Gamescom: Sony führt neues Authentifizierungsverfahren ein
Für seine Online-Spiele setzt Sony Online Entertainment künftig auf kleine Geräte, mit denen Nutzer für die Anmeldung einen jeweils nur kurz gültigen sechsstelligen Zahlencode generieren können.
Mit einem neuen Authentifizierungsverfahren will Sony die Sicherheit der Accounts seiner Spieler erhöhen. Über einen so genannten Authenticator können Spieler einen sechsstelligen Zahlencode generieren, der die Anmeldung zusätzlich absichert. In den kommenden Monaten sollen auch kostenlose Smartphone-Apps für iOS und Android erscheinen, die den Code erstellen können. Über die 2-Wege-Authentifizierung sollen insbesondere Keylogger ausgesperrt werden, die das Passwort von Spielern mitschneiden und an Kriminelle übermitteln. Einmal generierte Passwörter sind jeweils 30 Sekunden gültig.
Die neue Sicherheitsmaßnahme wird zunächst nur für PC-Spiele der Konzernsparte Sony Online Entertainment (SOE) wie zum Beispiel EverQuest und DC Universe freigeschaltet. Pläne für das ebenfalls zu Sony gehörende Playstation Network gibt es noch nicht. Die Tokens in Form eines Schlüsselanhängers können ab sofort über die Sony-Webseite zum Preis von 10 US-Dollar zuzüglich Versand bestellt werden. SOE-Manager Christopher Sturr zeigte sich im Gespräch mit heise online optimistisch, dass 60 bis 70 Prozent der SOE-Kunden die neue Technik nutzen werden. "Unsere Kunden speichern bei uns viele Informationen bis hin zu ihren Kreditkartendaten ab".
Gegen Schwachstellen auf dem Server selbst hilft die Maßnahme freilich nichts. So musste Sony im Mai eingestehen, dass nicht nur aus dem Playstation Netzwerk Datensätze entwendet wurden, sondern auch bei Sony Online Entertainment. Der neue Authenticator ist lediglich eine Ergänzung zur Passwort-Absicherung der Nutzer-Accounts. Verliert ein Spieler das Gerät, kann er den Zugriff auf sein Konto wieder freischalten, indem er dem Support von Sony mehrere Sicherheitsfragen beantwortet. Einem Account können auch mehrere Authenticatoren zugeordnet werden. Die Batterie soll bei täglichem Gebrauch mehr als fünf Jahre durchhalten.
Hersteller der Geräte ist der Authentifizierungsdienstleister Vasco, der bereits verschiedene Spielehersteller wie Blizzard ausstattet. Obwohl die Geräte mit der gleichen Technik betrieben werden, sind die erzeugten Codes nicht übertragbar. Vasco arbeitet aber zum Beispiel mit Intel zusammen, um Einmalpasswörter direkt in Chips generieren zu lassen, die dann für zur Authentifizierung bei verschiedenen Diensten genutzt werden können. Zu den ersten Anwendern der Plattform gehören Salesforce und Google. Auf der Gamescom zeigte Vasco auch den Digipass Nano, der direkt auf die SIM-Karte eines Mobiltelefons aufgesteckt wird und unabhängig vom Betriebssystem Einmalpasswörter generieren kann. (vbr)
