PayPal und eBay führen Einmal-Passwörter ein
Ein Sicherheitsschlüssel soll das zur Anmeldung notwendige Passwort ergänzen und somit Phishern die Arbeit erschweren. Der Schlüssel erzeugt alle 30 Sekunden, eine neue sechsstellige Zahl, die zur Anmeldung erforderlich ist.
- Daniel Bachfeld
Schon seit der CeBIT 2006 im Gespräch, nun endlich in der Testphase: eBay und PayPal bieten zur sicheren Authentifizierung Sicherheits-Tokens an. Der Sicherheitsschlüssel soll das zur Anmeldung notwendige Passwort ergänzen und somit Phishern die Arbeit erschweren. Der Schlüssel erzeugt in kurzen Zeitabständen, hier alle 30 Sekunden, eine neue sechsstellige Zahl, die zur Anmeldung erforderlich ist. Nach diesen 30 Sekunden ist eine Anmeldung mit dem Einmal-Passwort nicht mehr möglich, ein Phisher kann damit also später nichts mehr anfangen.
Der in Zusammenhang mit dieser Technik oft von den Anbietern genannte besondere Schutz durch die "2-Faktor-Authentifizierung" führt leider etwas in die Irre. Das von den Banken eingesetzte PIN/TAN-Verfahren ist ebenfalls eine 2-Faktor-Authentifizierung und erwiesenermaßen sehr anfällig für Phishing-Angriffe. Erhöhten Schutz bietet das Verfahren nur, weil es zeitabhängig ist.
Allerdings gibt es bereits Echtzeitangriffe mittels Man-in-the-Middle-Attacke und per Trojanern, die in der Lage sind, sich mit einer gestohlenen Zahl innerhalb eines kurzen Zeitraums anzumelden und ein Konto zu manipulieren. Kunden der Citibank USA wurden schon Mitte des vergangenen Jahres Ziel solcher Angriffe, bei denen ihnen eine russische Webseite die Einmal-Passwörter klaute. Mit den Daten hatte sich der präparierte Server dann innerhalb von sechzig Sekunden bei den echten Citibank-Servern angemeldet. RSA, selbst Hersteller von Sicherheits-Tokens, will sogar schon ein universelles Phishing-Kit im Internet entdeckt haben, mit dem sich solche Angriffe sehr einfach durchführen lassen sollen.
Dennoch legen eBay und PayPal mit den Tokens die Latte mittelfristig ein Stück höher. Die Schlüsselbund-kompatiblen Tokens der Herstellers VeriSign sind im Rahmen der öffentlichen Testphase für 4,95 Euro in Kürze erhältlich – bestellen kann man aber schon jetzt. Weitere Kosten fallen während der Nutzung nicht mehr an. Damit das Konto mit der neuen Technik zusammenspielt, muss es für die Authentifizierung per Token freigeschaltet werden. Weitere Informationen dazu finden sich bei PayPal.
Siehe dazu auch:
- Der Sicherheitsschlüssel, Ankündigung von PayPal
(dab)
