Authentifizierungsfunktionen

Speichern von Anmeldeinformationen

Vorwort
Der Server, der den Benutzer authentifiziert, muss ermitteln können, ob die anmeldeinformationen gültig sind. Zu diesem Zweck muss
er Informationen speichern, mit deren Hilfe er die Anmeldeinformationen überprüfen kann. Wie und wo diese Informationen gespeichert
sind, sind wichtige Entscheidungen, die beim Einwerfen eines Authentifizierungsmodells getroffen werden müssen.

Die Art und Weise, wie Anmeldeinformationen gespeichert werden, kann sich auf den Umstand auswirken, wie schwierig der
Missbrauch dieser Informationen durch einen Hacker ist und ob diese Anmeldeinformationen in der Zukunft auf eine neues
Authentifizierungssystem migrieren können. Selbstverständlich ist es wichtig, dass diese Informationen vertrauchlich bleiben. Statt also
einfach eine Liste der Benutzerkennwörter auf einem Server abzulegen, in der das vom Benutzer eingegebene Kennwort dann gesucht wird,
speichert man in der Regel eine verschlüsselte oder eine Hashversion des Benutzerkennworts. Erhält ein Angreifer nun Zugriff auf die auf
dem Server liegende Kopie der Anmeldinformationen eins Benutzers, dann muss er deren Inhalt erst entschlüsseln, bevor er die Identität
des Benutzers annehmen kann.

Praxisinformation
Vom Anfang der Computergeschichte an basierten weiverbreitete Sicherheitsangriffe sehr häufig darauf, dass der Angreifer Zugriff
auf die Kennwortdatei des Betriebssystems erhielt. Als Mehrbenutzer-Computersysteme erfunden wurden, maßen die Entwickler
der Sicherheit keine Bedeutung zu, und Kennwortdateien wurden häufig unverschlüsselt angelegt. Jeder, der sich Zugang zur
Kennwortdatei verschaffen konnte, konnte die Kennwärter aller Benutzer einfach auslesen.Später verwendeten Betriebssystementwickler
verschiedene Verschlüsselungs- und Hashingmethoden, um die Anmeldeinformationen verschleiern. Dies war ein riesiger Schritt
vorwärts, denn der zufällige Angreifer konnte die Dateien nicht lesen, ohne sie zuvor zu entschlüsseln. Allerdings haben Sicherheitsexperten
(ob von der guten oder bösen Seite) immer eine Menge Energie darauf verwandt, Wege zu finden, um Anmeldeinformationen aus
abgefangenen Kennwortdateien zu extrahieren. Im Laufe der Zeit haben diese Sicherheitsexperten Mittel gefunden, um innerhalb
einer angemessenen Zeitspanne praktisch jedes Kodierschema zu entschlüsseln, das Betreibssystementwickler
zum Schutz der Kennwortdateien geschaffen hatten. Diese Tendenz wird sich wohl auch in Zukunft fortsetzen; Sie aber können das Risiko des
missbräuchlichen Zugriffs auf Ihre Kennwortdatei verringern, indem Sie von Ihren Benutzern die Erstellung starker Kennwörter und deren
regelmäßige Änderung verlangen und selbst Hackerprogramme einsetzen, um leicht zu knackende Kennwörter zu ermitteln, die geändert werden sollten.

Bei der Auswahl der Speicherposition für die Anmeldeinformation müssen Sie sich zunächst zwischen einem zentralisierten und einem
dezentralisierten Authentifizierungsmodell entscheiden. Bei dezentralisierten Authentifizierungsmodellen verfügt jede Netzwerkressource
über eine Liste der Benutzer und ihrer Anmeldeinformationen. Zwar erhalten Sie auf diese Weise umfassende Kontrolle darüber, welcher Benutzer
sich bei den Netzwerkressourcen authentifizieren können, andererseits aber ist es bei einem solchen Modell praktisch umöglich, Netzwerke mit
mehr als einer Handvoll Server zu verwalten. in Windows Netzwerken verfügt jeder Server über eine Liste der lokalen Benutzer, die zur
Implementierung dezentralisierten Authentifizierungsmodells verwenden werden kann.

Zentralisierte Authentifizierungsmodelle ermöglichen eine erheblich einfachere Verwaltung großer Netzwerke, wodurch die Kennwortverursachten
Helpdeskkosten verringert werden. Im zentralisierten Modell sind Netzwerkressourcen auf eine zentrale Anlaufstelle zur Authentifizierung von
Benutzern angewiesen. Die zentralisierte Authentifizierung muss in Umgebungen eingesetzt werden, in denen Benutzer mit identischen
Anmeldeinformationen auf alle Netzwerkressourcen zugreifen können sollen - eine Idealsituation, die man auch unter der Bezeichnung
Einzelanmeldung (eng. Single Sign-On) kennt. In Windows Netzwerken wird die zentralisierte Authentifizierung mithilfe von Active Directory
Domänen ermöglicht. Größere Netzwerke können mehrere Domänen mit Vertrauensstellungen verwenden und so Benutzer in der Domäne
für die Verwendung von Ressourcen in einer anderen Domäne autorisieren

Erstellt von: Haßlinger Stefan
Im: Jahr 2006