Wofür gibt es Token?
Sichere Zugänge beschränken sich mittlerweile nicht mehr nur auf die Eingabe eines einzelnen Passworts. Viel mehr haben die Folgen von Hackerattacken und Phishingangriffen bewiesen, wie unsicher und anfällig ein singuläres Anmeldeverfahren ist. Daher kommen immer mehr 2- bzw. Multi-Faktor-Authentifizierungen in Anmeldeprozessen zum Einsatz. Diese setzen sich in den meisten Fällen aus einem Besitzgegenstand (z.B. Token), einer Wissenskomponente (z.B. PIN/Passwort) und/oder einem Merkmal (z.B. Fingerabdruck) zusammen.
Über immer weiter verfeinerte Taktiken der Hacker wie Social Engineering oder Phishing ist es deutlich einfacher geworden, ein Anmeldeverfahren mit einem einzigen, meist schwachen Passwort „zu knacken“. Werden Token für die Anmeldung eingesetzt, ist es für Hacker erheblich schwieriger schnell an Daten zu kommen, da ihnen im Anmeldeprozess ein wesentlicher Bestandteil fehlt.
Welche Art von Token gibt es?
Security Token sind zumeist in Hardwareform vorzufinden. Dabei kann das Erscheinungsbild stark variieren:
Eine der mit am meisten verbreiteten Varianten ist der „Fob“, auch „Key Fob“ genannt. Dieser kleine Transponder ist vor allem in Unternehmen für die Zeiterfassung oder Entriegelung abgesperrter Bereiche zuständig, kann aber ebenso als Token für eine 2- bzw. Multi-Faktor-Authentifizierungen genutzt werden.
Smartcards, auch unter dem Namen Chipkarte bekannt, finden als Token u.a. als persönliches Ausweisdokument (Personalausweis) oder auch der Bankkarte Verwendung. Zu unterscheiden ist hier jedoch die Komplexität der Smartcard. Diese sind entweder mit einer einfachen Speicherchip-Logik ausgestattet oder einem umfassenderen Prozessor-Schaltkreis. Letzterer besitzt ein eigenes Betriebssystem, welches auf die Karte zugeschnitten ist. Entsprechende kryptographische Vorgänge tragen dafür Sorge, dass unbefugte Dritte die hinterlegten Daten nicht einfach auslesen zu können. Wichtigster Unterschied: Bei Speicherchips werden kryptographische Schritte außerhalb der Karte durchgeführt und anschließend auf dem Token gespeichert, während bei „aktiven“ Smartcards die Kryptographie niemals den Token verlässt.
Token können ebenfalls im USB-Format auftreten. Einer der marktführenden USB-Token ist dabei der YubiKey von Yubico. Dieser unterstützt verschiedene Schnittstellen. So sind Unternehmen wie Google, Amazon, Microsoft und viele andere Partner von Yubico und unterstützen eine Authentifizierung über den YubiKey.
Eine weitere Option, die immer häufiger für die Authentifizierung beim Anmeldeprozess genutzt wird, ist die Verifizierung über Authentifizierungs-Apps wie u.a. Authy, Google Authenticator, heylogin. Nur ausgewählte Apps sind für diesen Prozess zugelassen, um die entsprechende Sicherheit zu gewährleisten.
Wie funktionieren Token?
Jedem Token liegt eine eindeutige Identifikationsnummer (UID) zugrunde. Diese kann aus dessen Typennummer, einer Medien-Seriennummer, einer Träger-Registriernummer und/oder einer Benutzer-Klassennummer bestehen.
Zu Beginn des Authentifizierungs-Prozesses muss ein Datenaustausch zwischen Token und dem Prüfsystem eingeleitet werden. In der Praxis könnte das das Verbinden der Kreditkarte mit dem Kartenlesegerät darstellen.
Anschließend versucht das Lesegerät den Token anhand seiner Identifikationsnummer mit dem ihm vorliegenden Referenzdaten nach einem festgeschriebenem Prüfverfahren zu identifizieren. Hierbei kann es zu einer Abfrage weiterer Prüfdaten kommen. Im Fall der Bankkarte wäre dies die PIN.
Um die Sicherheit der Daten zu gewährleisten, wird ein erneuter Vergleich der Referenzdaten mit denen eines anderen Servers durchgeführt.
Je nachdem, ob die Daten übereinstimmen, wird ein Zugriff erlaubt oder entsprechend abgewiesen. Würde nun also eine falsche PIN eingegeben werden, könnte der Bezahlvorgang nicht abgeschlossen werden und die Transaktion würde beendet.
Bei korrekter Eingabe würden diese Informationen vom Prüfserver an das Lesegerät zurückübermittelt werden und die für den Token ausgewiesenen Funktionen wären verfügbar. So könnte ein Bezahllimit für die Kreditkarte eingerichtet worden sein, welche den Bezahlvorgang nur bis 2000€ gestatten würde.
Wo kommen Token zum Einsatz?
Token begleiten uns bereits – mehr oder weniger bewusst – unseren ganzen Alltag über hinweg: Sei es mit den bereits genannten Beispielen der Kreditkarte oder dem Personalausweis; aber auch im Schwimmbad über das Armband, das uns nicht nur den Einlass ermöglicht, sondern auch den Schrank versperrt. Haustierbesitzer profitieren ebenfalls von der Tokentechnik- sollte der tierische Begleiter mal abhandenkommen, kann ein Tierarzt mit Hilfe eines implantierten Chips das Tier identifizieren und seinem Besitzer zuordnen. Selbst der moderne Autoschlüssel ist in der Regel ein Token; kann er allein ein einziges Auto entsperren.
In der digitalen Welt halten Multi-Faktor-Authentisierungen ebenfalls immer weiter Einzug. Google Konten oder Transaktionen über Paypal bedürfen standardmäßig mittlerweile einer Authentisierung über sogenannte one-time-passwords (OTP = Einmalpasswörter), welche zum Zeitpunkt der Anfrage generiert und an die hinterlegte Adresse (E-Mail, Telefonnummer) geschickt werden. Auch mobile Bank-Anwendungen fordern für den Log-In zumeist ein biometrisches Merkmal (Fingerabdruck oder Gesichtsscan) zur Identifikation der Nutzer.
Welche Vorteile haben Token?
Der wohl größte Vorteil eines Tokens ist offensichtlich die Gewährleistung von Sicherheit. Durch die Verwendung eines Tokens bei einem Anmeldeprozess kann selbst im Fall von ausgespähten Daten ein Zugriff verhindert werden, da ein wesentlicher Faktor zur Authentifizierung fehlt. Auch durch seinen einzigartigen Charakter trägt der Token zu höheren Sicherheitsstandards bei, da er nicht vervielfältigt oder gar manipuliert werden kann.
Durch ihr handliches Format sind Token darüber hinaus einfach zu transportieren und damit von überall aus zu verwenden. Sollte der Token verloren gehen, ist ein unbefugter Log-In jedoch weiterhin unmöglich, da noch immer ein zusätzliches Merkmal (PIN, Fingerabdruck etc.) notwendig ist. Zusätzlich dazu kann er außerdem völlig unkompliziert gesperrt werden.
Welche Nachteile haben Token?
Werden Token wie Passwörter als alleiniges Anmeldemittel verwendet und nicht in Form einer Multi-Faktor-Authentifizierung, zeigen sie einen ähnlich geringen Schutz wie Passwörter auf und sind auf diese Art und Weise nicht zu empfehlen.
Auch kommt man mit einem Token allein nicht weit- man benötigt entsprechende Schnittstellen in der firmeneigenen Infrastruktur sowie entsprechende Lesegeräte, die einen Token identifizieren können. Dies kostet in der Anfangsphase viel Geld und Zeit.
Ist ein Log-In ausschließlich über eine Multi-Faktor-Authentifizierung möglich und der Token kommt einem Nutzer abhanden, ist dieser für einen gewissen Zeitraum arbeits- bzw. handlungsunfähig. Weiterhin verliert man über die Nutzung von Token den Aspekt der Anonymität und kann Handlungen und Aktivitäten genau einem Nutzer zuordnen.
