Fragen? Antworten! Siehe auch: Alternativlos
Seit dem hat es eine neue Entwicklung gegeben. In dem Interview spekuliere ich, dass RSA die Seeds der Tokens ihrer Kunden aufgehoben haben könnte, und dass die gestohlen wurden bei dem Einbruch, und dass das den Einbruch bei Lockheed erklären würde. Die Sprache im Original-Statement deutete so ein bisschen indirekt darauf hin, als wollten sie das einräumen, war aber nicht klar genug, um es als Geständnis zu werten. Inzwischen will RSA alle Tokens austauschen. Das ist was ich mit "das wäre ein Totalschaden" im Interview meinte. Angeblich haben RSA-nahe Quellen zugegeben, dass die Seeds geklaut wurden.
Die Presseberichterstattung fokussiert sich im Moment auf SecurID, aber ich finde, dass das nicht weit genug greift. Die Firma hat die geheimen Schlüssel ihrer Kunden gespeichert! Einen größeren Vertrauensverlust kann ich mir gar nicht vorstellen für einen solchen Dienstleister! Nicht nur würde ich nie wieder eine Authentisierungslösung von denen kaufen, ich würde denen auch sonst nie wieder vertrauen. Und was machen die sonst so? Na? Kommt ihr NIE drauf! Die betreiben eine SSL-CA, der u.a. Firefox vertraut.
Der Hammer an der ganzen Geschichte ist ja die Begründung, warum sie das nicht gleich zugegeben haben, dass ihr Verfahren vollständig kompromittiert wurde:
RSA Security Chairman Art Coviello said that the reason RSA had not disclosed the full extent of the vulnerability because doing so would have revealed to the hackers how to perform further attacks.
Äh, wie meinen?! Lieber die Kunden im Stich lassen und hoffen, dass die nicht merken, wenn sie gehackt werden?! Wenn das keine vertrauensbildende Maßnahme ist, dann weiß ich auch nicht!1!!