ich hatte heute eine Prüfung. Dort kam die Frage bezüglich Benutzerverwaltung:
"Warum reicht es (sicherheitstechnisch) nicht, sich nur mit einem Passwort anzumelden?"
Mir fiel spontan dazu nur folgendes ein:
Aus dem PW wird ein Hashwert erzeugt und in der Datenbank hinterlegt. Theoretisch könnte ein anderes Passwort den gleichen Hashwert erzeugen, daher ist ein Benutzername ein zusätzliches Sicherheitsmerkmal
Zu Protokollierungszwecken braucht man einen Benutzernamen, also um festzuhalten Person X hat dann und dann dies und das gemacht.
Fallen euch noch weitere Gründe ein, die einem evtl. ins Auge fallen und hier fehlen?
Dazu kommt noch, dass unterschiedliche Berechtigungsstufen auch eine Benutzerunterscheidung erforderlich machen (z.B.: Admin, Abteilung A, ...B etc.)
Hallo,
diese Unterscheidung koennte doch anhand des passworts gemacht werden. Ich gebe nur mein passwort ein und erhalte zugriff auf mein konto mit bestimmten rechten.
Warum also einen Benutzernamen? (abgesehen davon, dass es eine zusätzliche hürde gegen missbrauch wäre?)
Hallo Flux,
vielleicht googelst du mal nach den Begriffen, "Identifikation", "Autentifizierung" und "Authentisierung"
Der Username dient der Identifikation, das PW dient der Authentifizierung.
Ein Fingerabdruck kann -mit Abstrichen für die Security- für beides genutzt werden, Passwörter, wie Norbert schon geschrieben hat, natürlich nicht.
Nun gut, ein interessantes Thema, aber was ist, wenn Herr Müller und Frau Müller beide den Namen ihres Haustigers als PW nehmen? Im besten Fall eine Benutzer-ID mit PW (und dahinter dann die jeweiligen Rechte- z.B. alle Benutzer mit der ID 1xxx sind admins.. etc)
... aber was ist, wenn Herr Müller und Frau Müller beide den Namen ihres Haustigers als PW nehmen?
Die Identifikation sollte schon unique ausgeführt sein. Wenn Hr. und Fr. Müller einen eigenen Benutzer erhalten stellt sich das Problem nicht. Und das sollte in einer Userverwaltung eigentlich schon der Standard sein.
Ein Passwort ist etwas was man weiß (something you know). Dies kann ausgespäht o.ä werden. Ein-Faktor Authentifizierung, nennt sich das.
Füge einen zweiten Faktor hinzu, etwas das du hast (something that you own). Bekannt sind Token wie RSA SecurID Token.
Nun benötigst du für eine erfolgreichen Authentifizierung dein Passwort (etwas was du weißt) UND dein RSA TOken (etwas was du hast). Dass ein Angreifer, dein Passwort ausspäht UND dein Token bzw. an einen gültigen Tokencode (gültig für 60sek) gelangt, ist viel unwahrscheinlicher.
In Branchen und Umgebungen wo hohe Sicherheit notwendig ist, ist dies sehr oft so umgesetzt.
