Jump to content

Warum reicht PW alleine nicht?

flux

Von flux
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

flux Contributor

flux   10

Geschrieben
Geschrieben

Hallo,

 

ich hatte heute eine Prüfung. Dort kam die Frage bezüglich Benutzerverwaltung:

"Warum reicht es (sicherheitstechnisch) nicht, sich nur mit einem Passwort anzumelden?"

 

Mir fiel spontan dazu nur folgendes ein:

  1. Aus dem PW wird ein Hashwert erzeugt und in der Datenbank hinterlegt. Theoretisch könnte ein anderes Passwort den gleichen Hashwert erzeugen, daher ist ein Benutzername ein zusätzliches Sicherheitsmerkmal
  2. Zu Protokollierungszwecken braucht man einen Benutzernamen, also um festzuhalten Person X hat dann und dann dies und das gemacht.

 

Fallen euch noch weitere Gründe ein, die einem evtl. ins Auge fallen und hier fehlen?

 

 

MfG

Link zu diesem Kommentar
flux Contributor

flux   10

Geschrieben
  • Autor
Geschrieben
Dazu kommt noch, dass unterschiedliche Berechtigungsstufen auch eine Benutzerunterscheidung erforderlich machen (z.B.: Admin, Abteilung A, ...B etc.)

 

Hallo,

 

diese Unterscheidung koennte doch anhand des passworts gemacht werden. Ich gebe nur mein passwort ein und erhalte zugriff auf mein konto mit bestimmten rechten.

 

Warum also einen Benutzernamen? (abgesehen davon, dass es eine zusätzliche hürde gegen missbrauch wäre?)

Link zu diesem Kommentar
blub Grand Master

blub   115

Geschrieben
Geschrieben

Hallo Flux,

vielleicht googelst du mal nach den Begriffen, "Identifikation", "Autentifizierung" und "Authentisierung"

Der Username dient der Identifikation, das PW dient der Authentifizierung.

 

Ein Fingerabdruck kann -mit Abstrichen für die Security- für beides genutzt werden, Passwörter, wie Norbert schon geschrieben hat, natürlich nicht.

 

blub

Link zu diesem Kommentar
s_sonnen Experienced

s_sonnen   20

Geschrieben
Geschrieben

Hi Belle.

 

... aber was ist, wenn Herr Müller und Frau Müller beide den Namen ihres Haustigers als PW nehmen?

 

Die Identifikation sollte schon unique ausgeführt sein. Wenn Hr. und Fr. Müller einen eigenen Benutzer erhalten stellt sich das Problem nicht. Und das sollte in einer Userverwaltung eigentlich schon der Standard sein.

 

ciao und ein angenehmes Wochenende

M.

Link zu diesem Kommentar
jarazul Experienced

jarazul   10

Geschrieben
Geschrieben

Ein Passwort ist etwas was man weiß (something you know). Dies kann ausgespäht o.ä werden. Ein-Faktor Authentifizierung, nennt sich das.

 

Füge einen zweiten Faktor hinzu, etwas das du hast (something that you own). Bekannt sind Token wie RSA SecurID Token.

 

Nun benötigst du für eine erfolgreichen Authentifizierung dein Passwort (etwas was du weißt) UND dein RSA TOken (etwas was du hast). Dass ein Angreifer, dein Passwort ausspäht UND dein Token bzw. an einen gültigen Tokencode (gültig für 60sek) gelangt, ist viel unwahrscheinlicher.

 

In Branchen und Umgebungen wo hohe Sicherheit notwendig ist, ist dies sehr oft so umgesetzt.

 

 

cheers, Daniel

Link zu diesem Kommentar
flux Contributor

flux   10

Geschrieben
  • Autor
Geschrieben

Danke für eure Antworten.

 

Was passiert, wenn zwei Leute das selbe Kennwort haben?

 

Dies deckt sich ziemlich mit meiner Rechtfertigung für Benutzername UND Passwort (siehe den 1. Punkt meines Eingangsbeitrags).

 

Doch nicht so kompliziert wie ich dachte :)

 

EDIT:

Dass ein Angreifer, dein Passwort ausspäht UND dein Token bzw. an einen gültigen Tokencode (gültig für 60sek) gelangt, ist viel unwahrscheinlicher.

 

Guter Einwand, gilt aber nur dann, wenn es einen "Token" gibt (vs. reiner String als Benutzername)

 

@MaikHSW:

Darf ich fragen, was das für eine Prüfung war?

 

Eine Art Vordiplom in meinem Studium

Link zu diesem Kommentar
LadyBelle

LadyBelle   10

Geschrieben
Geschrieben

Ich weiß, dass solche Fragen zuweilen im mündlichen Info-Abi vorkommen. Eben wie Maik sagte, Fragen, wo man nicht extremes Vorwissen braucht.

Was mich neben dem Was du studierst noch interessieren würde, wäre das Wo. Denn es ist ja bekanntlich recht ..facettenreich wie die einzelnen Studiengänge aufgebaut sind.

Bei mir hieß es auch, dass man absolut keine Vorkenntnisse braucht und lernte im ersten Semester erstmal 2 Programmiersprachen bzw. deren Optimierung (Grundkenntnisse kann man sich ja von Kommilitonen erklärn lassen;))

 

Belle

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...