Bundesamt für Sicherheit in der Informationstechnik

M 5.34 Einsatz von Einmalpasswörtern

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

In Netzen, in denen Passwörter unverschlüsselt übertragen werden, können diese relativ einfach abgehört werden. Außerdem können Implementierungs- oder Protokollfehler in Betriebssystemen und Applikationssoftware dazu führen, dass auch verschlüsselte Passwörter kompromittiert werden können.

Daher empfiehlt sich die Verwendung von Einmalpasswörtern, also Passwörtern, die nach einmaligem Gebrauch gewechselt werden müssen. Einmalpasswörter können software- oder hardwaregestützt erzeugt werden.

Bei der Verwendung von Einmalpasswörtern muss der Benutzer das Einmalpasswort auf dem lokalen IT-System oder über ein Token generieren oder aus einer Liste einlesen, die vom entfernten IT-System generiert worden ist und die sicher aufzubewahren ist. Das entfernte IT-System muss dann das Einmalpasswort verifizieren.

Token, die die Generierung von Einmalpasswörtern übernehmen, sind kleine tragbare Hardware-Komponenten. Dies können zum Beispiel Chipkarten oder taschenrechnerähnliche Geräte sein. Der Benutzer muss sich zunächst gegenüber dem Token authentisieren. Nach erfolgter Benutzer-Authentisierung authentisiert sich dann entweder der Token selbständig gegenüber dem Server oder er zeigt dem Benutzer an einem Display das am Client einzugebende Einmalpasswort an.

Nachdem immer mehr sensible Informationen nur durch Passwörter vor Fremdzugriff geschützt sind, kommt Einmalpasswortsystemen und hardwarebasierten Authentikationsmethoden ein wachsender Stellenwert zu.

Nachdem immer mehr sensible Informationen nur durch Passwörter vor Fremdzugriff geschützt sind, kommt Einmalpasswortsystemen und hardwarebasierten Authentikationsmethoden ein wachsender Stellenwert zu.

Viele hardwarebasierte Systeme bieten auch die Möglichkeit, "Single-Sign-On"-Lösungen aufzubauen. Über "Single-Sign-On"-Verfahren wird erreicht, dass sich Benutzer nicht an jedem IT-System oder an jeder Anwendung mit einem anderen Passwort ausweisen müssen. Stattdessen melden sich die Benutzer an einem IT-System oder an einem besonderen Portal an und können dann ohne zusätzliche manuelle Authentisierung weitere Anwendungen oder IT-Systeme nutzen.

Durch hardwarebasierte Einmalpasswortsysteme werden außerdem viele der unter M 2.11 Regelung des Passwortgebrauchs aufgeführten Regelungen, die die einzelnen Benutzer beachten müssen, überflüssig, da dies von den Einmalpasswortsystemen übernommen wird.

Prüffragen:

  • Ist sichergestellt, dass keine wiederverwendbaren Passwörter unverschlüsselt über das Netz übertragen werden?

Stand: 13. EL Stand 2013