Sophos Challenge/Response Solutions

  • Description
  • Specifications
  • More Info
  • Data Sheets
  • Downloads
  • Training
  • Prices
  • Promos

Passwort vergessen? - Challenge-Response-Verfahren helfen!

Die bewährte Challenge-Response-Methode wird von den Lösungen "SafeGuard Easy" und "SafeGuard PDA" genutzt.

Ein Benutzer, der sein Passwort vergessen hat, aktiviert beim Logon den Challenge-Dialog. Dieser erzeugt eine zufällige Zeichensequenz, die nur für diesen einen Vorgang auf diesem Computer gilt. Nun ruft der Benutzer über ein normales Telefon seinen zentralen Helpdesk an und identifiziert sich gegenüber diesem wie sonst auch, wenn er z.B. sein Windows oder SAP-Passwort vergessen hätte.

Der Benutzer nennt dem Helpdesk die Challenge, zusammen mit seiner Benutzer ID und der ID seines Client Computers. Wenn der Helpdesk-Mitarbeiter das Master Passwort dieses Client Computers kennt (oder auf seinem Hardware Token gespeichert hat), kann er mit Hilfe der so genannten "Response Code Wizards" Apllikation eine zur Challenge passende Zeichenfolge (die Response) erzeugen, die er dem Benutzer über Telefon oder andere Mittel (z.B. SMS, Fax) bekannt gibt. Nachdem der Benutzer diese Response eingegeben hat, kann er die vom Helpdesk erlaubte Aktion durchführen, also beispielsweise ein neues Benutzerpasswort vergeben, oder SafGuard Easy deinstallieren.

Die Vorteile des Challenge-Response-Systems sind Sicherheit und Effizienz:

  • Es werden in dem Vorgang keinerlei vertrauliche Daten im Klartext ausgetauscht.
  • Abhören des Vorgangs durch Dritte ist nutzlos, da die abgehörten Daten zu einem späteren Zeitpunkt oder für andere Geräte nutzlos sind.
  • Der freizuschaltende Client Computer benötigt für den Vorgang keine online Netzwerkverbindung. Auch die "Response Code Wizard" Applikation für den Helpdesk läuft übrigens auf einem Standalone PC (oder PDA) ohne eine komplexe Infrastruktur zu benötigen.
  • Der Benutzer ist rasch wieder produktiv.
  • Verschlüsselte Daten sind wegen eines vergessenen Passworts noch nicht verloren.

SafeGuard Crypto Server 2000 Helpdesk
Bei Verwendung des SafeGuard CryptoServer 2000 Helpdesk werden die Passwörter vom SafeGuard Easy/SafeGuard PDA Administrator einmalig in die CryptoServer 2000 Hardware eingegeben und dort sicher gespeichert. Den Mitarbeitern des Helpdesk sind diese Passwörter nicht bekannt.

Der Response Code zum Freischalten von Clients wird nun innerhalb des CryptoServer 2000 erzeugt. Der Helpdesk Mitarbeiter kann auf diese Weise zu gegebenen Benutzerdaten (Name, Challenge Code) einen Response Code erzeugen, ohne selbst das Passwort des SafeGuard Easy Administrators zu kennen.

Der Hardware-basierende SafeGuard CryptoServer 2000 Helpdesk ist als separates Add-on für SafeGuard Easy erhältlich.

SafeGuard Web Helpdesk
Der zentrale SafeGuard Helpdesk funktioniert ähnlich wie der SafeGuard CryptoServer 2000 Helpdesk. Auch hier kennen die Helpdesk-Mitarbeiter die administrativen SGE /SG PDA Passwörter nicht.

Bei dieser softwarebasierenden Variante (Web-Interface) ist die Information die notwendig ist, um eine Response zu erzeugen, in einer geschützten (mit AES-256 verschlüsselten) Datenbank auf einem PC/Server gespeichert, auf dem der Microsoft Internet Information Service läuft. Diese Datenbank ist kryptographisch an den Server gebunden und kann nur dort genutzt werden.

Das Anwendungsgebiet ist identisch zum SG CryptoServer 2000 Helpdesk, kann aufgrund der reinen Software-Implementierung jedoch kostengünstiger realisiert werden und eignet sich somit für kleinere, weniger sicherheitssensitive Anwendungsbereiche.

SafeGuard Web Self Help
Wichtigster Vorteil der SafeGuard Web Self Help ist, dass Benutzer ohne Einbindung des Helpdesk selbständig vergessene Passwörter zurücksetzen können. Damit ein Benutzer in Eigenverantwortung sein Passwort neu setzen darf, muss er sich zunächst an einer zentralen Datenbank registrieren. Die Registrierung erfolgt über einen speziellen Mechanismus: Der Benutzer gibt für eine bestimmte  Anzahl vom Administrator frei wählbarer Fragen seine Antworten ein. Diese Antworten werden in einer zentralen Datenbank gespeichert. Der registrierte Benutzer wird vom Administrator freigegeben und erhält danach eine Mail mit einer PIN mit der er seine Registrierung abschließt.

 
Source: http://www.infinigate.no/no/produkter/sophos/safeguard_encryption/challengeresponse_solutions.html