Ihr könnt euch sicher noch gut daran erinnern, dass Sony vor ein paar Monaten ein bunter Blumenstrauß Kundendaten verloren gegangen sind. Polyneux berichtete. Im Rahmen der Gamescom hat Sony nun als Reaktion darauf ein neues so genanntes “starkes” Authentifizierungsverfahren vorgestellt, das dem Konzept der zwei Faktoren folgt.
Zum Erläuterung, “Authentifizierung” beschäftigt sich mit der Lösung der Fragestellung: “wer bist du überhaupt?” Das neue Verfahren bei Sony bedeutet vereinfacht gesagt, dass ihr, um die Frage nach eurer Identität sicher beantworten zu können, jetzt nicht mehr nur über das Wissen des Passworts zu eurem Konto (Faktor 1) verfügen müsst, sondern gleichzeitig auch noch dieses Token besitzen müsst, das Sony “Authenticator” nennt (Faktor 2). Dieser Authenticator generiert mehrstellige zufällige PINs, die der Gegenstelle auf den Sony-Servern natürlich bekannt sind und die ihr bei der Anmeldung zusätzlich angeben müsst. Daher der Name “zwei Faktoren Authentifizierung.” Wenn euch dieses Token geklaut wird, nützt das dem Angreifer ohne Passwort überhaupt nichts. Wenn ihr das Passwort aus Versehen bei Facebook postet, nützt das dem Angreifer ohne diesen PIN-Generator ebenfalls nichts. So kommt auch die Bezeichnung “starke Authentifizierung” zustande, denn der “Bösewicht” muss eine Menge Kraft aufwenden, um diese brechen zu können.
Starke Authentifizierung ist im Grunde ‘ne feine Sache.
Starke Authentifzierung ist in diesem Fall aber ein dreister Schlag ins Gesicht der Kunden. Es mag marketingtechnisch ein wenig ungeschickt erscheinen, die “Opfer” jetzt nochmal zur Kasse zu bitten, aber ich halte es durchaus noch für nachvollziehbar, dass der Kunde diesen Authenticator bezahlen muss. Die Dinger sind nicht billig und es wird sich wohl kaum ein Unternehmen leisten können, die in großer Breite unter das Volk zu bringen. Ob diese 10 Dollar jetzt zu viel oder zu wenig sind, ist mir im Grunde egal.
Nein, es geht mir um etwas anderes. Frech ist diese Vorgehensweise vor allem deshalb, weil der damalige Datendiebstahl in keinster Weise irgendetwas mit einem Angriff auf das Authentifzierungssystem zu tun hatte. Die Hacker sind gleich an Sonys gut gefüllte Futtertröge gegangen – und zwar, in dem sie sich der Softwareschwachstellen im völlig maroden, ungepatchten und mit Sicherheitslücken übersähten Backend bedienten. Jetzt großartig mit Tamtam auf einer Spielemesse diese Plastikdinger einzuführen, hat überhaupt nichts mit der eigentlichen Problemursache zu tun. Es handelt sich hier meiner Meinung nach einfach um einen aus marketingpsychologischen Gesichtspunkten heraus motivierten Schritt – nicht um etwas, was der gesunde Menschenverstand eines einigermaßen integren Technikers hervorgebracht hätte. Das Motto lautet wohl: “schaut her, wir tun was”. Es kann euch der Papst höchstpersönlich gegenüber den Sony-Servern authentifizieren, das nützt euch einen muffigen Haufen Ameisenbärenscheisse, wenn die Angreifer eure Daten einfach durch die scheunentorgroßen Öffnungen in der Rückwand des Safes schaufeln.
Wollte ich nur mal gesagt haben.
3 Kommentare
“Dieser Authenticator generiert mehrstellige zufällige PINs, die der Gegenstelle auf den Sony-Servern natürlich bekannt sind” –
Diesen Satz verstehe ich nicht. Woher kann der Server wissen, welche Nummern mein Plastikthingy ausspuckt? Nenne ich sie ihm nach der Generierung? Wo ist dann der Unterschied zu einem selbst ausgedachtem PIN?
Oder handelt es sich eher um eine Art Keygen nach irgendeinem geheimen Algorithmus, wo ich beispielsweise zunächst die Seriennummer meiner PS3 eingebe und dann den PIN deterministisch erhalten? Das könnte der Server dann natürlich nachvollziehen, hieße aber auch, dass mein Account an eine Konsole gekoppelt ist.
Kannst du mehr Infos geben, oder kennst du auch nur das Marketinggefasel von der gamescom?
Hi Fabian,
ich kenn diesen Authenticator von Blizzard. Ich find das Ding ne feine Sache.
So lief es damals bei mir ab:
Authi wurde geliefert, ich im Login angegeben, dass ich von nun an damit arbeiten will. Dann musste ich die Seriennummer des Authi angeben und schon funktionierte alles prima.
Die Funktionsweise ist genau wie du schon dachtest: es wird über einen “geheimen” Algorithmus der jeweilige Pin generiert. Dieser Zufallsalgorithmus benötigt aber einen Startpunkt – und das ist die Seriennummer des Gerätes. Damit kennt sowohl dein Authi als auch der Server deinen Startpunkt (vom Algorithmus) und über einen (wahrscheinlich) Zeitwert wird der generierte Pin abgeglichen. Dieser ist daher auch nur kurze Zeit gültig. Bist du also zu langsam mit der Eingabe oder tust noch was anderes, musst du ggf. erneut einen Pin generieren.
Damit ist der Login auch nicht Geräte-gebunden sondern einzig über deine Logindaten.
Ich hoffe ich konnte dir helfen :)
@Fabian: ich kenne diese “Authenticator” nicht direkt, aber normalerweise funktionieren die alle nach einem ähnlichen Prinzip, dass Stern schon ganz gut beschrieben hat.
Jedes Token ist einzigartig und hat einen ebenso einzigartigen, geheimen Schlüssel, den aber auch der Authentifizierungsserver kennt. Anhand dieses Schlüssels werden dann in einem festen Zeitinterverall nach einem ebenfalls dem Server und Token bekannten Algorihtmus diese one time passwords bzw PINs generiert. Und fertig ist die Laube.