Zero Trust: Wie Sie Missverständnisse und Irrtümer vermeiden
Die häufige Verwendung des Begriffs Zero Trust im Marketing führt zu einer Verunsicherung der Kunden. Wir erklären, was sich wirklich dahinter verbirgt.
In unserem vorherigen Blog-Beitrag zum Thema 2FA/MFA sind wir bereits auf die Frage eingegangen, wie sich die freie Software KeePass als Back-up-Lösung für einen TOTP-Authenticator einsetzen lässt. Diesmal geht es darum, wie TOTP selbst funktioniert und welche für Unternehmen relevanten Anbieter und Dienstleister bereits 2FA mit zeitbasierten Einmalpasswörtern unterstützen.
Passwörter zur Absicherung von Benutzerkonten begleiten uns bereits seit einigen Jahrzehnten. Aber sie haben inhärente Probleme und stellen nach Ansicht vieler Experten selbst ein Sicherheitsproblem dar. Leichte Passwörter lassen sich zwar gut merken, gelten aber nicht als sicher – mithilfe von Wörterbuchangriffen oder per Brute Force sind sie teilweise binnen Sekunden geknackt. Kompliziert aufgebaute Passwörter kann sich hingegen kaum jemand merken. Außerdem fliegen sie – genug Zeit und Rechenkraft vorausgesetzt – auch irgendwann auf. Aber das ist noch gar nicht das Hauptproblem.
Der klassische Log-in mit Benutzername und Passwort kann in der Regel von überall aus erfolgen. Befinden sich die Zugangsdaten eines Anwenders erst einmal in den Händen eines Angreifers, was zum Beispiel durch Social Engineering relativ schnell passiert, kann sich dieser von nahezu jedem Punkt auf der Welt in einen damit gesicherten Dienst einloggen. Das klappt jedoch nicht, wenn zusätzlich zu Benutzername und Kennwort noch ein Einmalpasswort verlangt wird. Dabei handelt es sich um ein nur für einen kurzen Zeitraum gültiges und auch nur einmal verwendbares zusätzliches Passwort, das im Idealfall von einem zweiten Gerät erzeugt wird. Ist der Angreifer nicht im Besitz dieses TOTP-Generators, dann bringt ihm die erbeutete Kombination aus Kennung und Passwort nichts.
Als weitere Sicherheitsmaßnahme im Umgang mit Passwörtern hat sich die Empfehlung bewährt, das oder die Passwörter regelmäßig zu ändern. Viele Unternehmen schreiben ihren Mitarbeitern auch genau dies vor. Es gibt mittlerweile sogar einen „Ändere-Dein-Passwort-Tag“, der dieses Vorgehen propagiert. Bei der Vielzahl an Passwörtern, die Anwender heutzutage benötigen, ist das aber keine valide Lösung. Niemand kann Dutzende oder gar Hunderte Passwörter regelmäßig ändern und dabei auch noch den Überblick behalten.
Als einfache und bereits millionenfach bewährte Alternative ist TOTP nicht ganz neu. Die technischen Grundlagen dieses Sicherheitsstandards wurden bereits im Mai 2011 von der Internet Engineering Task Force (IETF) in einem RFC (Request for Comment) festgelegt. RFC 6238 beschreibt die Erweiterung des damals bereits eingeführten OTP-Konzepts (One-Time Password) um eine zeitbasierte Komponente. RFC 6238 soll die Sicherheit bei der Nutzung von Einmalpasswörtern noch einmal erhöhen.
Der TOTP-Algorithmus erstellt aus einem geheimen Schlüssel sowie einem Zeitstempel einen Code, der nur in einem bestimmten Zeitfenster gilt. Anschließend verfällt der Code. Typische Zeitfenster dauern in der Praxis 30 Sekunden. Sowohl der Server als auch der Client kennen das genutzte Verfahren und den geheimen Schlüssel, können also unabhängig voneinander den Code errechnen und dann miteinander vergleichen. Stimmt er überein und wurde zusätzlich die richtige Benutzerkennung samt Passwort eingegeben (diese werden in der Regel weiterhin genutzt), dann gelingt der Zugriff. Aber nur dann!
Welche Dienste und Anwendungen die TOTP-Unterstützung bereits anbieten
Die Beschreibung dieses 2FA-Verfahrens zeigt bereits, welche große Bedeutung der Einsatz eines TOTP-Authenticators aus Sicherheitssicht hat. Viele Anbieter und Dienstleister unterstützen die Technik deshalb bereits seit Langem. Im Folgenden finden Sie eine Liste bekannter Firmen und Business-Dienste, die TOTP für ihre Kunden und Nutzer anbieten.
Diese Auswahl beschreibt bereits die wichtigsten Unternehmen und Online-Dienste. Empfehlenswert für weitere Recherchen ist das internationale 2FA Directory. All diese per TOTP gesicherten Dienste verwalten Sie am Smartphone bequem und sicher über die NCP Authenticator App – das gilt natürlich ebenso für die sichere Zwei-Faktor-Authentifizierung beim VPN-Zugriff auf Ihr Remote-Access-Netzwerk!