Der Einsatz starker Authentifizierungslösungen ist angesichts der vielen erfolgreichen Hackerangriffe auf Zugangsdaten unbedingt angeraten. Prominente Opfer der jüngeren Vergangenheit sind Sonys Playstation Network, Yahoo und das Social Business Network LinkedIn. Der Aufwand für Implementierung und Betrieb einer Zwei-Faktor Authentifizierungslösung ist vergleichsweise gering, wenn man das hohe Schadpotenzial eines erfolgreichen Hacks auf Benutzerdaten berücksichtigt. Remote-Access-Verbindungen und kleinere Webapplikationen lassen sich darüber hinaus zum Nulltarif mit dem Google-Authenticator und Mydigipass.com hervorragend sichern.
Freie OTP-Systeme
Kommerzielle Zwei-Faktor-Authentifizierungslösungen
OAuth-API
Mydigipass.com stellt mit der OAuth-2.0-API eine standardisierte Schnittstelle zur Verfügung, über die sich Web-Applikationen zur Authentifizierung verbinden lassen. OAuth kommt als Protokoll häufig dort zum Einsatz, wo man sich an einem Dienst mit den Login-Credentials eines anderen Dienstes anmelden kann, zum Beispiel mit einer Windows-LiveID, einem Google- oder Facebook-Account.
Für die Implementierung von OAuth in eigene Webapplikationen stellt Vasco im Developer-Portal [21] eine ausführliche Dokumentation sowie eine "Sandbox" und einen Online-Demo Token [22] für erste Gehversuche mit der eigenen Web-Applikation zur Verfügung ( Abbildung 6 ). Für den Zugriff auf das Developer-Portal ist zunächst eine Registrierung bei Mydigipass.com erforderlich. Mit den dort erhaltenen Zugangsdaten kann man sich dann auch im Entwicklerportal anmelden. Das Entwicklerportal enthält neben den detaillierten Preisinformationen und der Dokumentation auch jede Menge Material wie Logos, Videos und Datenblätter zur Information der Benutzer, die man sich als sogenanntes User Activation Kit auch in einer Zip-Datei aus dem Portal herunterladen kann.
Mydigipass-Konserven
Auf Github [23] bietet Vasco einige Plugins für populäre Blog- und Content-Management-Systeme, darunter Wordpress, Drupal und Magento zum kostenfreien Download an. Leider fällt auf, dass keines der Plugins auf dem neuesten Stand für die jeweilige Webapplikation ist. So ist das Wordpress-Plugin beispielsweise nur bis zur Version 3.3.2 kompatibel – aktuell ist derzeit aber bereits Wordpress 3.5.1. Da insbesondere Wordpress-Admins aufgrund immer neuer Sicherheitslücken darauf angewiesen sind ihre Installation auf den neuesten Stand zu bringen, ist der Einsatz des Wordpress-Plugins derzeit nicht empfehlenswert. Hier sollte Vasco dringend nachbessern und sicherstellen, dass die Plugins in den jeweils neuesten Versionen einsetzbar sind. Weitere Plugins für andere populäre Systeme wie Joomla oder Typo3 wären wünschenswert.
Infos