computerwoche.de

Web

AOL, RSA und Verisign pushen Authentifizierung

21.09.2004

Nachdem Online-Betrug und Identitätsdiebstahl immer weiter um sich greifen, steigen große Anbieter mit Lösungen in den Ring, um die Verbreitung von Technik zu fördern, mit der sich Kunden, Geschäftspartner und Mitarbeiter online identifizieren lassen.

RSA Security und America Online (AOL) starten heute das Programm "AOL PassCode", das AOL-Kunden dazu ermuntern soll, ihre Zugangsdaten über Sicherheits-Tokens zu schützen. Gleichzeitig kündigt Verisign seinen neuen Dienst "Unified Authentication" an, der die Kosten so genannter starker Authentifizierung - etwa für Einmalpasswörter und Smart Cards - erheblich reduzieren soll.

Das PassCode-Programm bietet AOL-gebrandete "SecureID"-Token von RSA, mit denen Kunden des Online-Dienstes ihren Zugang zusätzlich absichern können - laut Ned Brody, Senior Vice President of Premium Services bei AOL der erste größere Rollout von Multifaktor-Authentifizierung im Consumer-Bereich. AOL verlangt für die Lösung knapp zehn Dollar Einrichtungsgebühr (dafür wird der Token per Post zugesandt) und anschließend 1,95 Dollar pro Monat für die Absicherung eines Screen Names oder 4,95 Dollar für deren sieben.

Beim Login wird dann zusätzlich ein sechsstelliger Zahlencode abgefragt, den der RSA-Token alle 60 Sekunden neu wechselt. Das Abgreifen ("Phishing") von AOL-Zugangsdaten ist damit nahezu unmöglich, da Screen Name und Passwort zur Anmeldung nicht mehr ausreichen.

Multifaktor-Authentifizierung steht auch im Mittelpunkt von Verisigns Unified Authentication. Diese erweitert die bereits bekannten Dienste "Intelligence and ControlSM", die Unternehmen Informationen und Tools für ihre Netzsicherheit bieten. Anwender können die Infrastruktur von Verisign nutzen, um Daten zur starken Authentifizierung von Benutzern zu validieren, und dabei auf vorhandene Verzeichnisdienste wie Active Directory und Radius-Server oder Single-Sign-On-Technik wie die Identity-Management-Software von IBM Tivoli zurückgreifen.

Dabei werden die Zugangsdaten eines Nutzers im Verzeichnis vorgehalten, sind aber mit einer eineindeutigen Seriennummer eines sicheren Tokens oder anderen Authentifizierungsgeräts verknüpft, die auf einem Verisign-Server lagern. Login-Anfragen werden diesen Server weitergereicht, der über einen gespeicherten Algorithmus prüft, ob diese Seriennummer oder das Einmalpasswort für den entsprechenden Benutzer gültig ist. Diese Verifizierung können Kunden wahlweise inhouse betreiben oder Versign als Managed Service überlassen.

Verisign bietet den Service anfänglich entweder mit einer USB-Smart-Card mit digitalem Zertifikat oder einem Client-losen Token an, das zur Nutzung an heimischen PCs, Internet-Kiosks oder PDAs Einmalpasswörter generiert. Später sollen weitere Optionen wie Mobiltelefone mit eingebauten Zertifikaten oder billige "Soft-Zertifikate" wie Rubbelkarten mit Einmal-Passwörtern hinzukommen.

Auf der Backend-Seite bietet Verisign ein Plug-in-Programm für die Management-Konsole von Microsoft an, das es Kunden gestattet, Benutzerkonten mit einem bestimmten starken Authentifizierungsgerät zu verknüpfen. Weitere Plug-ins leiten Authentifizierungsanfragen von Active Directory und anderen LDAP-basierenden (Lightweight Directory Access Protocol) Verzeichnisdiensten zwecks Verifizierung an den Verisign-Service weiter.

Zwar zielt Verisign auf Unternehmen und AOL auf Verbraucher, beide Ankündigungen zusammengenommen deutet Laura Koetzle, Analystin bei Forrester Research, aber als Hinweis auf wachsenden Wettbewerb im Markt für Multifaktor-Authentifizierung und PKI (Public Key Infrastructure), den RSA lange dominiert hatte. Solche Technik sei meist als zu teuer und zu schwierig zu implementieren verschrien gewesen, werde jetzt aber angesichts der wachsenden Bedrohungen wieder interessant. (tc)