Versions-History von Authentisierung

Zum Begriff Authentisierung

Änderung des Felds Beschreibung am Donnerstag, 10. April 2003, 12:25:
+Arten der Authentisierung <br> <br>Kennwortübertragung im Klartext <br> <br> <br>Die Authentisierung nach einzelnen Benutzernamen und zugehörigen Kennwörtern stellt die Mindestanforderung für benutzerbezogenes Autorisieren und Abrechnen dar. Ein Problem bei dieser Art von Authentisierung liegt darin, daß die Kennwörter im Klartext über-tragen werden und durch Mithören auf den Über-tragungsleitungen ausspioniert werden können. Dies kann sowohl innerhalb des Telefonnetzes passieren als auch auf dem LAN, denn viele Benutzer wählen als Kennwort für den Fernzugriff das gleiche wie im LAN. Ein weiteres Problem liegt darin, daß oftmals das Kennwort auf dem entfernten PC gespeichert wird. Dies ist nicht selten der Fall, denn dem unerfahrenen Benutzer soll die Einwahl so leicht wie möglich gemacht werden. In diesem Fall haben nun plötzlich all jene Netzwerkzugriff, die Zugriff auf diesen PC haben. Dies kann der 15-jährige Sohn des Verkaufsleiters sein, der dem Vater den PC konfiguriert, oder z. B. das Hotelpersonal, wenn diese Art des Zugriffs auf Geschäftsreisen verwendet wird. Für Sicherheitsbeauftragte liegt bei dieser Art der Authentisierung das Hauptproblem darin, daß nur schwer nachgewiesen werden kann, ob die Weitergabe des Kennworts aus Fahrlässigkeit, in voller Absicht oder durch Fremdspionage erfolgte. <br> <br> <br>Abhörsichere Kennwortübertragung <br> <br> <br>Das Problem der unsicheren Über-tragungs-wege kann auf verschiedenste Weise gelöst werden, ist jedoch immer mit erhöh-tem Aufwand in der Authentisierungphase verbunden. Die fehlende Standardisierung ist hierbei das größte Problem, so daß Standardsoftware meist nicht für alle Plattformen verfügbar ist. Die einfachste Möglichkeit eines sogenannten Frage/Antwort (Challenge/Response) Systems ist eine Kombination aus einer zufällig generierten Zeichenfolge und deren Verschlüsselung. Jeder Benutzer muß hierzu auf dem Authentisierungsrechner einen Schlüs-sel (Kennwort) in Klartext hinterlegen. An den Benutzer wird in der Authentisierungsphase eine zufällig generierte Zeichenfolge (Challenge) gesendet. Diese Zeichenfolge wird vom Empfänger mit Hilfe des Kennworts verschlüsselt und zurückgesendet. Die verschlüsselte Zeichenfolge (Response) wird mit Hilfe des hinterlegten Schlüssels und der ursprünglich gesendeten Zeichenfolge verglichen. Bei wirklich zufällig generierten Zeichenfolgen ist ein Abhören zwecklos. Probleme bereitet hierbei meist die Schlüsselaufbewahrung in Klartext und vor allem die Änderung des Schlüssels über diesen unsicheren Über-tragungs-weg. Die Verfahren mit sogenannten Einmalpaßwörtern umgehen diese Schlüsselproblematik. Bei diesen Verfahren ist es nicht notwendig, daß ein Kennwort in Klartext auf dem Authentisierungsserver gespeichert wird oder daß es bei einer Kennwortänderung in Klartext über-tragen werden muß [Hall94a, Hall94b, Hall95c]. Mit diesen Verfahren kann also das Abhören der Paßwörter verhindert werden, nicht jedoch die freiwillige oder fahrlässige Weitergabe an unbefugte Personen. <br> <br> <br>Authentisierung durch Tokensysteme <br>Die bisher beschriebenen Verfahren zur Authentisierung gehen davon aus, daß der Benutzer ein Geheimnis (Kennwort) besitzt. Das Problem hierbei besteht darin, daß man nicht sicher weiß, ob und wie ein Geheimnis preisgegeben wurde, sprich ob es sich um ein fahrlässiges oder absichtliches Verschulden handelt oder das Kennwort gar ausspioniert wurde. Eine wesentlich sicherere Zugriffsmethode wird mit Hilfe von sogenannten Tokensystemen erreicht. Bei den meisten dieser Verfahren benötigt man zwei Dinge zur Authentisierung, ein Geheimnis (Kennwort) und ein physikalisches Gerät (Token). Diese Systeme bestehen aus einem Authentisierungsserver, meist ein Softwarepaket das auf einem Unix-Rechner betrieben werden kann, und den sogenannten Token für die Benutzer. Diese Token sind -- ähnlich einem Taschenrechner -- meist mit einem Ziffernblock und einer Anzeige ausgestattet. Zur Authentisierung muß man im Besitz eines Geheimnisses (Personal Identification Number; PIN) und eines Token sein (CryptoCard, SmartCard, PinCard, etc.). Dem Benutzer wird in der Authentisierungsphase eine Zeichenfolge (Challenge) zugesendet, die Antwort (Response) kann nur mit Hilfe des Tokens und der PIN berechnet werden. Replay Attacken werden durch zufällig erzeugte Zeichenfolgen im Authentisierungssystem verhindert. Bei Verfahren mit Zeitsynchronisation kann auf ein Challenge/Response Verfahren verzichtet werden, allerdings eröffnet sich während eines kurzen Zeitfenstern (ca. 60s) die Möglichkeit von Replay Attacken. Sollte ein Token verloren gehen oder gestohlen werden, muß der Besitzer selbstverständlich den Verlust sofort anzeigen. Durch die PIN ist immerhin noch gewährleistet, daß die Sicherheit nicht automatisch durch den Verlust des Token allein gefährdet ist. Im Gegensatz zu den anderen Verfahren ist man sich bei Verlust des physikalischen Geräts außerdem der Sicherheitsgefährdung bewußt.Der Nachteil des Systems liegt im Falle vieler Benutzer im großen finanziellen Aufwand, weshalb diese Art der Absicherung für Universitäten und Anbieter von Online Diensten im Normalfall nicht in Betracht kommt: ein Token kostet für jeden einzelnen Benutzer in der Regel ungefähr 100 DM und muß nach etwa 3 Jahren Nutzung durch ein neues Gerät ersetzt werden. <br> <br> <br>Authentisierung durch automatischen Rückruf <br>Die Möglichkeit des automatischen Rückrufs steht sowohl bei analogen- als auch bei digitalen ISDN-An-schlüs-sen zur Verfügung. Diese Art der Verbindung ist besonders für Firmen interessant, da die Telefongebühren somit gleich in der Firma anfallen und nicht extra von jedem einzelnen Mitarbeiter abgerechnet werden müssen. Nach erfolgter Authentisierung mit Benutzername und Kennwort wird die Verbindung unterbrochen und vom NAS durch Anwahl einer im Benutzerprofil gespeicherten Nummer frisch aufgebaut. Durch diese Maßnahme ist sichergestellt, daß durch einfaches Abhören der Über-tragungs-lei-tun-gen noch kein unberechtigter Zugriff erfolgen kann. Zusätzlich muß nämlich noch ein physikalischer Zugang zum entsprechenden Telefonanschluß bestehen oder das Telefonsystem an sich muß überlistet werden.Diese Art des zusätzlichen Schutzes steht für Universitäten, ISP's oder Anbieter von Online Diensten nicht zur Verfügung, da eine Übernahme der Telefonkosten nicht möglich ist. Auch in Firmen, bei denen sich die Benutzer häufig von verschiedenen Orten einwählen, ist dies aus Verwaltungsgründen kaum zu organisieren. <br> <br> <br>Authentisierung durch Rufnummernübermittlung im ISDN <br>ISDN-Verbindungen ermöglichen die Rufnummer des Kommunikationspartners auszuwerten. Im Gegensatz zum automatischen Rückruf ist dies nun auch für Universitäten und andere Service Provider anwendbar. Leider bieten momentan manche NAS' diese Art der Authentisierung nicht in Verbindung mit anderen Authentisierungsprotokollen an. Dies bedeutet, daß nicht ein einzelner Benutzer sondern ein Telefonanschluß authentisiert wird, egal welcher Benutzer diesen Anschluß verwendet. Dies ist in vielen Fällen nicht ausreichend. Außerdem ist hier -- ähnlich wie beim automatischen Rückruf -- im Falle häufig wechselnder Einwählpunkte (bei Aussendienstmitarbeitern üblich) der Verwaltungsaufwand hoch. <br> <br> <br>Authentisierung innerhalb des PPP-Protokolls <br>Bei der LAN-Erweiterung wird in der großen Mehrzahl das PPP-Protokoll als Rahmenprotokoll verwendet. Dieses Protokoll definiert bereits zwei verschiedene Authentisierungsverfahren. Die Authentisierung ist Teil des Link Control Protocol (LCP) und erfolgt nach der Verbindungsaufbauphase. Für den Aufbau einer PPP-Verbindung ist eine Authentisierung optional, aber nicht notwendig. <br> <br> <br>Password Authentication Protocol (PAP) <br>Die Authentisierung nach PAP entspricht einer einfachen Authentisierung mit Benutzername und Kennwort, wobei das Kennwort im Klartext über-tragen wird. Der entfernte Rechner sendet wiederholt LCP-Pakete die den Benutzernamen und das Kennwort enthalten bis entweder eine Empfangsbestätigung empfangen wird oder die Verbindung von der Gegenseite abgebrochen wird. Die Probleme bei dieser Art der Authentisierung wurden bereits unter 3.1.1.1 aufgezeigt. <br> <br> <br>Challenge-Handshake Authentication Protocol (CHAP) <br>Bei diesem Authentisierungsverfahren erfolgt keine Über-tragung des Kennworts im Klartext. Dieses Verfahren folgt den gleichen Prinzipien wie unter 3.1.1.2 beschrieben und weist natürlich die unter diesem Punkt aufgezeigten Probleme auf. Das Verschlüsselungsverfahren basiert auf nicht umkehrbaren Hash-Funktionen, die auf eine Kombination der Zufallsfolge (Challenge) und des Kennworts angewendet werden. Die so verschlüsselte Antwort wird vom entfernten Rechner an den Authentifizierungsserver zurückgesendet (Response) welcher nach Anwendung der gleichen mathematischen Operation auf die Eingangswerte (Challenge, Kennwort) die Ergebnisse miteinander vergleicht. Da das PPP-Protokoll verschiedene Rahmentypen definiert, können solche Authentisierungspakete (LCP-Pakete) auch während einer stehenden Verbindung periodisch eingestreut werden, ohne daß der Datenaustausch davon betroffen ist. Sie sind somit nicht nur auf die Verbindungsaufbauphase beschränkt. Momentan ist als Hash-Funktion hauptsächlich der MD5 Algorithmus [Schn93, Rive92] implementiert, der verwendete Algorithmus kann aber im PPP-Protokoll ausgehandelt werden. <br> <br>

SUCHE



 
 



AKTIONEN
Allgemein

Zufälliger Begriff

Begriff
Versions-History


WERBUNG

NEUIGKEITEN
%16.%11-%23.%11.%2024:
Neue Begriffe

13.6.2006:
Begriff-Schnellsuche: http://clexi.com/ram