CryptoWeb: Doppelter Boden für Passwörter

Seit den letzten Passwortleaks sehen sich immer mehr Softwarehersteller, insbesondere im ERP-Umfeld, und Webseitenbetreiber mit der Notwendigkeit konfrontiert, den Passwortschutz zu verbessern. Eine neuartige Lösung kommt vom IT-Experten CryptoMagic: CryptoWeb erhöht die Sicherheit von HTTPS-Verbindungen, indem die integrierten Sicherheitsfunktionen aktueller Browser genutzt werden. Neben Serverzertifikaten erstellt CryptoWeb zusätzlich Clientzertifikate. Damit kann die Serverseite überprüfen, ob sie mit dem richtigen Client verbunden ist. Die Identifikation des Benutzers erfolgt über mindestens einen passwortunabhängigen Authentifizierungsfaktor. CryptoWeb schützt auch ohne Passwörter, deren Nutzung ist aber weiterhin möglich.

Passwörter sind ein leidiges Thema. Ihr ständiger Wechsel stört Anwender. Zeit und Kreativität gehen verloren. Die Sicherheit ist jedoch gefährdet, wenn Nutzer ihre Passwörter notieren, ein zu einfaches wählen oder stets dasselbe Passwort für verschiedene Webdienste verwenden. Deshalb funktioniert CryptoWeb auch ohne Passwort. Anwender können zwar weiterhin eines benutzen, müssen aber nicht. Greift ein Dritter das Passwort ab, sind die Daten durch einen oder mehrere Faktoren zur Authentifizierung weiterhin geschützt.

CryptoWeb macht sich die Sicherheitsfunktionen moderner Browser zunutze, indem HTTPS-Verbindungen nur dann als vertrauenswürdig eingestuft werden, wenn sich sowohl Server- als auch Clientseite identifiziert haben. Bei konventionellen Lösungen überprüft lediglich der Browser das Zertifikat des Webservers. Der Server hat keinerlei Informationen, mit welchem Client er verbunden ist. CryptoWeb weist auch dem Client ein Zertifikat zu und prüft damit, ob die Serverseite mit dem richtigen Client spricht. Mit CryptoWeb lassen sich Benutzer ohne Zertifikat vom Webserver vollständig abschirmen.

CryptoWeb wird auf Serverseite zwischen Webserver und Client-PC geschaltet. Anfragen von identifizierten Clients reicht die Lösung angereichert um Authentifizierungsinformationen weiter. Betreiber von Webdiensten installieren CryptoWeb entweder auf dem Webserver selbst, im Rechenzentrum (cluster- und virtualisierbar) oder sie nutzen die cloudbasierte Lösung von CryptoMagic und überlassen dem IT-Spezialisten den Betrieb. Auf Clientseite benötigt CryptoWeb keine Software, Installation oder Plug-Ins und wird von allen gängigen Browsern unterstützt – auch auf Mobilgeräten.

CryptoWeb stattet HTTPS-Verbindungen mit weiteren, beliebig kombinierbaren Faktoren aus. Kombinierbar sind unter anderem die Faktoren „SSL-Zertifikat für den Client“ (Identifikation des Browsers), „SMS/Handyrückruf“ (Identifikation des Mobiltelefons oder Telefonanschlusses), „U2F“ (Identifikation des USB-Sticks oder des Browsers) und „Kryptografie im Browser“ (Identifikation des Browsers).

„Wir haben uns mit CryptoWeb darauf fokussiert, einen doppelten Boden in die Authentisierung auf Webseiten einzubauen – mit oder ohne Passwort. Die Lösung haben wir einfach und weitestgehend ohne Aufwand für den Anwender gestaltet“, erklärt Markus Schräder, Geschäftsführer von CryptoMagic. „In vielen Fällen erkennt unsere Software, wenn jemand ein Passwort ausspioniert hat und erfolglos verwenden wollte, sodass frühzeitig Gegenmaßnahmen ergriffen werden können.“ Weitere Sicherheit bringt CryptoWeb durch regelmäßigen Wechsel des Clientzertifikats. Entsprechend konfiguriert, bietet CryptoWeb einen nahezu beliebig skalierbaren Schutz vor Denial-of-Service-Angriffen.

Weitere Informationen: www.cryptomagic.eu