tools - Bites, Bytes and my 5 cents
11.07.2015 Aufrufe
Teilen Einbetten Melden

tools - Bites, Bytes and my 5 cents

tools - Bites, Bytes and my 5 cents

tools - Bites, Bytes and my 5 cents

MEHR ANZEIGEN
WENIGER ANZEIGEN
ePAPER LESEN
ePAPER HERUNTERLADEN
blog.encodingit.ch

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.

JETZT STARTEN

PRAXISche Technologie dafür – und zwar weder im E-Commercenoch im Online-Banking.Ein ganz normaler Anmeldevorgang auf der Websiteeiner Bank kann diesen zweigliedrigen Vorgang illustrieren:Wird das Laptop, von dem aus sich ein Benutzeranmeldet, als dasselbe Laptop erkannt, von dem er sichbereits zuvor angemeldet hat, ist alles in Ordnung. Wenner jedoch einen neuen Rechner oder vielleicht einen PCim Büro verwendet, verhält sich die Sache <strong>and</strong>ers. Dannmuss er sich zum Beispiel einer Reihe von Fragen unterziehen– eine st<strong>and</strong>ardisierte wissensbasierende Taktik.Diese Idee lässt sich in etwa so zusammenfassen:Wenn der Site-Betreiber nicht weiß, ob das Laptop wirklichJohn Smith gehört, stellt er seinem gegenwärtigenBenutzer einige Fragen. Wenn der all diese Fragen korrektbeantwortet, vertraut der Betreiber darauf, dass essich bei dem Nutzer in der Tat um John Smith h<strong>and</strong>elt.Aber auch eine so etablierte Verbindung (Session)kann immer noch durch Malware in Beschlag genommenwerden. Deshalb benötigt man eine zweite Schichtder Überprüfung auf Transaktionsbasis: Wenn manzum Beispiel Geld aus einem Konto auf ein <strong>and</strong>eresüberweist, erscheint eine sekundäre Authentifizierungsboxund fordert den Benutzer dazu auf, ein CAPTCHAzu tippen oder ein Kennwort nochmals einzugeben.Das soll Malware davon abhalten, Transaktionen währendeiner überprüften Sitzung zu Lasten der Benutzerzu verschicken.Das Ergebnis ist, dass es heute eine recht große Zahlvon verschiedenen Authentifizierungsmechanismengibt, die die Benutzer im Web über sich ergehen lassenmüssen, um sich gegenüber unterschiedlichen Websiteszu authentifizieren.Der Konsolidierungsgedanke ist nicht neuNatürlich gibt es schon seit geraumer Zeit einige Bestrebungen,den Authentifizierungsprozess im E-Commercezu konsolidieren oder wenigstens etwas zu vereinheitlichen– zum Beispiel die Ideen der Identity Federationund die Bemühungen der Liberty Alliance. Diesesind auch allesamt gut, jedenfalls aus technischerSicht. Das Problem ist, dass die Geschäftsmodelle einfachim Weg stehen.So wollen Anbieter nicht notwendigerweise, dass <strong>and</strong>ereAnbieter wissen, wer ihre Kunden sind. Eine Identitätetwa von einer Bank an einen Webshop weiterzuleiten,ist ein eindeutiger Hinweis darauf, dass die fraglichePerson ein Kunde der Bank ist – und genau dieseInformationen will niem<strong>and</strong> gerne teilen.Also kann man festhalten, dass geschäftliche Interessender Idee eines Identitäten-Bündnisses im Webim Wege stehen. Eben das war jedoch das mit der LibertyAlliance verfolgte Ziel, als sie vor Jahren trotz derOpen-ID-Ansätze, Microsoft-Konzepte oder sonstigerIdeen zur Konsolidierung im E-Commerce ins Lebengerufen wurde.Noch immer schützt SSL 100 Prozent des E-Commerce-Aufkommens,eine faszinierende Tatsache. Unddennoch gibt es keine SSL-Authentifizierung oder sonstigeeinheitliche E-Commerce-Benutzerüberprüfung.Wenn aber die Benutzerüberprüfung ein Teil der Infrastrukturstatt nur eine Funktion einer spezifischenWebsite würde, dann würde auch das Vertrauen inden E-Commerce und davon angetrieben auch seinWachstum deutlich zulegen. Und da es E-Commercenun schon seit einiger Zeit gibt, gibt es möglicherweiseauch Wege, Benutzer nur über das Web zu identifizierenohne sie selbst wieder und wieder mit einzubinden.Irgendwie schienen auch die Schwierigkeiten, dieman in den frühen Tagen von PKI feststellte, nahezulegen,dass es ein beträchtliches Problem sein müsste,ein digitales Zertifikat für Benutzer auszustellen. Wennman diese Herausforderung aus heutiger Sicht untersucht,kommt man möglicherweise zu dem Ergebnis,dass sich das Problem verhältnismäßig einfach lösenlässt, indem man den Benutzern eine starke, aber einfachzu verwendende Authentifizierungstechnologie <strong>and</strong>ie H<strong>and</strong> gibt, eine Technologie also von der alle profitierenkönnen.DR. TAHER ELGAMALDer Author gilt in der IT-Welt als der „Erfinder“ von SSL undkümmerte sich zum Beispiel um die SSL-Bestrebungen bei Netscape.Zudem schrieb er das SSL-Patent und setzte sich in verschiedenenGremien der Branche für SSL als Internetsicherheitsst<strong>and</strong>ardein. Ferner erf<strong>and</strong> Dr. Elgamal mehrere Branchen-und Regierungsst<strong>and</strong>ards für Datensicherheit und digitaleSignaturen – zum Beispiel DSS. Der gebürtige Ägypter istfür zahlreiche Unternehmen als Beirat und für Axway, die BusinessInteraction Networks Company,als Chief Security Officertätig. Seine Promotion erlangte Taher Elgamal an der renommiertenStanford University.1211/2010

logo

Produkte

Ressourcen

Unternehmen

AGB
Datenschutzerklärung
Cookie-Richtlinien
Cookie-Einstellungen
Impressum
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!