| 
Authentisierung
Gehärtete 2 Faktor Authentisierung mit zentralem Management |
|
Mit innovativem Master/Slave Konzept
Security-Appliances und Secure Thin Clients - Made in Germany |
|
| teststellung der Lösungen |
Kostenfrei für 4 Wochen
Sie haben bei uns die Möglichkeit diese Lösungen kostenfrei mit Installationsunterstützung zu testen. Rufen Sie uns unter dieser Rufnummer an: 06103 20 55 300. |
|
Ein Anruf genügt: 06103 20 55 300 - und wir geben Ihnen alle Informationen für eine saubere Abwicklung von Erweiterungen und Neuanschaffungen.
|
|
| |
| authentisierung und digitale identität |
Die Identität von Anwendern läßt sich auf unterschiedliche Weise überprüfen. Es stehen 3 grundlegende Prüffaktoren zur Verfügung:
- Wissen einer geheimen Information - Passwort
- Besitz einer einzigartigen Sache - Token, Speichergegenstand
- Unveränderliches körperliches Kennzeichen - biometrisches Merkmal (Fingerabdruck)
|
|
Weil dieses am Einfachsten zu implementieren ist, benutzen die meisten Anmeldeverfahren von Betriebssystemen oder Anwendungen eine einfache Abfrage eines statischen Passworts - also nur den Faktor 'Wissen'. Um die Sicherheit etwas zu erhöhen, fügen manche Systeme die Möglichkeit eines Passwortregelwerks hinzu. Dieses bietet dem Administrator die Möglichkeit, die Gültigkeitsdauer und die Anzahl und Gestaltungsmenge von Passworten vorzugeben (z.B. 30 Tage, 8 Zeichen, mindestens ein Sonderzeichen und eine Ziffer). Neben der Schwäche, nur einen Faktor zu nutzen, liegen die Probleme hierbei in der Tatsache begründet, daß sich Menschen ihre Passworte auswählen und merken müssen. Man kann von der Kernaussage: 'Gut gewählt - schlecht gemerkt.' ausgehen, also besteht ein gewähltes Passwort aus einer so kryptischen, nicht erratbaren Zeichenfolge, so kann man es sehr schlecht im Kopf behalten. Wer allerdings Passworte aufschreibt, riskiert den digitalen Identitätsverlust. Von der Verwendung statischer Passworte ist für geschäftskritische Anmeldungen also abzuraten.
|
|
Diese drei Prüfmethoden kommen in verschiedenen Produkten in unterschiedlichen Kombinationen und technischen Umsetzungen zur Anwendung. Als starke Anwender-Authentisierung bezeichnet man Verfahren, die mindestens zwei dieser Faktoren benutzen. So sind die gebräuchlichsten Produkte im Bereich der sog. Zweifaktor-Authentisierung zu finden, da mit den Faktoren 'Wissen' und 'Besitz' an weitverbreitete Verfahren, wie sie von Banken z.B. mit EC-Karten genutzt werden, angeknüpft werden kann. Dadurch wird den Anwendern keine wesentlich andersartige Handlungsweise abverlangt als bei der Bargeldabhebung an einem Geldautomaten.
Die technische Umsetzung dieser Zweifaktor-Authentisierung kann sehr unterschiedlich ausfallen. Sehr gebräuchlich sind sog. OTP-Geräte (One-Time-Password), kleine checkkartengroße Gegenstände, oft auch in Form eines Schlüsselanhängers, mit einer eingebauten LCD-Anzeige. Diese Hilfsmittel stellen zum Einen den Faktor .Besitz. dar und erzeugen zum Anderen in Zeitintervallen oder auf Abruf einen scheinbaren Zufallscode. Dieser Code dient zusammen mit einem Geheimnis (PIN oder Passwort) den Anmeldecode zur Authentisierung. Auf der LAN-Seite steht ein Server bereit, an den das Gateway diese Anmeldedaten zur Identitätsprüfung übermittelt. Durch die eingesetzten Verfahren wird sichergestellt, daß die Anwender sicher erkannt und identifiziert werden, damit eine positive Antwort an das anfragende Gateway gegeben werden kann. Ist einer der beiden Teile des Anmeldecodes falsch (falsche PIN, falscher Gerätecode) wird negativ beschieden und die Verbindungsanfrage (oder Login-Anmeldung) wird abgelehnt. |
|
Eine andere verbreitet Variante in der Zwei-Faktor-Authentisierung wird durch Verwendung kryptografischer Verfahren realisiert. Die Erläuterung dieser Verfahren sprengt leider den Rahmen dieses Dokuments. Man unterscheidet zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren. Symmetrische Verfahren benutzen ein und denselben Schlüssel zum Chiffrieren von Daten (wie z.B. bei einem VPN-Tunnel). Asymmetrische Verfahren benutzen ein Schlüsselpaar, wobei das Datum, welches mit dem einen Schlüssel chiffriert wurde, nur mit dem jeweils anderen Schlüssel des Paares dechiffriert werden kann. Richtet man es nun ein, daß ein Schlüssel des Paares für jedermann zur Verfügung gestellt wird und der andere Schlüssel einer einzigen Person zugeordnet wird, und von dieser extrem geheim gespeichert und benutzt wird, lassen sich ein große Zahl von Authentizitäts- und Verschlüsselungslösungen auf dieser als PKI-Verfahren (public key infrastructure) bezeichneten Technik aufbauen. Da es sich bei den beiden Schlüsseln eines Paares um sehr schwer zu merkende Zeichen-/Zahlenfolgen handelt, ist man übereingekommen ein leicht lesbares Textdokument zu erstellen, welches in klarer Sprache die wesentlichen Informationen zum Schlüsselpaar sowie den öffentlichen Schlüssel enthält. Dieses Textdokument wird Zertifikat genannt und ist nach der ITU-T Standard X-509 (z.Zt. in der Version 3) genormt. Zu den Informationen des Zertifikats gehören unter anderem der Name der Stelle, die das Schlüsselpaar (und Zertifikat) erzeugt hat, der Name der Person, der das Zertifikat gehört und für welchen Zeitraum das Zertifikat gültig ist. Mit dem Zertifikat lassen sich alle Einträge auch eindeutig auf Echtheit und Unversehrtheit in der Infrastruktur prüfen. Die Check Point FW-1 besitzt eine Möglichkeit zur Erzeugung von solchen Schlüsselpaaren mit dem zugehörigen Erstellen von Zertifikaten. Diese Zertifikate können Anwendern zu Authentisierungszwecken zugeordnet werden. Praktischerweise speichert man den privaten, geheimen Schlüssel sowie das Zertifikat in einem als sicher geltenden Speicherort. Hierfür bieten sich Smartcards oder andere sog. Smartstore-USB-Speicher an. Dadurch kann wieder der Zwei-Faktor-Ansatz verfolgt werden. Der Anwender muß im Besitz des Speichers und des Codes um die Schlüssel in dem Speicher benutzen zu können sein. Derartige sichere Speicher werden von fast allen großen Anbietern von Authentisierungslösungen in Form von USB-Geräten oder Plastikkarten mit an das Endgerät anzuschließenden Lesegeräten angeboten. |
|
| |
