Einmal-Passwort kommt jetzt per SMS (CIO.de)

Die Berliner Stadtreinigung hat ihr Identitätsmanagement auf ein Handy-System umgestellt. Damit wurden die bisherigen Token überflüssig. Die Berliner Stadtreinigung hat ihr Identitätsmanagement auf ein Handy-System umgestellt. Damit wurden die bisherigen Token überflüssig.

Die Berliner Stadtreinigung, mit 485 Millionen Euro Umsatz einer der größten kommunalen Entsorger Europas, hat die Authentisierung seiner IT-Remote-Zugänge auf das System SMS Passcode umgestellt. Damit wurden die bislang im Einsatz befindlichen Token überflüssig, teilte das Unternehmen mit.

Durch die Einführung eines neuen zentralen Identitäts-Managements konnten die Administratoren der BSR die Verwaltung der Zugriffsrechte nach eigenen Angaben entscheidend vereinfachen. “Hier gab es allerdings ein Kompatibilitätsproblem”, erklärt Frank Basler, Leiter Kommunikationsnetze bei der Berliner Stadtreinigung, “unsere bisherige Token-Authentisierung ließ sich nicht nahtlos mit dem Identitäts-Management kombinieren”.

Daher entschieden sich die Berliner für eine Authentisierung der etwa 230 Remote-User per SMS. BSR-Mitarbeiter und die Dienstleister melden sich hier zunächst mit ihrem Benutzernamen und ihrem statischem Passwort an. Nach der Verifikation dieser Daten generiert das System ein nur für kurze Zeit gültiges Einmal-Passwort.

Dieses wird dann als normale Handy-Kurznachricht übertragen. Die bei jedem Login neu generierten Einmal-Passwörter sind für Hacker nutzlos. Auf dem Server existieren auch keine vorberechneten Secrets, die ausspioniert werden könnten.

Mehr zum Thema Single Sign On und Identitätsmanagement finden Sie auch beim Enterprisecioforum.

“Dass SMS-basierte Authentisierung immer mehr die veralteten Token-Systeme ablöst, zeigen unsere hohen Umsätze mit dem System”, lobte Robert Korherr, Leiter Marketing, beim Distributor ProSoft.

Das System sei auf diesem Gebiet mittlerweile ein “anerkannter De-facto-Standard”. Strong Authentication mit dem Handy sei “preiswerter, einfacher und sicherer”, so seine Meinung. “Bislang hat jede Passwort-SMS den jeweiligen User erreicht, auch in der Schweiz”, sagt Basler von der BSR. Er sei deswegen “sehr zufrieden.”