Bei dieser Methode besitzt der Benutzer ein Gerät, daß aus der momentanen Uhrzeit sowie einem geheimen Schlüssel Paßworte berechnet, die nur in einem bestimmten Zeitintervall zu verwenden sind. Dieses Intervall liegt üblicherweise zwischen 30 Sekunden und 2 Minuten. Aufgrund des kleinen Intervalls kann es zu Problemen kommen, wenn die Uhren des Rechners und des vom Benutzer verwendeten Gerätes nicht genau übereinstimmen. Da die Gefahr besteht, daß ein Angreifer innerhalb des vorgegebenen Zeitintervalls das mitprotokollierte Paßwort wiederverwendet, muß der Rechner eine zweimalige Verwendung eines Paßwortes innerhalb des Gültigkeitszeitraumes verhindern. Um die Verwendung gestohlener Geräte zu verhindern, kann jedes Gerät mit einer Tastatur versehen werden, über die vor Benutzung ein geheimer Schlüssel eingegeben werden muß.
Security Dynamics SecureID Cards
Ein Beispiel für diese Methode sind die SecureID Cards der Firma Security Dynamics. Auf scheckkartengroßen Geräten wird alle 60 Sekunden ein neues Paßwort ausgegeben, daß in Verbindung mit einem geheimen Schlüssel an den Rechner weitergegeben werden muß. Ein Problem hierbei könnte die Klartextübertragung des geheimen Schlüssels darstellen, die es einem Angreifer ermöglicht, diesen mitzuhören. Kann er dann in den Besitz der Karte gelangen, so hat er die Möglichkeit, sich in den entsprechenden Rechner einzuloggen.
Um dem Problem der Synchronisation zweier Uhren entgegenzuwirken, gibt es ein anderes Verfahren, bei dem dem Benutzer vom gewünschten Rechner eine Zeichenfolge mitgeteilt wird, aus der dieser das entsprechende Paßwort berechnen muß. Um den Benutzer eindeutig zu identifizieren, wird wiederum ein geheimer Schlüssel in die Berechnung mit einbezogen. Die Berechnung erfolgt meist wieder durch Geräte, die eventuell noch mit einem geheimen Schlüssel versehen sind, um bei Diebstahl nicht mißbraucht werden zu können. Problem dieser Technik ist, daß es für den Benutzer relativ umständlich ist, die angegebene Zeichenfolge abzutippen und daraufhin das berechnete Paßwort einzugeben.
Digital Pathways SecureNet Key
Dieses Produkt verwendet ein challenge/response-Schema. Der Rechner gibt eine 8-stellige Zeichenkette an den Benutzer, der aus dieser das Paßwort bestimmen muß. Hierzu muß er sich in seine Karte einloggen, die durch einen PIN-Code geschützt ist. Er gibt die Zeichenfolge in die Karte ein, die daraus das gewünschte Paßwort berechnet.
Ein dritter Mechanismus ist die Verwendung von vorherberechneten Paßworten [Ches94]. Hierzu verwendet man eine nicht-invertierbare Funktion F. Möchte sich ein Benutzer z. B. hundertmal einloggen, so wählt er einen geheimen Schlüssel x, und wendet die Funktion F hundertmal auf x an. Dieser Wert F 100(x) wird gespeichert. Wenn sich der Benutzer dann einloggen möchte, berechnet er den Wert von F 99(x), der vom Rechner dadurch überprüft wird, daß er F(F 99(x))=F 100(x) überprüft. Daraufhin wird F 99(x) der neue gespeicherte Wert. Mit diesem Schema kann man beliebig viele Paßworte erzeugen, wobei aber immer nur ein bereits ungültiges Paßwort gespeichert werden muß.
Bellcore S/Key
Das kostenlos erhältliche Produkt S/Key verwendet ein derartiges Schema. Um aber dem Benutzer den Aufwand der Berechnung des Paßwortes zu ersparen, erhält er hierbei bereits eine komplette Liste von Paßworten. Diese können dann jeweils einmal verwendet werden, wobei natürlich die große Gefahr besteht, daß die Liste abhanden kommt. Es besteht nämlich kein zusätzlicher Schutz durch irgendwelche geheimen Schlüssel.
Der Einsatz der unterschiedlichen Methoden richtet sich nach unterschiedlichen Kriterien. Natürlich ist S/Key die billigste Alternative, während die SecureID Cards die benutzerfreundlichste Alternative darstellen. Es wird also eine Mischung der verschiedenen Methoden geben, wobei Mitarbeiter, die häufig auf Reisen sind, eine Karte erhalten, die einen der ersten beiden Mechanismen implementiert, während Benutzer, die nur einmalig oder kurzfristig Zugang von außen benötigen mit einer Methode wie S/Key vorlieb nehmen müssen.