tools - Bites, Bytes and my 5 cents

Weitere Magazine

Empfehlungen

Info

PRAXISAuf der Suche nach Einheitlichkeit- Benutzerüberprüfung als heiklesProblem im E-CommerceTaher ElgamalAuf den ersten Blick scheinen die beiden folgendenAspekte auseinander zu streben: das Bedürfnis nach einerzuverlässigen Benutzer-Authentifizierung einerseits unddie Forderung nach größtmöglicher Usability andererseits.Möglicherweise entsteht das Problem aber erst, weil jederWebsitebetreiber sein eigenes Süppchen kocht.IN DIESEM ARTIKEL ERFAHREN SIE...• welche wesentlichen Entwicklungen sich in den letzten 15Jahren seit der Einführung von SSL vollzogen haben• mit welchen grundsätzlichen (Sicherheits)Herausforderungendie Akteure des E-Commerce sich befassen müssen und worindie Ursachen dafür zu suchen sind• eine grundlegende Einschätzung zu den Konsolidierungsbestrebungenfür die unterschiedlichen AuthentifizierungsmechanismenWAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• ein grundlegendes Verständnis von und für SSL• eine Sichtweise, die es ihnen erlaubt, die richtige Balance zwischenSicherheitsanliegen einerseits und Managementherausforderungenandererseits zu findenDieser Artikel ist eine strategische Bestandsaufnahmezum Thema SSL. Er wirft einen Blick zurückund skizziert die Notwendigkeit, zu einemeinheitlichen Standard bei der Benutzerüberprüfung zukommen.SSL im E-Commerce muss sich vor allen Dingen mitzwei Problemen befassen: zum einen der Offenheitdes Internets, also der Tatsache, dass jeder alles lesenkann, und zum anderen der Frage, wie sich die Beteiligtenuntereinander authentifizieren können.Heute, 15 Jahre nach seiner Geburtsstunde, sichert SSLjährlich mehr als 300 Milliarden US Dollar an E-Commerce-Umsatz,den B2B-Umsatz nicht mit eingerechnet. KeineAnwendung verwendet jedoch die in SSL gegossenePKI-Unterstützung, um Kunden in SSL zu authentifizieren.Unverkennbare Fortschritte,aber keine EinheitlichkeitKaum überraschen kann die Tatsache, dass Betrug imE-Commerce deutlich öfter als in den Transaktionender „realen, physikalischen“ Welt anzutreffen ist. Dasliegt aber vielleicht auch an der mangelhaften Authentifizierungbei Online-Zahlungen. Damit stellt sich aberfast zwangsläufig die Frage: Ist dieser Mangel die Folgeeiner Reaktion auf die Kosten, die mit Benutzer-Authentifizierungverbunden sind? Gibt es vielleicht dieBefürchtung, dass durch die Umsetzung der Zuspruchder Verbraucher leiden könnte? Wie auch immer dieSache liegt, klar ist dass man in Fragen der Authentifizierungin den letzen 15 Jahren erhebliche Fortschrittegemacht hat.Von Anfang an haben große Online-Händler wie Amazonoder eBay natürlich deshalb Kundenkonten ange-Abbildung 1. Key puzzle piece.1011/2010
Auf der Suche nach Einheitlichkeitmit Phishing oder Wörterbuch-Attacken an die Kennwörtervon Benutzern herankommt, werden zunehmendauch andere Faktoren überprüft – zum Beispielob die IP-Adresse des Benutzers, mit der er sich anmeldet,dieselbe ist, die ihm der Händler zugeordnet hat.Natürlich werden E-Commerce-Händler immer einKontensystem für ihre Kunden verwenden, jedoch ergebensich bei einem derartigen System eben immergewisse sicherheitsrelevante Probleme, wenn es übermehrere Ebenen hinweg umgesetzt werden soll. Dasaugenfälligste ist etwa die Tatsache, dass die Benutzermeist dasselbe Kennwort für mehrere zugangsbeschränkteSeiten verwenden. Damit haben Shop-Betreiberaber auch die Möglichkeit – und zwar vollkommenunnötigerweise – auf einen beträchtlichen Teil der persönlichenInformationen von Benutzern zuzugreifen.Abbildung 2. Key.Auch im Online-Bankingtickten die Uhren lange andersSelbst in Bereichen wie dem Online-Banking gab eseine Zeit lang keine weiteren Maßnahmen als die Benutzername-Kennwort-Konvention.Erst als die Anzahlder Phishing-Attacken exponentiell in die Höhe schoss,reagierte die Finanzindustrie und etablierte eine auszwei Faktoren bestehende Benutzerüberprüfung. Nurbefand jede Bank selbst, welche Faktoren dafür herangezogenwerden, denn bis heute gibt es keine einheitlilegt,um sich des Problems mit der Authentifizierung anzunehmenund eine enge Beziehung mit ihren Kundenzu pflegen. Aus diesem Grund hat heute jeder Internetnutzerdutzende von Kundenkonten im gesamten Web,die meisten folgen dabei einem Standard, der einer Benutzernamen-Kennwort-Konventionfolgt. Aber da manAbbildung 3. Risks ahead.hakin9.org/de 11
Seite 4: 11/2010INHALTSVERZEICHNISFÜR EINST
Seite 7 und 8: Passwort Cracking - Angriff- und Ab
Seite 9: Tabelle 1. Änliche ZahlenBuchstabe
Seite 13 und 14: Einfachsichersurfen.Abstand schafft
Seite 15 und 16: Der neue Personalausweis (nPA) - R
Seite 21 und 22: Kammerkonzert im Großen Saal - IT
Seite 23 und 24: 2010www.sigs-datacom.deKontakt: Anj
Seite 25: Kammerkonzert im Großen Saal - IT
Seite 29 und 30: Potenzial für De-Mail zur rechtsve
Seite 31 und 32: Minibis. Eine automatisierte Malwar
Seite 39 und 40: 12-11-2010Die IT-Security Community
Seite 41 und 42: RSMangler - Einstieg in Wortlisten
Seite 43: RSMangler - Einstieg in Wortlisten
Seite 46 und 47: die Time-to-market, steigern die Fl
Seite 48 und 49: Recommended CompaniesMabuntaDie mab

tools - Bites, Bytes and my 5 cents

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?