Benutzeridentifikation
Es gibt drei Methoden zur Benutzeridentifizierung, von denen manche schon geraumer Zeit im Gebrauch sind, so zum Beispiel das "geheime Passwort", das nur der jeweiligen Person bekannt ist.
Man unterscheidet:
Ein dem Benutzer bekanntes Geheimnis (Passwort, PIN).
Ein Gegenstand im Besitz des Benutzers (Schlüssel, Karte, Ausweis).
Ein individuelles Merkmal des Benutzers (Fingerabdruck, Stimme, Muster der Retina), biometrische Daten.
Zur veriässlichen Autorisierung ist der Einsatz von mindestens zwei dieser Methoden notwendig. Diese Methoden, die heute im EDV-Bereich gebräuchlich sind, sind die Basis für eine ganze Reihe von Möglichkeiten zur Benutzeridentifizierung und Autorisierung. Nachfolgend sind die verschiedenen Verfahren sowie ihre jeweiligen Vor-und Nachteile dargestellt.
Verfahren
Die gebräuchlichsten Verfahren zur Benutzeridentifikation sind heute
- Unabhängige Passwörter
- Rückrufsysteme (Dial-Back)
- Authorisierung durch Frage-Antwort-Systeme
- Software-Token
- Zeitabhängige Token
Wiederverwendbare Passwörter
Verwendet man das heute am weitesten verbreitete Schutzverfahren, den Einsatz von Passwörtem, so nimmt man folgende Nachteile in Kauf:
- Passwörter können manipuliert werden.
sie werden in der Praxis nicht in regelmässigen Abständen geändert
- sie können im Besitz von mehr als einem Benutzer sein.
- sie sind abhängig von verschiedenen sozialen Komponenten. - sie können von speziellen Programmen entschlüsselt werden. Zudem muss beachtet werden, dass der Umlauf und Gebrauch nur schwer kontrolliert und verfolgt werden kann.
Rückrufsysteme
Rückrufsysteme in Verbindung mit Passwörtern bieten einen höheren Schutz und haben den Vorteil, dass der Zugriff über die Auflistung der Telefonate festgestellt werden kann. Der zusätzliche Vorteil der Kostenübernahme durch den Anrufer (meistens die Untemehmenszentrale) ist zwar zweckmässig, jedoch für Sicherheitsbetrachtungen nicht relevant.
Jedoch auch Rückrufsysteme besitzen noch genügend Nachteile: - Das Gerät und nicht der Benutzer wird autorisiert.
- Bei mobilen Benutzern Ist der Rückruf nur selten zu realisieren.
- Autorisierte Benutzer, die nicht ein bestimmtes Gerät benutzen, könnten ausgeschlossen werden.
- Kann durch Anrufweiterschaltung manipuliert werden.
