- Anzeigen -


Ohne zusätzliches Token eindeutig identifizieren


Token-lose Zwei-Faktor-Authentifizierung trotzt "Heartbleed"
SecurEnvoy-Lösungen nicht von OpenSSL-Schwachstelle betroffen

(23.05.14) - Kürzlich wurde Heartbleed bekannt - eine Sicherheitslücke in der Open-Source-Software OpenSSL. Das Verschlüsselungs-Tool kommt weltweit auf unzähligen Websites zum Einsatz. Über das Datenleck können Hacker auf am Rechner abgespeicherte Daten wie z.B. Passwörter, Zertifikate etc. zugreifen, selbst wenn eine Verschlüsselung über das https-Protokoll besteht. Vor unberechtigten Zugriffen mittels gestohlener Nutzeridentitäten soll die Token-lose Zwei-Faktor-Authentifizierung von Entwicklerin SecurEnvoy schützen. Alle Lösungen der Herstellerin sind frei von der Sicherheitslücke, da OpenSSL nicht verwendet wird.

Dadurch sind Nutzer der Token-losen Zwei-Faktor-Authentifizierung nicht gefährdet – im Gegenteil. "Denn die SecurEnvoy-Lösungen können sogar zum Schutz beitragen, wenn sie in Verbindung mit Produkten anderer Hersteller eingesetzt werden, die von Heartbleed betroffen sind", kommentiert Andy Kemshall, Technical Director bei SecurEnvoy. "Das liegt daran, dass Cyberkriminelle höchstens One Time Passcodes aus dem Speicher erbeuten können. Diese sind allerdings nur einmalig gültig und bereits abgelaufen, d.h. nicht mehr funktionsfähig."

Mittels SecurEnvoy-Lösungen können sich Nutzer ohne zusätzliches Token eindeutig identifizieren; als Authentifizierungswerkzeuge kommen mobile Endgeräte wie Smartphones, Tablets und Co. zum Einsatz. Die Übertragung des zum Ausweisen nötigen Passcode erfolgt per SMS, E-Mail, Festnetzanruf, QR-Code-Scan oder Soft Token App. Durch die Token-lose Funktionsweise lassen sich die Lösungen innerhalb kürzester Zeit installieren.

Dieses hohe Maß an Sicherheit gewährleistet SecurEnvoy durch die Aufteilung des Seed Record, eines speziellen Algorithmus zur Erstellung der One Time Passcodes. Diese Zahlencodes benötigt der Nutzer für den Login mittels Token-loser Zwei-Faktor-Authentifizierung; er wird kombiniert mit persönlichen Zugangsdaten. Nur die korrekte Kombination ermöglicht den Login. Zu keiner Zeit ist SecurEnvoy im Besitz von Informationen über die erzeugten Seed Records und die Passcodes. Stattdessen wird ein Teil des Record lokal am Server des Klienten erzeugt, während der zweite durch charakteristische Eigenschaften des mobilen Endgeräts bestimmt wird, quasi einen "Fingerabdruck", bestehend aus Informationen über die SIM-Karte, die CPU o.Ä. Jedes Mal, wenn der User einen Passcode abfordert, entschlüsselt das Endgerät den ersten Seed Record-Part und leitet den zweiten Teil entsprechend ab. (SecurEnvoy: ra)

SecurEnvoy: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Authentisierung

  • Token-Verwaltung vereinfacht

    KeyIdentity, Anbieterin von skalierbaren Identity- und Access-Management-Lösungen (IAM) auf Open-Source-Basis, präsentierte die neueste Version ihrer Multi-Faktor-Authentifizierungslösung (MFA) LinOTP. Das aktuellste Release der KeyIdentity MFA-Plattform unterstützt ab sofort Voice-Token, mit denen sich Nutzer schnell und einfach über ihre Telefonnummer authentifizieren lassen können. Ebenso hat KeyIdentity ihr Token-Management sowie die Funktionalität ihrer Push-Token optimiert und ihr Self-Service-Portal um eine MFA-Absicherung erweitert.

  • Cybersicherheit im Internet der Dinge

    Weltweit sind aktuell 6,4 Milliarden Geräte miteinander vernetzt, im Jahr 2020 gehen Schätzungen sogar von 25 Milliarden aus. Ob Kühlschrank oder Industrieroboter - die meisten Dinge wurden nie dafür ausgerichtet, im weltweiten Netz erreichbar zu sein. Daher sind sie oft nicht ausreichend vor Cyberangriffen geschützt.

  • PKI-Sicherheit auf mobilen Geräten

    Gemalto stellte "SafeNet MobilePKI" vor. Die Lösung verspricht, eine starke, PKI-basierte Authentifizierung und Sicherheitsanwendungen auf jeglicher Hardware zu ermöglichen - auch ohne USB-Anschluss oder Smartcard Reader. Dadurch sollen Firmen die Vorteile und Möglichkeiten ihrer mobilen Anwendungen voll ausschöpfen können. Gleichzeitig sollen sie die Vertrauenswürdigkeit ihrer PKI-Umgebung wahren.

  • Identitäts-Authentifizierung & -Verifizierung

    MasterCard führte mit "MasterCard Identity Check" eine Suite mit Technologielösungen ein, die intelligente Technologien zur Authentifizierung und Verifizierung der eigenen Identität sowie das Online-Shopping allgemein vereinfacht. Das derzeitige Lösungsset kann dazu führen, dass Konsumenten die Händlerwebseite verlassen. Denn beispielsweise die finale Passworteingabe raubt Zeit und birgt das Risiko, dass der Kauf aufgeschoben oder gar abgebrochen wird. MasterCard Identity Check lässt die Kunden ihre Authentifizierung im Handumdrehen selbst bestimmen, durch unter anderem biometrische Technologien oder Einmalpasswörtern via SMS.

  • Smart-Watch vor Hackerangriffen schützen

    Zwei-Faktor-Authentifizierung sichert die eindeutige Identifizierung von Anwendern und schützt Unternehmensnetzwerke, Cloud- und Web Applikationen, auf die über VPN oder andere Remote Access-Plattformen zugegriffen werden soll. Ab jetzt lässt sich die Technologie auch über Wearables wie Smart-Watches, Google-Glases und ähnlichen Devices einsetzen.