SUCHE MIT Google
Web virtualuniversity.ch
HOME DIDAKTIK ECDL ELEKTRONIK GUIDES HR MANAGEMENT MATHEMATIK SOFTWARE TELEKOM
DIENSTE
Anmeldung
Newsletter abonnieren
Sag's einem Freund!
VirtualUniversity als Startseite
Zu den Favoriten hinzufügen
Feedback Formular
e-Learning für Lehrer
Spenden
Autoren login
KURSE SUCHEN
Kurse veröffentlichen

Suche nach Datum:

Suche mit Schlüsselwort:

Suche nach Land:

Suche nach Kategorie:
PARTNER
ausbildung24.ch - Ausbildungsportal, Seminare, Kursen... 

 
HTMLopen.de - Alles was ein Webmaster braucht

 
PCopen.de - PC LAN Netze und Netzwerke - alles was ein IT Profi und Systemtechnicker braucht

GUIDES UND TUTORIAL

Benutzer-Zugang

In Mehrbenutzersystemen ist es üblich, jedem Einzelbenutzer eine fest eingegrenzte Arbeitsumgebung zu bieten, die ihn von anderen Benutzern abschirmt:
  • Prozesse eines Benutzers können gleichzeitig laufende Prozesse anderer Benutzer nicht beeinflussen (Speicherschutz, etc.)
  • Auf Dateien eines Benutzers können andere Benutzer nur mit dessen ausdrücklicher Erlaubnis zugreifen
  • Für gemeinsam genutzte Rsourcen und Dateien können definierte Zugriffsrechte vergeben werden
  • Die Nutzungsdauer (Rechenzeit), der Zeitraum der Nutzung (z. B. nur von 8 ... 17 Uhr) oder die maximal zu beanspruchende Plattenkapazität können festgelegt werden
  • Zu Beginn der Arbeit am Rechner (login) muß sich der Benutzer identifizieren (Benutzerauthentität)

Bei besonders kritischer Rechnerumgebung kann es sogar wünschenswert erscheinen, daß sich die Benutzer beim Aufruf bestimmter Programme nochmals identifizieren müssen.
Die o. g. Schutzmaßnahmen sind ins BS integriert (z. B. Prozeß-Schutz oder Dateischutz). Die Benutzeridentifikation wird durch ein eigenes Login-Programm vollzogen.
Spezielle Geräte erfordern besondere Schutzmaßnahmen; so ist es inzwischen üblich, bei Benutzern, die sich über einen Modem (also per Telefon) anmelden, diesen nicht sofort Zugang zum Rechner zu gewähren, sondern den Anschluß des Benutzers vom Rechner aus zurückzurufen. Zusätzliche Aufgaben der Benutzerverwaltung betreffen Abrechnungsinformationen:

  • die Zeit, die der Benutzer angemeldet ist
  • die verbrauchte Rechenzeit
  • die Verweilzeit von Prozessen im Rechner
  • Zugriff und Nutzung der Ressourcen (Platte, Drucker, etc.)
Derartige Informationen werden in bestimmten Dateien des Betriebssystems protokolliert (sogenammte 'Logfiles'), deren Information statistisch ausgewertet werden kann.

Arten der Autorisierung

  • Knowledge: Passwort, PIN Dies ist der derzeit häufigste Fall. Das Verfahren ist einfach zu implementieren, Passwörter und PINs können geändert werden. Sie lassen sich jedoch auch unbemerkt und einfach kopieren. Sichere Passwörter müssen lang sein und sollten oft geändert werden. Sie sind daher für die Benutzer schwer zu handhaben. Passwörter/PINs können vergessen werden.
  • Challenge: Es wird eine Frage gestellt, deren Antwort überprüft wird und die nur die autorisierte Person wissen sollte. Das Frage-Antwort-Protokoll kann auch auf kryptographischen Verfahren basieren (Public Key Kryptosysteme). Auch eine Liste von Einmal-TANs gehört in diese Rubrik.
  • Token: Schlüssel, Smartcard, Secure ID Card, usw. Mit 'Token' wird als etwas 'greifbares' bezeichnet. Tokens sind einfach in der Anwendung. Sie lassen sich zudem mit anderen Sicherungssystemen/Datenerfassungssystemen z.B. Zeiterfassung oder Paßwort kombinieren.Unbemerkte Kopien sind schwierig bis unmög-lich. Ein Nachteil ist der Kostenaufwand durch zusätzliche Hardware. Karten oder Schlüs-sel können vergessen oder verloren werden. Die unbefunge Benutzung verlorener Tokens ist möglich.
  • Biometrie: Fingerabdruck, Gesichtserkennung, Irisscan, Schriftdynamik, Tippverhalten, DNA-Analyse, usw. Auch Biometrieverfahren sind einfach in der Anwendung. Biometrische Merkmale können nicht vergessen werden. Derzeit (2002) sind die angebotenen Verfahren jedoch noch nicht für allemeine Anwendung geeignet. Einfache Sensoren lassen sich relativ leicht austricksen, z.B. durch Kopie eines Funkgerabdrucks oder Fotos. Der Kostenaufwand durch zusätzliche Hardware ist noch recht hoch. Biometrische Informationen lassen sich schwer oder gar nicht ändern.

Das Paßwort ist der kritische Punkt in jeder Benutzerauthentisierung. Man hat deshalb die Sicherheit von Paßwortprüfungen ständig verbessert.

  1. Paßworte werden einwegverschlüsselt gespeichert. Sie sind nicht entschlüsselbar. Die Prüfung erfolgt durch Einwegverschlüsselung der Tastatureingabe und Vergleich der beiden einwegverschlüsselten Bitmuster.
  2. Paßworte müssen eine definierte Mindest- und Maximallänge haben.
  3. In einer Liste festgelegte Worte oder Wortbestandteile dürfen nicht verwendet werden, um leicht zu erratende "weiche" Paßworte wie "System", "Test" usw. zu verhindern.
  4. Paßworte müssen nach Ablauf einer definierten Frist geändert werden.
  5. Paßworte dürfen nicht oder erst nach n-maliger Änderung wieder benutzt werden.

Trotzdem ist das Paßwort in Verruf geraten, weil seine Sicherheit ausschließlich vom sorgfältigen Umgang des Benutzers abhängt. Befragungen von Computerbenutzern haben immer wieder ergeben, daß sie das Paßwort nur allzu sorglos behandeln.
Eine vernünftige Paßwortpolitik trägt in sehr wesentlichem Maße zur Sicherheit bei. Dies setzt voraus, daß die Benutzer die Bedeutung von Paßwörtern und deren Verwendung respektieren. Es gibt jedoch von Unternehmen zu Unternehmen und von Mitarbeiter zu Mitarbeiter große Unterschiede im Grad der Paßwortdisziplin. Die wenigsten Mitarbeiter würden auch nur davon träumen, die ID-Karte ihrer Firma irgendwo liegenzulassen, wohingegen dieselbe Person weit größere Nachlässigkeit im Zusammenhang mit der Wahl oder Weitergabe von Paßwörtern zeigt. Nutzlose Paßwörter, wie z. B. der Vorname des Benutzers oder gleich die Benutzer-ID, kommen auch häufig vor.
Damit die Paßwörter effektiv angewendet werden, ist es notwendig, eine Reihe von Richtlinien in Form einer entsprechenden Paßwortpolitik festzulegen. Die Paßwortpolitk des lokalen Netzes sollte Richtlinien für folgende Punkte enthalten:

  • Mindestlänge des Paßworts (Mindestanzahl von Zeichen)
  • Bestandteile eines Paßworts (Buchstaben, numerische Zeichen und Sonderzeichen)
  • Maximaler Gültigkeitszeitraum eines Paßworts und Regeln für die obligatorische Erneuerung sowie Begrenzungen für die Wiederverwendung von Paßwörtern.
  • Protokollierung der Benutzeraktionen nach einer vorgegebenen Anzahl mißglückter Login-Versuche.
  • Regeln für die Übertragung von Paßwörtern an andere.

Im Gegensatz zu einem physischen Gegenstand, wie z. B. ein Schlüssel, dessen Verlust man bemerkt, kann ein Paßwort entschlüsselt werden, ohne daß sich der Benutzer dessen unmittelbar bewußt wird. Dagegen hilft nur die zeitliche Begrenzung des Gültigkeitszeitraums von Paßwörtern. Die Regel sollte streng gehandhabt werden, d. h. Sperrung von Benutzer-IDs, die es unterlassen, ihr Paßwort zu ändern. Müssen Paßwörter zu häufig aktualisiert werden, tendieren die Benutzer dazu, Paßwörter aufzuschreiben. Bei 30-tägiger Paßwortlebensdauer neigen viele Benutzer dazu, den Monatsnamen als Paßwort zu verwenden. Benutzer-ID und Paßwort dürfen nie von mehreren Benutzern gleichzeitig verwendet werden. Paßwörter müssen streng vertraulich und persönlich sein. Ein Benutzer darf unter keinen Umständen sein Paßwort an andere weitergeben.

Die Paßwortpolitik des Netzes sollte aus den Benutzungsrichtlinien deutlich hervorgehen und konsequent gehandhabt werden. Eine starke Authentisierung, wie sie zunehmend gefordert wird, kann jedoch nicht mehr auf dem Paßwort basieren. Sie kann beispielsweise auf dem "Challenge-Response"-Prinzip beruhen. Voraussetzung hierfür ist neben der Software ein sogenannter Token, ein spezieller Taschenrechner im Kreditkartenformat mit Tastatur, Verschlüsselungsprozessor und persönlichem Schlüssel (z.B. die SecureID-Card). Zunächst muß sich der Benutzer des Tokens durch Eingabe seiner PIN als berechtigter Besitzer ausweisen. Wenn der Benutzer sich am Computersystem anmelden möchte, generiert dieser eine Zufallszahl (Challenge), die am Bildschirm erscheint. Der Benutzer tippt die Challenge in seinen Token ein, der durch Verschlüsselung die Antwort (Response) ermittelt. Diese wiederum wird als Paßwort in die Computertastatur eingegeben und vom Computersystem verifiziert. Manche Tokens, wie z.B. SecureID, generieren die Zufallszahl zeitabhängig selbst, so daß eine Eingabe entfällt. Challenge-Response hat folgende Vorteile:

  1. Ein Paßwort besteht immer nur für eine Sitzung. Ein Hacker, der das Paßwort abfangen würde, könnte damit nichts anfangen, weil bei der nächsten Anmeldung ein neues Paßwort generiert wird.
  2. Es wird das Prinzip "Besitz und Wissen" angewendet. Ein Benutzer muß über einen Token verfügen und die richtige PIN kennen. Ein verlorener Token ist für den Finder solange wertlos, solange die PIN unbekannt bleibt.

Die Verwendung von SmartCards als Token anstelle des speziellen Rechners macht die starke Authentisierung benutzerfreundlicher und sehr sicher. Das Verfahren ist ähnlich, läuft aber im wesentlichen automatisch ab. Die einzige Aktion des Benutzers besteht aus seiner Authentisierung gegenüber der SmartCard durch Eingabe einer PIN oder durch ein biometrisches Merkmal. Danach fordert der Host die SmartCard durch Übermittlung einer Random-Zahl heraus (Challenge). Die SmartCard errechnet die Antwort und sendet sie an den Host zurück, der sie verifiziert (Response). Nachdem die Anwendung von SmartCards nicht mehr so teuer ist, hat sie nur noch Vorteile gegenüber den auf Taschenrechnem basierenden Tokens.

Möglichkeiten der Benutzerverwaltung im Netzwerk

Die einfachste Möglichkeit stellt die Arbeitsgruppe dar, wie sie beispielsweise bei Windows 95/98/ME oder MacOS zu finden ist. Es gibt keine zentrale Benutzerverwaltung. Der Verwaltungsaufwand ist gering, aber nur für wenige Benutzer und Rechner geeignet ('Wohngemeinschafts-Netz'). Bei größeren Systemen greift man zum 'Domänen-Service', wie er beim Windows NT/2000 Server (mit Domain Controler) oder bei NIS, NIS+ (Network Informationen Services, zuerst bei UNIX verwendet), NDS (Network Directory Services von Novell) und LDAP (Lightweight Directory Access Protocol, eine vereinfachte und für das TCP/IP-Protokoll angepaßte Version des X.500 Protokolls). Die Benutzerverwaltung erfolgt zentral für alle Rechner. Das System ist übersichtlich, leichter zu warten und bietet hohe Sicherheit im Betrieb und Kontrolle. Nachteil: Benutzung ist von zentralen Komponenten abhängig.

Die zentrale Benutzerverwaltung kann man in zwei Gruppen einteilen:

  • Flache Benutzerverwaltung, bei der alle Benutzer/Gruppen/Rechner, Services und Shares (Freigaben) in einen einzigem Verzeichnis liegen (z.B.: Windows NT 4.0/2000, Unix, Netware 3.X). Sie ist geeignet für bis zu 100 Rechner und eine homogene Benutzergruppe.
  • Strukturierte (baumartige) Benutzerverwaltung, wie bei Netware 4 bis 6, NDS on Unix, NDS on NT, NDS on SAA, Windows 2000 mit AD, LDAP. Sie istgeeignet für beliebig viele Rechner und eine beliebige Benutzergruppe.

DIPLOMARBEITEN UND BÜCHER

Diplomarbeiten zum Runterladen:

Suche im Katalog:
Architektur / Raumplanung
Betriebswirtschaft - Funktional
Erziehungswissenschaften
Geowissenschaften
Geschichtswissenschaften
Informatik
Kulturwissenschaften
Medien- und Kommunikationswissenschaften
Medizin
Psychologie
Physik
Rechtswissenschaft
Soziale Arbeit
Sozialwissenschaften


JOBS
HOME | E-LEARNING | SITEMAP | LOGIN AUTOREN | SUPPORT | FAQ | KONTAKT | IMPRESSUM
Virtual University in: Italiano - Français - English - Español
VirtualUniversity, WEB-SET Interactive GmbH, www.web-set.com, 6301 Zug

Partner:   Seminare7.de - PCopen.de - HTMLopen.de - WEB-SET.com - YesMMS.com - Ausbildung24.ch - Manager24.ch - Job und Karriere