Authentifizierung und Verschlüsselung

Positiv mit bestimmen, wen Sie geschäftlich tätig sind, schreibt Tim Pickard von RSA Security. Berichte von Hackern den Zugriff auf gängige E-Business-Websites und zur Schau Kunden Kreditkarten-Nummern sind bekannt und immer häufiger, bis zu dem Punkt, dass sie geworden sind, jede E-Business schlimmsten PR-und juristischer Albtraum. Mit Business-to-Consumer (B2C) E-Commerce erwartet auf US $ 108 Milliarden bis 2003, und Business-to-Business (B2B) e-Commerce erwartet, dass US-Erhöhung von 1 Billion Dollar im gleichen Zeitraum die Notwendigkeit für die elektronische Sicherheit war noch nie so offensichtlich. Der Schlüssel zu dieser Sicherheit ist die Authentifizierung: das ist positiv bestimmen, mit denen Sie Geschäfte zu machen.

  

E-Business "Druck"

Die Schlüssel für die Sicherung Ihrer E-BusinessSicheres E-Business kann in vier Bereiche aufgeteilt:

1. Authentifizierung - Sicherzustellen, dass sowohl der Absender und Empfänger sind, die sie sagen, sie sind;

2. Datenschutz - Gewährleistung der Vertraulichkeit der Informationen, die er bewegt sich das öffentliche Internet;

3. Die Integrität der Daten - Sicherstellung, dass authentifizierte Benutzer in einer Transaktion nicht in der Lage sind, Maßnahmen sie ergriffen haben, zu leugnen;

4. Zulassung - Verweigerung unbefugte Nutzer Zugang zu Informationen, die sie sich nicht sehen sollte.

AuthentifizierungDies ist der Grundstein für E-Business-Sicherheit, und wird als positiv Ermittlung und zum Nachweis der Authentizität der Akteure, mit denen Sie Geschäfte definiert. Ohne Authentifizierung anderen Maßnahmen zur Gefahrenabwehr, die Sie in stattfinden kann, ist unwirksam. Passwörter sind nicht genug Heute erfordern einen Benutzernamen und ein Passwort ist das am weitesten verbreitete Technik zur Authentifizierung eines Benutzers. An der Oberfläche dieser einzigen Faktor (was ein Benutzer weiß, kann) scheinen eine geeignete Lösung. Schließlich sind es etwa 2,8 Billionen Möglichkeiten für eine Acht-Zeichen-Passwort des zufälligen alphanumerischen Zeichen besteht. Aber weil wir alle neigen dazu, Passwörter, die kurz sind und leicht zu merken - wie wichtige Termine oder Namen von Familienmitgliedern wählen Sie - unsere Passwörter häufig relativ leicht für andere zu erraten, zu stehlen oder zu knacken. Social Engineering trägt auch zur Unzuverlässigkeit von Passwörtern. Ein weiteres Problem ist, dass Sie Ihren Benutzernamen und das Passwort kann nicht geschützt, da sie über das Internet zu reisen. Zum Beispiel ist eine typische Web-Server die grundlegenden HTTP-Authentifizierung-System, auf vielen Webseiten genutzt, nicht verschlüsseln, den Benutzernamen oder Kennwort. Und Passwörter unverschlüsselt sind extrem anfällig für die Überwachung von Hackern, die "Schnüffeln sind" für sie. Das Endergebnis ist, dass Sie von stärkerer Authentifizierung, müssen zur Schaffung und Erhaltung einer vertrauensvollen Umgebung für E-Business.

Ebenen der AuthentifizierungUnterschiedliche Stufen der Authentifizierung Stärke vorhanden ist, und Ihre Wahl wird auf den Wert oder die Sensibilität der Informationen, die Sie schützen, sind gegen andere Überlegungen wie Bedienbarkeit, Bereitstellung ausgewogener und Finanzmittel erfolgen.Passwörter sind die schwächsten, obwohl am weitesten verbreitete, Form der Authentifizierung. Sie helfen den Nutzern durch die Erstellung eines einzigen Faktor der Identifikation zu identifizieren: ihre geheimen Code. Diese Methode der Authentifizierung wahrgenommen wird einfach einzusetzen und kostengünstig. Die Geschichte hat jedoch gezeigt, dass diese Codes leicht zu erraten, gestohlen oder auf andere Weise gefährdet und sind nicht so einfach, kostengünstig in der Wartung oder wie man meinen könnte. Überraschenderweise werden die Passwörter eines der unwirksamen Formen der Authentifizierung. Die Verwendung von digitale Zertifikate als eine Form der Authentifizierung wird immer mehr durch, mit dem Wachstum des Internet-Transaktionen. Allein oder mit einem Kennwort geschützt, Hilfe-Zertifikate identifizieren, indem die Nutzer Zugang zu digitalen Anmeldeinformationen, die nur vom rechtmäßigen Eigentümer verwendet werden. Allerdings hängt die relative Stärke der digitalen Zertifikate als Authentifizierungs-Lösung auf, wie sicher sie geschützt sind. Zum Beispiel, gespeicherte digitale Zertifikate unsicher auf einer Festplatte kann die Geldbörse verglichen werden offen auf Ihrem Schreibtisch. Digitale Zertifikate an Stärke gewinnen, wenn sie von einem versehen sind, kontrollierten vergessenPolitik.

Hier wird eine vertrauenswürdige "Zertifizierungsstelle" Themen-Zertifikate, die Überprüfung der digitalen Identität der privaten Schlüssel der Nutzer. Hinzufügen einer Public Key-Infrastruktur mit einem zentral verwalteten Zertifikat politische Erklärung, dass die Anforderungen vergessen wird (dh alle vergessen hat bis zu neun alphanumerischen Zeichen lang) kann die Stärke von Zertifikaten als eine Form der Benutzerauthentifizierung zu verbessern. Zwei-Faktor-Authentifizierung ist viel stärker als Passwortschutz oder ungeschützte Zertifikate, weil sie verlangt von den Nutzern auf zwei Formen der Identifikation, bevor Zugang zu geschützten Ressourcen zu präsentieren. Ähnlich wie bei einer Bank mit Geldautomat, müssen die Benutzer wissen beide, ihre PIN und besitzen ihr Gerät (ein Token oder Smart Card). Die Kombination beweist, dass Benutzer, die sie sagen, sie sind. Kombinieren Zwei-Faktor-Authentifizierung und digitale Zertifikate erhöht die Stärke Ihrer Authentifizierung Dienstleistungen drastisch. Oft sind digitale Zertifikate gespeichert sind unsicher, sodass jeder die Identität der Benutzer annehmen kann. Müssen zwei Formen der Identifikation, um Zugangsdaten, Sie sind in der Lage, digitale Identitäten binden Nutzer ihrer physischen Identität, die es Ihnen ermöglicht, mehr Vertrauen, dass die Nutzer sind, die sie sagen, sie sind. Einführung Smartcards zu schützen digitale Zertifikate ist einer der stärksten Stufen der Authentifizierung Service. Nicht nur der Zugriff auf die Smartcard mit zwei-Faktor-Authentifizierung geschützt, sondern Zertifikate / Schlüssel-Paare können auch generiert werden und auf der Smartcard gespeichert. In der Tat, der private Schlüssel verlässt niemals die Karte, so kann es nicht durch unbefugte Benutzer oder zugegriffen werden auf einen Server kopiert werden. Durch einen zusätzlichen dritten Faktor - wie Biometrie - Den oben genannten, können Sie erreichen die stärksten verfügbaren Ebene der Authentifizierung. Biometrie bezieht sich auf eine Eigenschaft, die einem Benutzer eindeutig ist. Diese Messung kann erreicht werden durch Fingerabdrücke, Retina-Scan-und Voice-Druck. Dieser dritte Faktor bei der Authentifizierung mit Zertifikaten auf einer Smartcard gespeichert verbunden ist undurchdringlich.

DatenschutzSensible Informationen geschützt werden muss, während er in Bewegung ist von Punkt zu Punkt über das Internet. Zum Beispiel müssen Sie nicht wollen Wettbewerber in der Lage sein, eine Kopie eines Vorschlags, wenn Sie per E-Mail an einen Interessenten zu greifen. Und möchten Sie vermutlich Benutzernamen und Passwörter zu schützen - und natürlich auch Kreditkarten-Nummern - das Getriebe zu begleiten. Die meisten Webbrowser verfügen über integrierte "Secure Sockets Layer (SSL) verfügt, um die Vertraulichkeit von Informationen, die zwischen einem Web-Server übertragen wird, sicherzustellen, und ein Benutzer Web-Browser. Dies ist durch die Verschlüsselung, Verzerrung oder Informationen, bevor Sie es getan und Entschlüsselung auf der Empfängerseite, so dass es praktisch unmöglich, dass die Transaktion zu übersetzenden wenn sie abgefangen werden. Das bedeutet, dass die Transaktion ist privat, die im eBusiness von entscheidender Bedeutung ist.

Die Integrität der DatenEs ist auch wichtig, dass keine der Parteien in der Lage ist zu erklären, dass eine Transaktion nie stattgefunden hat oder dass die empfangenen Daten war irgendwie anders als die übertragen werden. Zum Beispiel können, wenn Sie eine große Online-Bestellung erhalten aus einer Ihrer Reseller Sie wirklich sicher sein, dass es legitim ist? Was passiert, wenn Sie die Bestellung zu liefern und sie behaupten, dass die Reihenfolge, wie sie gestellt wurde deutlich kleiner? Oder sie leugnen, dass es überhaupt gestellt? Für Nicht-Zurückweisung, müssen Sie nachweisen können, dass der Absender und Empfänger sind, die sie sagen, sie sind und dass die Transaktion nicht verändert wurde. Dies kann durch clientseitige digitale Zertifikate, die eine Transaktion zu authentifizieren - was beweist, daß die Transaktion nicht während der Übertragung verändert wurden durchgeführt werden. Es sollte jedoch darauf hingewiesen werden, dass Sie noch beweisen müssen, dass Benutzer, die sie sagen, sie sind - also nicht unzufriedene Mitarbeiter oder Sensationen suchen Jugendliche -, damit sie Verantwortung für die Transaktion. Nur Zwei-Faktor-Authentifizierung kann definitiv binden eines Benutzers physischen Identität, ihre digitale Identität.

ZulassungVerschiedene Nutzer benötigen Zugriff auf verschiedene Arten von Informationen, und es ist wichtig, dass unbefugte Nutzer sehen, dass Informationen zu verhindern. Zum Beispiel, benötigt das HR-Mitarbeiter in der Lage sein zu sehen und die Mitarbeiter-Datenbank zu aktualisieren, sondern auch andere Mitarbeiter und Auftragnehmer sollte nicht danach streben, Ihrer Gehaltsvorstellung. Ihre Vertriebskanal benötigt Zugriff auf die aktuellsten Produkt-Information, Entwicklung Fahrpläne und Preise, sondern, dass die internen Informationen ist in der Regel nicht etwas, was Sie wollen Wettbewerber zu sehen. Genehmigung besteht aus einem Beschränken Benutzer Zugang zu Maschinen, Verzeichnisse, Dateien und Anwendungsprogramme. Es gibt verschiedene Stufen der Genehmigung. Der erste betrifft die Einschränkung des Zugangs bei der URL-Ebene, um Maschinen zu schützen und deren Inhalten. Die zweite ist die Zugangsberechtigung für Verzeichnisse und Dateien auf Basis Access Control Lists, und der dritte umfasst aufwändige Regel-basierte Zugriffskontrolle. In allen seinen Formen, hilft Ihnen bei der Durchsetzung der Genehmigung Daten Regeln für den Zugang, wenn ein Nutzer Ressourcen erreicht geschützt.

Identity ManagementDie Authentifizierung ist daher - unter diesen anderen Maßnahmen zur Gefahrenabwehr - entscheidend für den Erfolg Ihres E-Business Initiative. Eine weitere erhebliche Gefahr liegt jedoch in der Staffelung Verbreitung von Identitäten im Internet. Hunderte von Millionen von Menschen auf der ganzen Welt nutzen das Internet täglich zu Hause und am Arbeitsplatz, zu begegnen unzähligen Unternehmensanwendungen, e-Business-Schnittstellen und Web-Services. Viele dieser Anwendungen erfordern einen eindeutigen Benutzernamen und als Ergebnis wird ein individuelles und besitzen in der Regel nicht eine, sondern mehrere digitale Identitäten. Darüber hinaus digitalen Identitäten sind nicht ewige: sie sind für neue Mitarbeiter erstellt, und wenn die Mitarbeiter hinterlassen ihre digitale Identität läuft - oder auslaufen sollten - wie der Kündigungstermin. Ein Arbeitnehmer, der von einem Teil einer Organisation zu einer anderen, oder an eine höhere Management-Ebene gefördert werden, müssen die Zugriffsrechte und andere Informationen an seine digitale Identität verbunden aktualisiert haben. Daher müssen die Unternehmen in der Lage, die Identität des Vertrauens Anwender, die ihre Internet-Ressourcen zugreifen zu suchen. Darüber hinaus müssen sie für die Verwaltung und Kontrolle zugelassen Identitäten zu gewährleisten, sie sind die gegenwärtigen und in Einklang mit der Politik eingesetzt. Aus diesem Grund benötigen Organisationen zu beurteilen, ihre eigene Identität Management-Anforderungen, führen in ausführlichen Gesprächen mit den Geschäftspartnern über ihre Bedürfnisse und Pläne, und erkunden Sie in Verbindung mit einem zuverlässigen Anbieter wie zur Implementierung und Integration einer solchen Lösung in ihre IT-Umgebungen.

Ein offener Standard für das Identity Management - einschließlich Authentifizierung, Single Sign-On und Web Access Management-Fähigkeiten - werden die Unternehmen Kosten senken helfen, zu beschleunigen Geschäftsmöglichkeiten und erhöhen die Produktivität der Benutzer und Kundenzufriedenheit. Initiativen wie die Liberty Alliance zeigen, wie Unternehmen arbeiten bereits zusammen E-Business einfacher machen, ohne Anmeldeinformationen Details. Zum Beispiel wird es bald möglich sein, Ihre komplette Logistik-Urlaub zu organisieren - rent a villa, Artikel Flüge und ein Auto mieten - in einer einzigen Online-Transaktion, mit der Authentifizierung einmal und dann frei zwischen angeschlossenen Websites, ohne immer wieder neu geben Sie Ihre Daten. einem föderativen Ansatz wird erhebliche Vorteile für die Nutzer und Unternehmen gleichermaßen. Online-Transaktionen zu bringen, sind auch aufgegeben, und die Nutzer haben die Notwendigkeit einer vollständigen und häufig wieder komplette Formen identifiziert als der größte Grund für diese; deutlich ist dies ein großes Hindernis für E-Commerce. Innerhalb von ein Identity Management System, werden die Nutzer zu schätzen wissen: die Bequemlichkeit einer einzigen Identität und Authentifizierung für ein breites Spektrum von Ressourcen, Anwendungen und Websites, die Fähigkeit, unter welchen Voraussetzungen bestimmte Teile der Informationen können und kann nicht geteilt werden sollen, und die Maßnahmen und Standards auf die Datenspeicherung, Nutzung und Austausch, um ihre Privatsphäre zu schützen und Betrug und Identitätsdiebstahl. Im Gegenzug werden die Unternehmen durch die Möglichkeit zu: Vertrauen in die Identität der Mitarbeiter profitieren, Partnern und Kunden; erhalten Pre-authentifizierte Benutzer von Websites Geschäftspartner und die Einführung neuer Dienste und neue Geschäftsmöglichkeiten zu erkennen.

FazitAll dies ist ohne das Herzstück des e-security möglich: die User-Authentisierung. Sobald diese vorhanden ist, der Rest abgeschwächt - Netzwerksicherheit Risiko, geringere Kosten, mehr Umsatz, Investitionen geschützt und eine größere Übereinstimmung - werden folgen, und die Firmen werden positioniert werden, um sicher zu behandeln, bequem und profitabel über das Internet. Tim Pickard ist Strategic Marketing Director EMEA bei RSA Security. RSA Security ist der vertrauenswürdigsten Namen in der E-Sicherheit, zu helfen Organisationen aufbauen sicheren, vertrauenswürdigen Grundlagen für e-Business über die Zwei-Faktor-Authentifizierung, Web Access Management, Verschlüsselung und Public-Key-Management-Systeme. Ein wirklich globales Unternehmen mit mehr als 8.000 Kunden ist RSA Security für die Bereitstellung von Technologien, die Organisationen Verhalten e-Business mit Sicherheit bekannt. Für weitere Informationen kontaktieren Sie: RSA Großbritannien, Irland und EMEA Sales, RSA House, Western Road, Bracknell, Berks RG12 1RT. Tel: +44 (0) 1344 781000, Fax: + 44 (0) 1344 781010.

Ein Artikel eingereicht von Frank C.

Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle.
Wichtig: Dieser Artikel "Authentifizierung und Verschlüsselung" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.


Online: 331 users browsing the articles directory