flux 10 Geschrieben 22. September 2011 Melden Teilen Geschrieben 22. September 2011 Hallo, ich hatte heute eine Prüfung. Dort kam die Frage bezüglich Benutzerverwaltung: "Warum reicht es (sicherheitstechnisch) nicht, sich nur mit einem Passwort anzumelden?" Mir fiel spontan dazu nur folgendes ein: Aus dem PW wird ein Hashwert erzeugt und in der Datenbank hinterlegt. Theoretisch könnte ein anderes Passwort den gleichen Hashwert erzeugen, daher ist ein Benutzername ein zusätzliches Sicherheitsmerkmal Zu Protokollierungszwecken braucht man einen Benutzernamen, also um festzuhalten Person X hat dann und dann dies und das gemacht. Fallen euch noch weitere Gründe ein, die einem evtl. ins Auge fallen und hier fehlen? MfG Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 22. September 2011 Melden Teilen Geschrieben 22. September 2011 Dazu kommt noch, dass unterschiedliche Berechtigungsstufen auch eine Benutzerunterscheidung erforderlich machen (z.B.: Admin, Abteilung A, ...B etc.) Zitieren Link zu diesem Kommentar
flux 10 Geschrieben 23. September 2011 Autor Melden Teilen Geschrieben 23. September 2011 Dazu kommt noch, dass unterschiedliche Berechtigungsstufen auch eine Benutzerunterscheidung erforderlich machen (z.B.: Admin, Abteilung A, ...B etc.) Hallo, diese Unterscheidung koennte doch anhand des passworts gemacht werden. Ich gebe nur mein passwort ein und erhalte zugriff auf mein konto mit bestimmten rechten. Warum also einen Benutzernamen? (abgesehen davon, dass es eine zusätzliche hürde gegen missbrauch wäre?) Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 23. September 2011 Melden Teilen Geschrieben 23. September 2011 Was passiert, wenn zwei Leute das selbe Kennwort haben? Ich denke dann wird relativ schnell klar, warum man mindestens zwei Komponenten benötigt. ;) bye Norbert Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 23. September 2011 Melden Teilen Geschrieben 23. September 2011 Hallo Flux, vielleicht googelst du mal nach den Begriffen, "Identifikation", "Autentifizierung" und "Authentisierung" Der Username dient der Identifikation, das PW dient der Authentifizierung. Ein Fingerabdruck kann -mit Abstrichen für die Security- für beides genutzt werden, Passwörter, wie Norbert schon geschrieben hat, natürlich nicht. blub Zitieren Link zu diesem Kommentar
LadyBelle 10 Geschrieben 23. September 2011 Melden Teilen Geschrieben 23. September 2011 Nun gut, ein interessantes Thema, aber was ist, wenn Herr Müller und Frau Müller beide den Namen ihres Haustigers als PW nehmen?;) Im besten Fall eine Benutzer-ID mit PW (und dahinter dann die jeweiligen Rechte- z.B. alle Benutzer mit der ID 1xxx sind admins.. etc) Belle Zitieren Link zu diesem Kommentar
s_sonnen 20 Geschrieben 23. September 2011 Melden Teilen Geschrieben 23. September 2011 Hi Belle. ... aber was ist, wenn Herr Müller und Frau Müller beide den Namen ihres Haustigers als PW nehmen? Die Identifikation sollte schon unique ausgeführt sein. Wenn Hr. und Fr. Müller einen eigenen Benutzer erhalten stellt sich das Problem nicht. Und das sollte in einer Userverwaltung eigentlich schon der Standard sein. ciao und ein angenehmes Wochenende M. Zitieren Link zu diesem Kommentar
MaikHSW 13 Geschrieben 23. September 2011 Melden Teilen Geschrieben 23. September 2011 Hey Sonnen. Die Lady sprach genau das Problem an, wenn man eben keinen User benutzt. @ TS Darf ich fragen, was das für eine Prüfung war? Gruß Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 23. September 2011 Melden Teilen Geschrieben 23. September 2011 Ein Passwort ist etwas was man weiß (something you know). Dies kann ausgespäht o.ä werden. Ein-Faktor Authentifizierung, nennt sich das. Füge einen zweiten Faktor hinzu, etwas das du hast (something that you own). Bekannt sind Token wie RSA SecurID Token. Nun benötigst du für eine erfolgreichen Authentifizierung dein Passwort (etwas was du weißt) UND dein RSA TOken (etwas was du hast). Dass ein Angreifer, dein Passwort ausspäht UND dein Token bzw. an einen gültigen Tokencode (gültig für 60sek) gelangt, ist viel unwahrscheinlicher. In Branchen und Umgebungen wo hohe Sicherheit notwendig ist, ist dies sehr oft so umgesetzt. cheers, Daniel Zitieren Link zu diesem Kommentar
MaikHSW 13 Geschrieben 23. September 2011 Melden Teilen Geschrieben 23. September 2011 Hey Daniel. Die Erklärung ist ja mal super. Gruß Zitieren Link zu diesem Kommentar
LadyBelle 10 Geschrieben 23. September 2011 Melden Teilen Geschrieben 23. September 2011 Dem kann ich mich nur anschließen- super erklärt! Belle Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 23. September 2011 Melden Teilen Geschrieben 23. September 2011 Bitte, gern geschehen :) cheers, Daniel Zitieren Link zu diesem Kommentar
flux 10 Geschrieben 23. September 2011 Autor Melden Teilen Geschrieben 23. September 2011 Danke für eure Antworten. Was passiert, wenn zwei Leute das selbe Kennwort haben? Dies deckt sich ziemlich mit meiner Rechtfertigung für Benutzername UND Passwort (siehe den 1. Punkt meines Eingangsbeitrags). Doch nicht so kompliziert wie ich dachte :) EDIT: Dass ein Angreifer, dein Passwort ausspäht UND dein Token bzw. an einen gültigen Tokencode (gültig für 60sek) gelangt, ist viel unwahrscheinlicher. Guter Einwand, gilt aber nur dann, wenn es einen "Token" gibt (vs. reiner String als Benutzername) @MaikHSW: Darf ich fragen, was das für eine Prüfung war? Eine Art Vordiplom in meinem Studium Zitieren Link zu diesem Kommentar
MaikHSW 13 Geschrieben 25. September 2011 Melden Teilen Geschrieben 25. September 2011 Hey flux. Ein Vordiplom im Studium? Was studierst du denn? In meinem Studium kamen derartige Fragen bisher nie dran, eben weil sie mit einiger Fantasie selbst lösbar sind. Und das sogar ohne Studium :-) Gruß Zitieren Link zu diesem Kommentar
LadyBelle 10 Geschrieben 26. September 2011 Melden Teilen Geschrieben 26. September 2011 Ich weiß, dass solche Fragen zuweilen im mündlichen Info-Abi vorkommen. Eben wie Maik sagte, Fragen, wo man nicht extremes Vorwissen braucht. Was mich neben dem Was du studierst noch interessieren würde, wäre das Wo. Denn es ist ja bekanntlich recht ..facettenreich wie die einzelnen Studiengänge aufgebaut sind. Bei mir hieß es auch, dass man absolut keine Vorkenntnisse braucht und lernte im ersten Semester erstmal 2 Programmiersprachen bzw. deren Optimierung (Grundkenntnisse kann man sich ja von Kommilitonen erklärn lassen;)) Belle Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.