Security Zertifikate statt Passwörter

Der Zugriff auf sensible Daten wird am besten über Zertifikat und privaten Schlüssel geschützt. Wibu-Systems bietet dafür einen sicheren Speicher mit Cloud-Option an.
Der Zugriff auf sensible Daten wird am besten über Zertifikat und privaten Schlüssel geschützt. Wibu-Systems bietet dafür einen sicheren Speicher mit Cloud-Option an.

Weitaus sicherer als Passwörter sind Zertifikate, aber ihre Einrichtung erfordert Know-how. Der CodeMeter Certificate Vault vereinfacht diesen Vorgang, enthält einen sicheren Speicher für Zertifikate und ist für Embedded-Geräte geeignet.

Die Veröffentlichung von persönlichen Daten von Prominenten, das Lahmlegen eines Entertainmentnetzwerks und die Manipulation von Aufbereitungsanlagen für Uran: Drei, wenn auch prominente, Beispiele für Cyberangriffe. Das wahre Ausmaß der Cyberangriffe kann heute niemand absehen. Viele Angriffe haben dabei eins gemeinsam: Sie nutzen die Schwachstelle Passwort.

Passwörter sind per se unsicher

Passwörter sind stellenweise zu kurz oder werden mehrfach verwendet. Aber das Hauptproblem ist das Passwort an sich. Passwörter können durch Keylogger oder den Schulterblick ausgespäht werden. Der Bestohlene merkt dies noch nicht einmal, da ihm das Passwort nach dem Diebstahl nicht fehlt. Auch kann ein Passwort auf vielen Rechnern gleichzeitig verwendet werden.

Viele Vorgaben, die Passwörter eigentlich sicherer machen sollten, sind nach aktueller Meinung eher kontraproduktiv als nützlich. Bill Burr, der 2003 die Passwortregeln für das National Institute for Standards and Technology (NIST) aufgestellt hat, wird selbst mit €»Ich war auf dem falschen Dampfer€« zitiert. Die Ersteller dieser Regeln haben den €»Faktor Mensch€« unterschätzt. Der Mensch ist bequem: Passwörter, die man sowieso bald ändern muss, werden weniger sorgfältig gewählt. Beim Ändern werden sie oft nur minimal abgeändert.

Zertifikate sind sicherer, aber aufwendiger

Dabei gibt es eine Lösung, welche die Sicherheit drastisch verbessern würde: Zertifikate. Aber auch in diesem Fall ist die Bequemlichkeit des Anwenders, verbunden mit der Komplexität beim Einrichten eines Zertifikats, der entscheidende Punkt für das €»Hindümpeln€« dieser guten Lösung. Zertifikate eignen sich, um Personen oder Geräte eindeutig zu identifizieren.

Die Person oder das Gerät besitzt dabei ein Schlüsselpaar. Der private Schlüssel ist geheim und muss vom Besitzer sorgfältig verwahrt werden. Der korres­pondierende öffentliche Schlüssel wird durch den Betreiber des Dienstes, gegenüber dem man sich identifizieren möchte, der Person oder dem Gerät zugeordnet. Diese Bestätigung liegt in Form eines Zertifikats vor und ist vom Betreiber des Dienstes unterschrieben.

Bei der Prüfung der Identität wird vom Dienst eine zufällige Komponente erzeugt und mit dieser und dem privaten Schlüssel auf dem Client eine kryptographische Operation durchgeführt. Das Ergebnis wird zum Dienst übermittelt und dieses mit dem öffentlichen Schlüssel aus dem Zertifikat verifiziert. Zusätzlich wird die Gültigkeit des Zertifikats geprüft. Nur die Person oder das Gerät mit dem privaten Schlüssel kann eine gültige Antwort erzeugen, d.h. die Person oder das Gerät besitzen diesen Schlüssel. Durch die zufällige Komponente kann eine eventuell abgehörte Antwort nicht noch einmal verwendet werden.