Hätten Sie Ihren Token gerne hart oder weich?
Der physische RSA-Token wurde in den letzten Jahren immer mehr vom Software-Token abgelöst. Der Hardware-Token als Schlüsselanhänger oder der Software-Token als App auf dem Smartphone? Wo liegen die Vor- und Nachteile für den Anwender?
Wollen unsere Kunden auf ihre Systeme gelangen, braucht es einen Remote Access mit Zwei-Faktor-Authentifizierung (2FA). Dabei setzt aspectra seit 18 Jahren noch immer auf das gleiche Produkt: die RSA SecurID. Ein RSA SecurID-Token generiert alle 60 Sekunden einen 6-stelligen Code. Die Kombination mit Username und 4-stelliger PIN gewährleistet die 2FA.
Seit einigen Jahren bietet aspectra auch den Software-Token in Form einer App auf dem Smartphone als Alternative zum Hardware-Token an. Im Gegensatz zum herkömmlichen Token wird beim Software-Token keine Hardware ausgehändigt, sondern ein Aktivierungscode. Dieser QR-Code hat eine beschränkte Gültigkeit von 7 Tagen und ist abhängig vom Mobile-OS. Das Einrichten ist für aspectra und den Kunden also nicht einfacher, aber zumindest schneller. Bei jedem Smartphone-Wechsel muss dann wieder ein neuer Aktivierungscode angefordert werden. Mittlerweile sind Bestrebungen zur Selbstaktivierung im Gange, um diesen Prozess zu vereinfachen.
Die Vorteile des Soft-Tokens liegen auf der Hand:
- Das Smartphone ist immer dabei. Wir sparen uns einen Gegenstand, den man dauernd rumschleppen muss und dabei verlieren könnte.
- Das Depot für den Hardware-Token entfällt beim Soft-Token.
- Der Zugriff auf die App wird durch das Smartphone zusätzlich geschützt mit PIN, Fingerabdruck oder Gesichtserkennung.
Die Bedenken:
Gerade eben weil das Smartphone immer dabei ist, erhöht sich auch die Gefahr eines Ausfalls (defekt, verloren, gestohlen). Die Abhängigkeit vom Smartphone wird also noch grösser. Die Besitzer eines privaten Smartphones müssen sich zudem überlegen, ob eine App, die geschäftlich genutzt wird, hier gut aufgehoben ist. Ausserdem muss, um an den Tokencode zu gelangen, zuerst das Smartphone entsperrt und die Soft-Token-App geöffnet werden, während der Hardware-Token dauernd bereitsteht.
Der Hardware-Token könnte theoretisch von mehreren Personen verwendet werden. Das ist aber nicht im Sinne der Sicherheit. Die PIN müsste sich jeder Mitbenutzer im Kopf merken oder sie wäre irgendwo abgelegt. Die Nachvollziehbarkeit, wer sich wann und wo authentisiert hat, wäre somit nicht mehr gewährleistet. Daher ist ein RSA-Account bei aspectra immer persönlich.