Tokenisierung
Bei der Tokenisierung wird ein aussagekräftiges Datenelement, z.
B. eine Kontonummer, in eine zufällige Zeichenkette namens Token
umgewandelt, die bei Verletzung keinen sinnvollen Wert hat.
Token dienen als Referenz zu den ursprünglichen Daten, können
jedoch nicht zum Erraten verwendet werden diese Werte. Das liegt
daran, dass die Tokenisierung im Gegensatz zur Verschlüsselung
keinen mathematischen Prozess verwendet, um die sensiblen
Informationen in das Token umzuwandeln. Es gibt keinen Schlüssel
oder Algorithmus, der verwendet werden kann, um die
ursprünglichen Daten für ein Token abzuleiten. Stattdessen
verwendet die Tokenisierung eine Datenbank, genannt Token Vault,
die die Beziehung zwischen dem sensiblen Wert und dem Token
speichert. Die echten Daten im Tresor werden dann gesichert, oft
durch Verschlüsselung.
Der Token-Wert kann in verschiedenen Anwendungen als Ersatz für
die realen Daten verwendet werden. Wenn die echten Daten
abgerufen werden müssen – zum Beispiel bei der Abwicklung einer
wiederkehrenden Kreditkartenzahlung – wird der Token an den
Tresor übermittelt und der Index verwendet, um den echten Wert
für den Autorisierungsprozess abzurufen. Für den Endbenutzer
wird dieser Vorgang nahtlos durch den Browser oder die Anwendung
fast augenblicklich ausgeführt. Sie wissen wahrscheinlich nicht
einmal, dass die Daten in einem anderen Format in der Cloud
gespeichert sind.
Der Vorteil von Token ist, dass es keine mathematische Beziehung
zu den realen Daten gibt, die sie darstellen. Wenn sie verletzt
werden, haben sie keine Bedeutung. Kein Schlüssel kann sie auf
die tatsächlichen Datenwerte zurücksetzen. Auch das Design eines
Tokens kann in Betracht gezogen werden, um es nützlicher zu
machen. Beispielsweise können die letzten vier Ziffern einer
Zahlungskartennummer im Token aufbewahrt werden, sodass die
tokenisierte Nummer (oder ein Teil davon) auf die Quittung des
Kunden gedruckt werden kann, damit dieser einen Verweis auf
seine tatsächliche Kreditkartennummer sehen kann. Die gedruckten
Zeichen könnten alle Sternchen plus die letzten vier Ziffern
sein. In diesem Fall hat der Händler aus Sicherheitsgründen nur
eine erhaltene Kartennummer, keine echte Kartennummer.
APT-Akteure nutzen Authentifizierungs-Bypass-Techniken und
Pulse Secure Zero-Day
Neu entdeckte Wi-Fi-Schwachstellen namens FragAttacks
setzen alle Mobilgeräte einem Risiko aus
Die Fehlkonfiguration mobiler Apps von Drittanbietern legt
die Daten von 100 Millionen Benutzern offen