Wie authentifiziere ich einen User sicher

#16 Hi Robert,

vielleicht kann man die Biometrie wirklich nutzen...


1. Idee:
Man lässt sich bei der Anmeldung Daten geben wie Augenfarbe, Haarfarbe, Schuhgröße, Geschlecht, Größe, Lieblingsfarbe, Sternzeichen etc. und errechnet dann daraus einen zum Namen passenden Wert. Wenn derjenige sich authentifizieren will, muss er alle diese Daten parat haben ...

Kann man natürlich auch alles herausfinden, aber je mehr es ist, desto schwieriger ist es natürlich...

2. Idee: Die meisten haben eine Soundkarte. Mit einem Mikrofon (Pfennigartikel) ließe sich ein Stimmenmuster aufzeichen. Diese Muster sind einzigartig. Bei der Anmeldung wird so ein Muster hinterlegt, und bei der Authentifizierung wird es mit einem vorher unbekannten Wort abgeglichen, dann kann keine Bandaufnahme verwendet werden, sondern die Person muss das Wort sprechen.

Kai

Kai

#17 Hi,
Wennn ich das richtig verstanden habe, besitzen einige Kunden schon Zertifikate, oder?
Wenn ja wäre es dann nicht denkbar, dass Du diesen per verschlüsselter Mail eine Routinemail schickst, auf die diese dann antworten müssen, mit dem gewünschten Passwort?
Greetz
Smaggmampf

#18 @Smaggmampf: Das Problem ist, daß er das Zertifikat erst den Zugang zum System ermöglicht.

Ich denke, daß wir alle zusammen zu engstirnig denken - wahrscheinlich übersehen wir die einfachsten Sachen. Was ich mir bisher so überlegt habe bzw. wie es an verschiedenen Stellen durchgeführt wird:

- Personalnummer
- Fax - unterschrieben von einem Berechtigten mit Unterschriftenprobe
- Telefon - meisten user sind bekannt und ein bisschen ausfragen
- Fragenkatalog (10 Fragen, 5 müssen hinterlegt werden, 2 müssen beantwortet werden) ---> sehr unsicher
- "Stimmidentifikation" - am Telefon, setzt voraus, daß User bekant ist
- persönliches Vorsprechen mit Ausweis
- Personalausweisnummer
- Sozialversicherungsnummer

Einige davon sind wohl recht brauchbar, aber bei RAS Usern und Usern, die man nicht kennt wirklich nicht praktikabel. Andere sind wohl zu kompliziert.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#19 Tcpa jippi

Mh vieleicht an der Prozessorseriennummer oder gibts die schon nichtmehr

Zitat

ich denke viel mehr an eine Frage am Telefon, die
a.) nur der User beantworten kann
b.) der User diese Frage immer, ohne weitere Unterlagen beantworten kann
c.) die Antwort nicht durch Social Engineering herausgefunden werden kann

Schließt sich doch gegenseitig aus ?

Nur der User kann dir das Passwort sagen aber das hat er vergessen

Gibt´s nicht bei Mozilla eine Browserseriennummer haben die andere Browser auch?
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#20 Hmmm,
was bei 10 000 Usern bestimmt gut ankommt:
Jeder User braucht einen (USB, ..) Token auf dem das Zertifikat gespeichert werden kann. Am besten noch einen, der eine Win Authentifizierung gleich auch noch kann.
Ein Beispiel wär der (eToken www.ealaddin.com).

Da wird dann zwar auch ein Passwort für benötigt, allerdings nur eines für:
Zertifikate
Win*anmeldung
etc.
Ein sicherer Speicher und praktisch is es auch.
Allerdings bei Dir eher zu kostspielig. Weitere Möglichkeiten können sein:

[Ironie]per Webcam, und reinhalten des Persos[/ironie]

Ansonsten fällt mir dazu vorerst nix mehr ein (alles schon erwähnt).
Greetz
Smaggmampf

#21 Der kommt doch nicht an den Browser ran, wenn er sich nicht angemeldet hat

Also ich würde einfach mal sagen, dass das irgendwie über einen vorgesetzten
gehen soll.
Der kennt seine Mitarbeiter ja wohl und kann auch im Zweifelsfall zurückrufen..
Außerdem bist du dann aus dem Schneider
__________
So wird mein Post von allen gelesen..

#22 sch* der Link funzt so nicht, aber so:
www.ealaddin.com

#23 schon mal an die MAC Adresse gedacht?

die müsste sich doch auslesen lassen
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#24 Hi,
Auch MAC Adressen lassen sich ändern
Grüsse
Smaggmampf

#25 Vielleicht anruf übers handy und rückruf aufs Haustelefon aber nicht jeder hat ein
Handy
bzw Sms mit den Passwort
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#26 Hi,
es gibt ja nicht umsonst dieses Post-Ident-Verfahren, wo man zur Post rennen muss, um sich bei einem Trust-Center zu identifizieren...

Ich denke mal, in ein, zwei Jahren wird das kein Thema mehr sein, weil dann digitale Signaturen eingeführt werden, die eben genausogut oder schlecht eine Authentifizierung gewährleisten wie andere Verfahren: Scheckkarte etc.

Hundertprozentige Sicherheit kann da letztlich nur die Biometrie bieten, wenn sie mit einer schwer fälschbaren Technik verknüpft wird.

Kai

#27 kai,

gerade im Fall Biometrie muß ich Dir sagen, daß dies überhaupt keine Sicherheit bietet. Fingerabdruckscanner können mit Wachs/Gummiabdrücken überlistet werden. Retina-Scans funktionieren auch mit hochauflösenden Fotos der Augen - da gibt es keinerlei Sicherheit - es ist nur Spielerei.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#28 Hallo Robert,

was den Daumen betrifft, hast Du wohl recht, was die Retina betrifft, gibt es allerdings Programme, die die Augenbewegungen berücksichtigen und voraussetzen. Das sicherste ist wohl die Stimmenanalyse, denn hier kann man verlangen, dass ein vorher unbekanntes Wort gesprochen wird. In der Stimme sollen Merkmale sein, die aber immer unverwechselbar sind...

Kai

#29 Ich erinnere mich da an einen ct Artikel.

Da haben die mit solchen Tricks wie sie Robert genannt hat so ziemlich alles
überlistet. Auge ausgedruckt, Pupille ausgeschnitten, vors Auge gehalten und
fertig.
Und bei Stimmanalyse fällt mir so spontan Tonbandgerät ein

Aber ich denke, dass die Sache mit der Biometrie sowieso übertrieben wäre,
wenn ein User wirklich nur sein Passwort 3x falsch eingegeben hat.
Und dann soll der arme Kerl RetinaScans und Fingerabdrucküberrüfungen über
sich ergehen lassen?

Vielleicht sollte man bei den Usern sowieso unterscheiden, zwischen Leuten
die "in der näheren Umgebung" sitzen und welche die sich per ras einloggen.

Dann könnte man auch den Sitznachbarn anrufen und nachfragen
__________
So wird mein Post von allen gelesen..

#30 Mein Ziel ist es einfach wegzukommen von den Unterscheidungen wo ein User ist, was er macht - es soll ein allgemeingültiges Verfahren zur Identifikation des Users am Telefon erstellt werden.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...