5 Authentifizierung
5.2 Menschliche Faktoren im Authentifizierungsprozess

Mehrere Authentifizierungsszenarien verwenden Public-Key-Verschlüsselungsverfahren (Public Key-Kryptographie). Ein Benutzer kann zum Beispiel eine Chipkarte besitzen, die den entsprechenden öffentlichen Schlüssel und einen privaten Schlüssel beinhaltet. Während der Benutzerauthentifizierung, sendet das System eine zufällige Herausforderung. Der Benutzer unterschreibt die Herausforderung mit seinem privaten Schlüssel und sendet das Ergebnis. System verifiziert die Signatur mit einem öffentlichen Schlüssel. Auf diese Weise kann das System den Benutzer authentifizieren, ob er den richtigen privaten Schlüssel hält ohne die Notwendigkeit, den Schlüssel zu akzeptieren. Statt einer Speicherung des öffentlichen Schlüssel in einer Datei auf dem Remote-System, kann eine Smartcard eine Herausforderung und ein unterzeichnetes Zertifikat des öffentlichen Schlüssels erzeugen, das von einem Dritten unterzeichnet wird. Dies ist als Public Key Infrastructure (PKI) benannt und basiert auf den ITU-T-Spezifikationen.

Abb. 4.4 zeigt die in dem Authentifizierungsprozess beteiligten Stellen. Bei jedem Schritt dieses Verfahrens kann ein potentieller Angreifer Zugriff auf den Authentifizierungsschlüssel erhalten.

image
Abb. 4.4 – Entitäten in dem Authentifizierungsprozess beteiligt    

Der empfindlichste Bereich ist das Eingabegerät und der Benutzer. Wenn die Authentifizierung auf Wissen (Passwörter, PIN, etc.) basiert, muss sich der Benutzer den Geheimschlüssel einprägen. Das Passwort merken, ist für viele Menschen schwierig, sie teilen oft und bewusst ihr Passwort mit jemandem oder notieren es auf Papier.

Sicherheit kann nicht mit Hardware allein gelöst werden, da die Benutzer ein Teil des Authentifizierungsprozesses sind [10].