Wie authentifiziere ich einen User sicher

#1 Haallo,

stellt Euch vor: Euch ruft ein User an, der hat sein Passwort vergessen und will ein Neues gesetzt bekommen. Wie stellt man sicher, daß der User der anruft auch der User ist, der er vorgibt zu sein?

Ideen? Anregungen?


Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#2 Was weißt du über den User?

Z. B. Geburtsdatum, Anschrift, registrierte E-Mail Adresse?
Damit könnte er sich identifizieren.

Gut, an solche Informationen kann ein "falscher User" auch kommen, aber es wäre schon mal eine Idee.
__________
Es irrt der Mensch, solang' er strebt. (Goethe)

#3 ...oder noch was anderes.

Laß dir die Adresse und eine Festnetznummer geben, überprüfe die Zusammengehörigkeit und rufe die Person zurück.

Ist auch nicht 100%ig sicher, aber besser als gar nix.
__________
Es irrt der Mensch, solang' er strebt. (Goethe)

#4 Vielleicht das Passwort in eine Textdateipacken und mit der Ausweisnummer
verschlüsseln
Obwohl sich die passwortnummer berechnen lässt
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#5 Man lässt am anfang wie bei web.de wichtige daten (wohnort tele-nummer usw. angeben)

Ne Geheimfrage wo er die antwort wissen muss
Fax mit Perso drauf

Das ganze übern Briefverkehr regeln

Die Person persönlich kenne?

ne mail mit dem pass an die eingetragene addy schicken?
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#6 Es sollte Sachen sein, die sich nicht durch Social Engineering herausbekommen. Also fallen Sachen wie eine Geheimfrage flach. Rückruf ist mglw. praktikabel, aber auch da ist es noch nicht wirklich sicher, ob es sich um den User handelt.

Es ist eine ganz verzwickte Sachen - ich möchte etwas definieren, was sowohl sicher als auch praktikabel ist.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#7 Kann man nicht Briefe über die Post so verschicken das man sie nur mit Ausweis abholen kann?
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#8 ok, die andere Anforderung ist, daß die Authentifizierung in kürzester Zeit erfolgen kann. Es geht dabei um mind. 10.000 User verschiedenster Kunden, deren Nutzeraccounts verwaltet werden. Also sollte es schon schnell gehen.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 Auf diese Situation muß man sich wirklich vorbreiten. Man kann auf keinen Fall kurz eine Lösung aus dem Ärmel schütteln.
Vorbereiten, ab dem Moment, wo ein User das erste mal ein Passwort zugewiesen bekommt, bzw regstriert wird.
Möglicherweise ein zweites Paßwort gleich zu Beginn mitverteilen. Der User müsste nur anrufen und um die Freischaltung des zweiten Paßwortes bitten.
Dies würde auf jeden Fall eine sehr kurze Raktionszeit mit sich bringen. Wie man das genau gestaltet....müsste man in ein paar Varianten durchspielen.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#10 wenn ein pass vergessen wird
wird das 2. ....

ich denke du weisst was ich meine
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#11 ...verloren .
Möglich....es ist natüröich aufzubewahren wie die eigene Breiftasche, Tagebuch, was weiß ich. Ich meine, es ist eine Überlegung wert.
Es muß eine Vereinbarung geben, daß im Falle des Verlusts es
1. (Falls bemerkt) sofort gemeldet wird
2. ein weiteres Passwort nur über Postweg zu erhalten ist, mit den damit verbundenen Wartezeiten
__________
Durchsuchen --> Aussuchen --> Untersuchen

#12 Auf jeden Fall danke für den Input - aber so richtig ist es nicht wirklich praktikabel - es geht nicht nur um Nutzeraccounts, sondern auch RAS und Sachen wie PKI und digitale Zertifikate - da ist es
a.) wichtig, daß der User authentisch ist
b.) die Rücksetzung unkompliziert funktioniert und Tag und Nacht funktionieren

Das Pflegen mehrer Accounts ist bei dieser Useranzahl auch nicht durchführbar.

Ich denke viel mehr an eine Frage am Telefon, die
a.) nur der User beantworten kann
b.) der User diese Frage immer, ohne weitere Unterlagen beantworten kann
c.) die Antwort nicht durch Social Engineering herausgefunden werden kann


R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#13 Hallo Robert,
ein Bekannter hat mir mal erzählt, dass sich jemand die Seriennummer der Maus als Beweis für die Identität geben lässt...

Diese Nummern sind einzigartig und somit nicht fälschbar, haben aber natürlich den Nachteil, dass man sie erfragen/ablesen kann.

Dennoch könnte man die natürlich durch "social engineering" herausfinden, man müsste dem User schon klarmachen, dass er sie wie eine PIN niemandem verraten darf. Aber das darf er mit anderen Passwörtern natürlich auch nicht ...

Kai

#14 Es ist eine Unmöglichkeit Usern, die nicht direkt in der EDV arbeiten, klar zu machen, daß man sein Passwort geheim hält.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#15 Hi Robert,
dann hast Du eh keine Chance, weil JEDE Information, die jemand weiß, irgendwie aus ihm herausgekitzelt werden kann.

Dann bleibt nur noch die Biometrie. Das hat man zwar, weiß man aber nicht und kann man auch nicht weitergeben.