Neues Login-Verfahren für Windows
Artikel erschienen in Swiss IT Magazine 2004/05
An der RSA Conference 2004 in San Francisco hat Microsoft-Gründer Bill Gates in einer Rede einmal mehr betont, die Sicherheit von Windows stark verbessern zu wollen. Dieses Mal möchte man sich vor allem dem Problem vor der Tastatur annehmen und dafür sorgen, dass die
Benutzer nicht immer wieder die gleichen oder zu einfache Passwörter wählen oder sie gleich auf ein Post-it schreiben und am Monitor festkleben. Dazu hat man eine Partnerschaft mit RSA Security angekündigt, deren Zwei-Faktor-Authentifizierungstechnologie RSA SecurID in Windows implementiert werden soll.
Die RSA SecurID-Lösung für Microsoft Windows soll die Login-Sicherheit für Redmonds Enterprise-Kunden im Online- und Offline-Betrieb massiv erhöhen und dafür sorgen, dass ausschliesslich autorisierte Benutzer Zugang zu den Workstations oder dem Unternehmensnetzwerk erhalten.
Beim Login-Vorgang müssen sich die Benutzer über den Benutzernamen sowie zwei weitere Informationen authentifizieren, die eindeutig zugeordnet sind. Dies wären beispielsweise ein statisches Passwort sowie etwas, das der Benutzer physikalisch besitzt wie ein RSA SecurID-Token, der alle 60 Sekunden sein Einmal-Passwort verändert. Sind die Daten verifiziert, erhält der Benutzer Zugang zu den sensitiven Bereichen des Unternehmens.
Bill Gates gab ausserdem weitere Details zu den Sicherheitsmechanismen des XP-Nachfolgers "Longhorn" bekannt. Wie üblich möchte man das Problem nicht an der Wurzel packen, sondern "Longhorn" mit Monitoring-Funktionen austatten, welche bei einem ungewöhnlichen Verhalten des Systems Alarm schlagen, beispielsweise bei hohem Netzwerkverkehr oder Memory-Verbrauch. Auch soll ein Tool das Patchlevel des Systems überwachen und automatisch die Konfiguration des eingebauten
Paketfilters, bekannt als Windows-Firewall, verändern, um Attacken abwehren zu können, bis die Patches installiert sind.
Auch Sun hat sich dem Passwort-Problem angenommen und angekündigt, in Java gemeinsam mit RSA Security eine ähnliche Lösung wie Microsoft integrieren zu wollen. Durch mehrere gleichzeitig verwendete Methoden zur Authentifizierung von Anwendern sollen vor allem Online-Dienstleister zuverlässig erfahren können, wer ihre Dienste nutzt. Man möchte auch hier auf ein statisches Passwort sowie auf eine physische Komponente wie ein Handy, eine Kreditkarte oder eine ID-Karte eines Unternehmens setzen. Neben dem obligaten Seitenhieb in Richtung Microsoft, wonach man in Redmond nichts für eine verbesserte Sicherheit von Windows tue, verkündete Suns Executive Vice President Jonathan Schwartz, dass das Authentifizierungsverfahren, das bis Ende Juni fest in Suns Java Desktop integriert werden soll, auch die Menge von Spam und Viren verringern soll. Leider liess er offen, wie man Spammer oder Virenschreiber behindern will, wenn sie keinen Online-Dienstleister verwenden, um ihre Malware unters Volk zu bringen.