Einmal-Passwörter für die mobile Cloud

Ob Google Authenticator, Securepoint HandyID oder RSA SecurID Software Token, es gibt zahlreiche Apps, mit denen ein Smartphone zum Generator eines Einmal-Passwortes wird.

Ist die mobile Applikation einmal installiert, erzeugt diese nach Eingabe des Passwortes ein Einmal-Passwort, das für den Cloud-Zugang zusätzlich eingegeben werden muss. Alternativ kommt das Einmal-Passwort per SMS oder Anruf.

Eine zusätzliche Sicherheit besteht allerdings nur, wenn der für die Erzeugung des Einmal-Passwortes erforderliche PIN durch den Nutzer nicht auf dem Smartphone gespeichert wird. Andernfalls könnten auch Unbefugte das Einmal-Passwort anfordern und für den Cloud-Zugang missbrauchen.

Der Anwender sollte sich auch bewusst sein, dass das Smartphone in diesem Fall selbst zum SecuritySecurity Token wird. Für die Absicherung des mobilen Cloud-Zugangs ist ein Einmal-Passwort nur dann sinnvoll, wenn es nicht auf dem mobilen Endgerät empfangen wird, mit dem der mobile Zugang erfolgen soll. Nicht umsonst fordert zum Beispiel der Zentrale Kreditausschuss des deutschen Kreditgewerbes, dass der Empfang mobiler TANs nicht auf dem Smartphone erfolgen soll, das für das Mobile Banking genutzt wird. Alles zu Security auf CIO.de

Soll der mobile Cloud-Zugriff über zusätzliche Einmal-Passwörter abgesichert werden, sollten die Einmal-Passwörter nicht auf dem Smartphone selbst, sondern auf einem zusätzlichen Hardware-Token oder einem zweiten Handy empfangen werden. In diesem Fall kann ein einzelnes Smartphone somit den Token nicht ersetzen.

Empfehlung: Für den Fall, dass nur das Cloud-Passwort gestohlen wird, nicht aber das Smartphone, ist die Forderung von zusätzlichen Einmal-Passwörtern für den mobilen Cloud-Zugang eine wichtige Sicherheitsmaßnahme, ob sie nun per SMS, per Anruf oder App bereitgestellt werden.