer erhält von seinem Authentifikationsgerät einen numerischen Code, der auf Basis des 3DES-Algorithmus berechnet wird. Dieser Code ist nur einmal gültig. Sollte jemand versuchen, dieses Einmalpasswort ein zweites Mal zu verwenden, wird der Zugriff verweigert. Ein Angreifer kann ein abgehörtes oder ausgespähtes Passwort also nicht selbst benutzen. Wenn der Benutzer sein Einmalpasswort in die Bildschirmeingabemaske eingibt, wird es über das Netzwerk-gerät (zum Beispiel VPN oder Webserver) verschlüsselt an den Server weitergeleitet und dort überprüft. Ist das Einmalpasswort korrekt, erhält der Benutzer den Zugang ins Netzwerk. Damit der Server das Passwort verifizieren kann, verwenden Token und Smart Card einen Algorithmus und Ausgangswerte, die mit dem Einmalpasswort-Server synchronisiert sind. Der Server übernimmt die Überprüfung der Einmalpasswörter (Authentifikation), die Verwaltung der Benutzerrechte (Autori-sierung) und die Protokollierung der Zugriffsversuche (Accounting).

Über die zertifikatsbasierte Authentifikation:

Die zertifikatsbasierte Benutzeranmeldung basiert auf einem asymmetrischen Verschlüsselungs-verfahren mit zwei komplementären Schlüsseln, einem geheimen (private key) und einem öffent-lichen Schlüssel (public key). Der private Schlüssel liegt hoch sicher auf der (PIN-geschützten) Smart Card und dient zur Entschlüsselung von mit dem öffentlichen Schlüssel verschlüsselten Daten. An den öffentlichen Schlüssel gebunden dient das digitale Zertifikat als digitale Identität des Benutzers. Für die Authentifikation erfolgt der Zugriff per Smart Card mit privatem Schlüssel und Zertifikat über ein Kartenlesegerät. Das Zertifikat fungiert quasi wie ein digitaler Ausweis und bindet seinen Inhaber an den öffentlichen Schlüssel. Die Handhabung ist für den Benutzer sehr einfach: Er muss bei der Anmeldung nur seine Smart Card ins Lesegerät stecken und seine PIN eingeben. (Kobil: ra)