Passend zum gerade bekannt gewordenen Datenklau von 16 Millionen Passwörtern hat Sampath Srinivas, Product Management Director für Information Security bei Google, in seiner Keynote auf der OMNICARD in Berlin die Initiative des Suchmaschinengiganten zur besseren Absicherung von Passwörtern erläutert.
Google Initiative U2F (Universal Second Factor)
Google folgt hier einem 5-Jahres-Plan zur Verbesserung von Authentifizierungsverfahren. Um die Identifizierung sicherer zu machen will Google verschiedene Techniken wie Biometrie oder NFC erforschen und ist im April der Fast Identity Online Allianz (FIDO) beigetreten. Begonnen wird mit einem kleinen Device, dass einem USB Stick ähnelt und einen Smartcard Prozessor enthält. Darüber hinaus ist auch eine NFC Schnittstelle für Mobilgeräte mit an Bord. Für die Erstregistrierung an einem Webportal, welches U2F unterstützt, meldet man sich konventionell an. Danach registriert man den verbundenen Token und ab sofort ist für jede Anmeldung Passwort und Token notwendig.
Um einem Verlust des Tokens vorzubeugen kann man einen zweiten Token registrieren der zu Hause an einem sicheren Ort verwahrt wird. Bei Ausfall von Token 1 nimmt man Token 2 und entfernt Token 1 aus der Liste. Alternativ ist die Hinterlegung einer Telefonnummer möglich, an die eine SMS mit einem One Time Passwort gesendet wird. Google betont, dass es sich hier um ein offenes System handelt, zu dem jeder der möchte eingeladen ist. Auch ist es nicht zwingend notwendig den Google Token zu verwenden. Es wird sogar möglich sein Token zu verwenden, die über eine Bluetooth Schnittstelle verfügen (Gruß an die iPhone User). Auf die Frage nach den Kosten und dem Zeitplan für das Projekt, antwortete Sampath Srinivas er rechne mit einem Token Preis von 10 bis 30 $. Google wird die Funktionalität zunächst in Chrome Browser integrieren. Dies soll noch in 2014 geschehen.
„The world of smart ID solutions“ war das diesjährige Motto auf der Omnicard. Seit über zwanzig Jahre trifft sich die Smart Card Community in Berlin zum Branchenkongress. In diesem Jahr lag der Fokus auf dem großen Thema Identifikation von Personen und Dingen. Anspruchsvolle Systemlösungen, die sich nicht auf den Formfaktor „Karte“ beschränken, machen diese Veranstaltung für mobile zeitgeist zu einem Event, über das wir natürlich berichten. Viele Themen sind auch für einen Einzelbericht gut. Ich möchte unseren Lesern aber zunächst einmal meine Favoriten in Kürze vorstellen.
CG-Token
Ein Gemeinschaftsprojekt der certgate GmbH und REINER SCT Kartengeräte. Es handelt sich hier um ein Bluetooth Device, mit dessen Hilfe alle nicht NFC fähigen BLE (Bluetooth Low Energie) fähigen Handys um die Funktion nachgerüstet werden können. Darüber hinaus kann die wechselbare Smartcard mit SIM-Karten Formfaktor, per OTA (Over the Air) beschrieben werden.
OpenSource Bibliotheken für nPA (neuer Personalausweis)
Die Online-Ausweisfunktion des neuen Personalausweises und des elektronischen Aufenthaltstitels können Bürgerinnen und Bürger mit der kostenfreien AusweisApp vom Bund nutzen. Parallel zur offiziellen AusweisApp haben sich unterschiedliche OpenSource-Projekte entwickelt (z.B. openecard und PersoApp). Die Gründe sich eine eigene Ausweis App zu bauen sind vielfältig und reichen von dem Drang auf eine besser Lösung nicht mehr warten zu wollen bis zum Spaß am Do it Yourself. Diese Bibliotheken sind eine gute Voraussetzung für die Entwicklung einer Ausweis App auf Android Basis. Einen Prototypen bei dem der nPA (neuer Personalausweis) direkt am Smartphone verwendet werden kann, habe ich auf der Konferenz begutachten können.
Mobile Payment: Mit und ohne NFC
Selbstverständlich wird auch auf solch einem Event der „Glaubenskrieg“ geführt welche Technologie dem Mobile Payment zum Durchbruch verhilft. Während die NFC Fraktion hier auf die Macht des faktischen setzt und hofft dass die immer weiter voran schreitende Verbreitung von kontaktlosen Karten den POS (Point of Sale) für NFC vorbereitet, verweist die andere Gruppe auf die Vielzahl von bereits funktionierenden Pilotlösungen. Solange aber keine Seite wesentlich Geländevorteile aufweisen kann ist die Diskussion akademisch.
Kontaktloses Bezahlen, aktuelle Entwicklungen und Diskussionen
Girogo lebt, auch wenn viele über dieses Verfahren bereits das Totenglöckchen läuten gibt es zwei interessante Innovationen. Girogo wird zwar vorerst nicht direkt ins Handy wandern, aber ab sofort ist es möglich die Girogo Karte direkt an einem NFC Handy aufzuladen. Ein Testbericht auf mobile zeitgeist folgt. Als zweites Novum werden Händler demnächst ihr NFC Smartphone zum Girogo Terminal aufrüsten können.- Girocard wird kontaktlos
- Die Volksbanken wollen das Feld der kontaktlosen Debit Karten nicht alleine Mastercard und VISA überlassen, und werden daher 2014 die Girocard als kontaktlose Variante auf den Markt bringen.
Beyond Payment – NFC Implementierungen für zusätzliche Geschäftsfelder
Jörg Suchy, Associate Director Smart Card & NFC Business Development bei Samsung, stellte den von seinem Unternehmen unterstützen offenen CIPURSE Standard vor. CIPURSE erlaubt Plattformübergreifend zwischen kontaktlosen ISO 14443 Karten und NFC Handys die Verwendung von Tickets und Gutscheinen.
E-Banking
- Die Diskussion war insbesondere geprägt von der Suche nach der sicheren Generierung von TAN’s für das mobile Banking auf dem Smartphone. Christian Adler vom Deutschen Genossenschafts-Verlag favorisiert hier ein zweites Gerät wie z.B. den Cyber Jack Wave von Reiner SCT. In diesen wird die „EC Karte“ als Token Einheit wie am heimische PC gesteckt und das Gerät selber wird über BLE mit dem Handy verbunden.
- Dr. Bernd Borchert von der Universität Tübingen stellte sein patentiertes NFC-TAN Verfahren vor und Dr. Paschalis Papagrigoriou Entwickler des „Merkel Phone“ geht davon aus, dass eine sichere Kanaltrennung zwischen Online-Banking und TAN Übertragung auf dem Smartphone implementiert werden kann. Auch hier bleiben wir von mz am Ball und werden unsere Leser über neue Entwicklungen in diesem Bereich informieren.
Kommentar hinterlassen