Spezifikationen für One-Time-Passwords

RSA Security hat fünf Spezifikationen zur Implementierung und Integration von so genannten One-Time-Passwords (OTPs) veröffentlicht. Die Vorschläge sind für jedermann verfügbar und zur Kommentierung freigegeben und sollen auch der Internet Engineering Task Force (IETF) vorgelegt werden. Mehrere Hersteller bieten derzeit unterschiedliche Lösungen zur sicheren Authentifizierung mit OTPs an. Allen gemein ist aber der Einsatz eines speziellen Hardware-Tokens -- beispielsweise RSAs SecurID, der minütlich eine neue Zahl generiert. Um die Zahl abzulesen und sich damit erfolgreich an einen Dienst oder Server anzumelden, muss man im Besitz eines solchen Tokens sein -- ein statisches Passwort allein reicht nicht mehr.

RSA will mit der Veröffentlichung anderen Herstellern die Möglichkeit bieten, die Authentifzierung mit OTPs in ihren Produkte auf einfache Art und Weise zu bewerkstelligen. Schon 1991 war RSA mit seinen vorgeschlagenen Public Key Cryptography Standards (PKCS) Vorreiter bei der Vereinheitlichung von Methoden zur Ver- und Entschlüsselung. Mittlerweile sind die Standards weit verbreitet und akzeptiert. Die nun geschaffenen OTP-Spezifikationen unterteilen sich derzeit in die Bereiche Initialisierung, Übertragung und Prüfung sowie Abfrage des OTP.

Siehe dazu auch:

• One-Time Password Specifications

(dab/c't) / (jk)