Projekt - Handys lösen Token ab

Einmal-Passwort kommt jetzt per SMS

20.06.2011 von Johannes Klostermeier
Die Berliner Stadtreinigung hat ihr Identitätsmanagement auf ein Handy-System umgestellt. Damit wurden die bisherigen Token überflüssig.
Foto: Fotolia / Daniel Krylov

Die Berliner Stadtreinigung, mit 485 Millionen Euro Umsatz einer der größten kommunalen Entsorger Europas, hat die Authentisierung seiner IT-Remote-Zugänge auf das System SMS Passcode umgestellt. Damit wurden die bislang im Einsatz befindlichen Token überflüssig, teilte das Unternehmen mit.

Martin Urban, CIO der Berliner Stadtreinigung, setzt auf Innovation auch im Kleinen.
Foto: Berliner Stadtreinigung

Durch die Einführung eines neuen zentralen Identitäts-Managements konnten die Administratoren der BSR die Verwaltung der Zugriffsrechte nach eigenen Angaben entscheidend vereinfachen. "Hier gab es allerdings ein Kompatibilitätsproblem", erklärt Frank Basler, Leiter Kommunikationsnetze bei der Berliner Stadtreinigung, "unsere bisherige Token-Authentisierung ließ sich nicht nahtlos mit dem Identitäts-Management kombinieren".

Daher entschieden sich die Berliner für eine Authentisierung der etwa 230 Remote-User per SMS. BSR-Mitarbeiter und die Dienstleister melden sich hier zunächst mit ihrem Benutzernamen und ihrem statischem Passwort an. Nach der Verifikation dieser Daten generiert das System ein nur für kurze Zeit gültiges Einmal-Passwort.

Dieses wird dann als normale Handy-Kurznachricht übertragen. Die bei jedem Login neu generierten Einmal-Passwörter sind für Hacker nutzlos. Auf dem Server existieren auch keine vorberechneten Secrets, die ausspioniert werden könnten.

"Dass SMS-basierte Authentisierung immer mehr die veralteten Token-Systeme ablöst, zeigen unsere hohen Umsätze mit dem System", lobte Robert Korherr, Leiter Marketing, beim Distributor ProSoft.

Strong Authentication mit Handy billiger und sicherer

Das System sei auf diesem Gebiet mittlerweile ein "anerkannter De-facto-Standard". Strong Authentication mit dem Handy sei "preiswerter, einfacher und sicherer", so seine Meinung. "Bislang hat jede Passwort-SMS den jeweiligen User erreicht, auch in der Schweiz", sagt Basler von der BSR. Er sei deswegen "sehr zufrieden."

Quelle: CIO.de