Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.34 Einsatz von Einmalpasswörtern - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.34 Einsatz von Einmalpasswörtern

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator

Verantwortlich für Umsetzung: Administrator

In Netzen, in denen Passwörter unverschlüsselt übertragen werden, können diese relativ einfach abgehört werden. Außerdem können Implementierungs- oder Protokollfehler in Betriebssystemen und Applikationssoftware dazu führen, dass auch verschlüsselte Passwörter kompromittiert werden können.

Daher empfiehlt sich die Verwendung von Einmalpasswörtern, also Passwörtern, die nach einmaligem Gebrauch gewechselt werden müssen. Einmalpasswörter können software- oder hardwaregestützt erzeugt werden.

Bei der Verwendung von Einmalpasswörtern muss der Benutzer das Einmalpasswort auf dem lokalen IT-System oder über ein Token generieren oder aus einer Liste einlesen, die vom entfernten IT-System generiert worden ist und die sicher aufzubewahren ist. Das entfernte IT-System muss dann das Einmalpasswort verifizieren.

Für den Einsatz von Einmalpasswörtern können z. B. Public-Domain-Programme wie OPIE bzw. S/Key benutzt werden. OPIE (One-time Passwords in Everything) ist die Public-Domain-Weiterentwicklung von S/Key, das mittlerweile als kommerzielles Produkt vertrieben wird.

S/Key benutzt im Gegensatz zu OPIE noch standardmäßig den MD4-Algorithmus zum Erzeugen und Verifizieren der Einmalpasswörter. Wegen der bekannten Schwachstellen des MD4-Algorithmus sollte der im Lieferumfang enthaltene MD5-Algorithmus benutzt werden.

OPIE bzw. S/Key bestehen aus einem Programmteil auf dem Server zum Verifizieren der eingegebenen Passwörter und einem Programmteil auf dem IT-System des Benutzers. Ein Benutzer bekommt beim Login auf dem entfernten IT-System nach Eingabe seines Benutzernamens die Sequenznummer des einzugebenden Einmalpasswortes und eine Kennung angezeigt. Mit diesen beiden Angaben und einem geheim zu haltenden Passwort berechnen OPIE bzw. S/Key auf dem lokalen IT-System das Einmalpasswort für diese Sitzung. Steht dem Benutzer zur Berechnung der Einmalpasswörter lokal kein Programm zur Verfügung, kann vom entfernten System eine Liste mit Einmalpasswörtern erzeugt werden, die dann entsprechend sicher zu verwahren ist.

Einmalpasswörter können auch über Token erzeugt werden, die die Generierung übernehmen. Dies können entweder Chipkarten oder taschenrechnerähnliche Geräte sein. Der Benutzer muss sich zunächst gegenüber dem Token authentisieren. Nach erfolgter Benutzer-Authentisierung authentisiert sich dann entweder der Token selbständig gegenüber dem Server oder er zeigt dem Benutzer an einem Display das am Client einzugebende Einmalpasswort an.

Nachdem immer mehr sensible Informationen nur durch Passwörter vor Fremdzugriff geschützt sind, kommt Einmalpasswortsystemen und hardwarebasierten Authentikationsmethoden ein wachsender Stellenwert zu. Wo der Einsatz von softwarebasierten Einmalpasswortsystemen wie OPIE auf Akzeptanzprobleme stößt, sollten hardwarebasierte Systeme eingesetzt werden. Viele hardwarebasierte Systeme bieten darüber hinaus auch die Möglichkeit, "Single-Sign-On"-Lösungen aufzubauen. Über "Single-Sign-On"-Verfahren wird erreicht, dass sich Benutzer nicht an jedem IT-System mit einem anderen Passwort ausweisen müssen, sondern dass sie sich auch bei großen heterogen Netzen ausschließlich am ersten benutzten IT-System authentisieren müssen, das diese Informationen dann an alle weiteren IT-Systeme weiterreicht.

Durch hardwarebasierte Einmalpasswortsysteme werden außerdem viele der unter M 2.11 Regelung des Passwortgebrauchs aufgeführten Regelungen, die die einzelnen Benutzer beachten müssen, überflüssig, da dies von den Einmalpasswortsystemen übernommen wird.

Ergänzende Kontrollfragen: