Cryptography Reference
In-Depth Information
22
Verteilte Authentifizierung
Alices Arbeitgeber Krypt & Co. betreibt drei Server-Anwendungen: ein Webpor-
tal, eine Datenbank und ein Zeiterfassungssystem. Auf alle drei kann Alice von
ihrem PC aus über ein lokales Netz zugreifen. Selbstverständlich ist die Kommu-
nikation zwischen PC und Server stets verschlüsselt, und Alice muss sich vor der
Nutzung jeweils authentisieren. Leider ist das etwas umständlich: Das Webportal
fordert ein mindestens achtstelliges Passwort mit Sonderzeichen, die Datenbank
ist durch eine Smartcard gesichert, und die Zeiterfassung liest ein vierstelliges
Passwort ein. Alice muss sich also mit drei unterschiedlichen Authentifizierungs-
methoden herumschlagen und sich dabei zwei verschiedene Passwörter merken.
Da IT-Anwender grundsätzlich faul und desinteressiert sind, kann es schnell pas-
sieren, dass Alice ihre Passwörter aufschreibt oder ab und zu eines vergisst. Die
Folge sind unnötige Sicherheitsmängel und zusätzliche Arbeit für die IT-Abtei-
lung. Man kann also folgende Forderungen formulieren: Wenn mehrere Server
jeweils ihre eigene Authentifizierung durchführen, dann sollte nicht jeder sein
