Wie so oft: Es kommt darauf an - c’t magazin.tv: Wann ist ein Passwort wi…

Zunächst sollten folgende Fragen beantwortet werden:
1. Was soll geschützt werden ?
2. Welche Auswirkungen kann ein Bekanntwerden des Passworts haben ?
Zu 1.: Der Zugang zu irgendwelchen Unterhaltungs Foren (z.B.
Lindenstraßenforum, falls es sowas gibt) muss sicherlich nicht so gut
geschützt werden, wie z.B. der Zugang zum Bankkonto oder den
Betriebsgeheimnissen eines Unternehmens. Dennoch sollten auch Folgen
bedacht werden, wenn nun einer mit einem fremden Account z.B. im
Heise Forum andere Personen beleidigt.
Zu 2.: Falls ein “unwichtiges” Passwort missbraucht, dann kann das
bei bekannten Foren, wie z.B. Heise schon weitere Folgen haben, da
kann sicher jeder Rechtsanwalt schon etwas erzählen. Man denke nur an
Postings der Art “Das Unternehmen blahfaselfoo betrügt seine Kunden”.
Die Sperrung des Accounts ist da noch die kleinste Auswirkung.
Anders sieht es beim Bankkonto aus. Was nach der Weitergabe von PIN
und TANs passiert, ist ja sicher allgemein bekannt.
Sinnvolle Maßnahmen:
Zu 1.: Für einfache, nicht sicherheitsrelevante Anwendungen, kann
bietet folgendes Verfahren eine ausreichende Sicherheit:
- Es wird ein leicht zu merkender Satz mit mind. 8 Wörtern gebildet,
der möglichst auch Sonderzeichen enthalten sollte, Satzzeichen sind
ebenfalls sinnvoll.
- Die Anfangsbuchstaben, Zahlen und Zeichen werden unter Beachtung
der Groß-/Kleinschreibung als Passwort verwendet.
Zu 2.: Das PIN/TAN Verfahren ist alleine deshalb schon unsicher, weil
in der Authentifizierungskette mind. eine nicht vertrauenswürdige
Komponente existiert, nämlich der PC des Bankkunden. Es muss
zumindest sichergestellt werden, dass über eine vertrauenswürdige
Komponenten Kette dem Kunden mitgeteilt wird, was er für einen
Auftrag an die Bank gibt, da wären zumindest Empfänger und Betrag
wichtig. Die mobile TAN Lösung mit Ãœbermittlung dieser Daten über ein
Handy ist sicher eine gute Lösung, leider aber mit “Buchungskosten”
(SMS) verbunden. Theoretisch wäre es auch denkbar, diesen Datensatz
z.B. mit GnuPG zu verschlüsseln und als 2d-Barcode auf dem Bildschirm
darzustellen. Mit einem geeigneten Leser kann der Kunde diesen
Barcode abtasten und dieser Leser stellt die Daten dar. Es werden
dann keine Treiber gebraucht, weil dieses Gerät völlig unabhängig von
PC arbeitet. Die zweitbeste Lösung ist das HBCI System mit einem
Klasse3 Terminal, aber auch hier müssten die Buchungsdaten
verschlüsselt an das Terminal übertragen werden, so dass der Kunde
das, was er eingegeben hat mit dem vergleichen kann, was bei der Bank
angekommen ist. Hier werden jedoch Treiber für den PC gebraucht, so
dass die Systemunabhängigkeit nicht mehr gegeben ist, weiterhin sind
theoretisch dann auch Angriffe auf das Terminal möglich.
Bei Punkt 2 ist die Beweiskraft sehr wichtig, denn wegen der
bekannten Probleme des PIN/TAN Verfahrens könnte es passieren, dass
irgendwann ein Gericht entscheidet, dass nicht der Kunde beweisen
muss, dass er nicht den Auftrag erteilt hat, sondern dass die Bank
beweisen muss, dass der Kunde den Auftrag so erteilt hat. Wenn die
Bank den Beweis mit PIN/TAN nicht erbringen kann, dann haben die
Banken ein Problem.
Im Falle von Punkt 1 ist das in gewisser Weise auch ein Thema. Es gab
ja da wohl schon einen Vorfall, dass der Forenbetreiber für Beiträge
von Benutzern haftbar gemacht werden kann. Da normale
Passwortverfahren per se unsicher sind, kann ein Benutzer im Zweifel
recht leicht abstreiten, dass er einen bestimmten Beitrag verfasst
hat.

Juni 28th, 2008 - Posted in Allgemein | |

Leave a reply

You must be logged in to post a comment.