[sage] Two-Factor Authentication mit SMS?
Andreas Jellinghaus
aj at dungeon.inka.de
Wed Jun 10 16:46:01 CEST 2009
Am Mittwoch 10 Juni 2009 14:26:01 schrieb Alexander Klink:
> IIRC kann der ACE-Server von RSA in einer aktuellen (vll. auch kommenden,
> da bin ich nicht ganz sicher) das als Ersatz für ein physisches
> SecurID-Token.
sind die rsa tokens inzwischen mehr als schwer lesbare uhren?
Mein Stand ist: der Algorithmus für die Berechnung des OTP ist weithin
bekannt. Dabei geht nur die Uhrzeit ein, und eine Nummer. Die Nummer ist
in den Geräten fest eingestellt und kann nicht geändert werden. Dafür
steht die Nummer auf diversen Dokumenten wie Lieferschein drauf, und ist
daher bedingt sicher. Zudem muß zumindest bei manchen Implementationen
die Nummer im Klartext auf dem Server hinterlegt werden (es gibt wohl
ein PAM modul für diese OTP).
Mein Fazit: nicht sehr sicher. Auf dem Linuxtag wurde das mal schön
demonstriert, die "geheime" OTP war in einem Vortrag vorhergesagt während
der Token durch die Reihen ging, und natürlich kam zur vorhergesagten Zeit
auch die vorhergesagte Nummer.
Hat sich da was geändert? Kann man wenigstens die Nummer der Tokens
verändern, oder muß man RSA, der gesamten Handelskette und allen Leuten
mit Zugang zum Lieferschein vertrauen, das diese die Nummer geheim halten?
Tschüss, Andreas
More information about the SAGE
mailing list