DE102015010228A1 - A method for safely resetting a locked user authentication - Google Patents
A method for safely resetting a locked user authentication Download PDFInfo
- Publication number
- DE102015010228A1 DE102015010228A1 DE102015010228.1A DE102015010228A DE102015010228A1 DE 102015010228 A1 DE102015010228 A1 DE 102015010228A1 DE 102015010228 A DE102015010228 A DE 102015010228A DE 102015010228 A1 DE102015010228 A1 DE 102015010228A1
- Authority
- DE
- Germany
- Prior art keywords
- terminal
- security token
- user
- transmitted
- time password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2131—Lost password, e.g. recovery of lost or forgotten passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zum sicheren Zurücksetzen einer gesperrten Benutzerauthentisierung (12) für ein Sicherheitstoken (10) durch eine Ausgabeinstanz (40), bei dem mit einem Endgerät (30) des Benutzers (20) einerseits eine Verbindung (15) zu dem Sicherheitstoken (10) herstellt wird, und andererseits eine Kommunikationsverbindung (35) zu der Ausgabeinstanz (40) herstellt, das Endgerät (30) über die Kommunikationsverbindung (35) eine Aufforderung an die Ausgabeinstanz (40) übermittelt, die Ausgabeinstanz (40) aus der Aufforderung ein Einmalpasswort erzeugt und dieses in zwei oder mehr Teilpasswörter zerlegt, die Teilpasswörter über zwei oder mehr unterschiedliche und unabhängig abgesicherte Übertragungskanäle (42, 44) an das Endgerät (30) und/oder den Benutzer (20) zur Eingabe in das Endgerät (30) übermittelt werden, entweder das Endgerät (30) das Einmalpasswort aus den empfangenen und/oder vom Benutzer (20) eingegebenen Teilpasswörter zusammensetzt und an das Sicherheitstoken (10) übermittelt oder das Endgerät (30) die Teilpasswörter an das Sicherheitstoken (10) übermittelt und dieses die Teilpasswörter zu dem Einmalpasswort zusammensetzt, und das übermittelte oder zusammengesetzte Einmalpasswort auf Korrektheit geprüft wird, und im Fall einer erfolgreichen Prüfung die gesperrte Benutzerauthentisierung des Sicherheitstoken (10) zurücksetzt wird.The invention relates to a method for safely resetting a blocked user authentication (12) for a security token (10) by an issuer (40), in which a connection (15) to the security token (15) of the user (20) is provided on the one hand with a terminal (30) of the user (20). 10) and on the other hand establishes a communication link (35) to the output unit (40), the terminal (30) sends a request via the communication link (35) to the output unit (40), the output unit (40) from the request One-time password generated and decomposed this into two or more sub-passwords, the partial passwords over two or more different and independently secured transmission channels (42, 44) to the terminal (30) and / or the user (20) for input to the terminal (30) transmitted be either the terminal (30) composed of the one-time password from the received and / or by the user (20) input partial passwords and at the security token (10) or the terminal (30) transmits the partial passwords to the security token (10) and assembles the partial passwords into the one-time password, and checks the transmitted or compounded one-time password for correctness, and in the case of a successful check, the disabled user authentication the security token (10) is reset.
Description
Die Erfindung betrifft ein Verfahren zum sicheren Zurücksetzen einer gesperrten Benutzerauthentisierung für ein Sicherheitstoken.The invention relates to a method for safely resetting a locked user authentication for a security token.
Als Sicherheitstoken wird eine Hardwarekomponente zur Identifizierung und Authentisierung eines Benutzers gegenüber einem Hintergrundsystem bezeichnet. Dabei kann es sich insbesondere um eine Ausweiskarte handeln, beispielsweise in Form einer Chipkarte, mit der einer Person der Zutritt zum System gewährt wird, beispielsweise zu einem Computer, Computernetzwerk, Zahlungsverkehrsterminal, Gebäude, Sicherheitstrakt, Fahrzeug und dergleichen. Alternativ kann es sich bei dem Sicherheitstoken um einen Signaturtoken handeln, welcher zur Identifizierung und Authentifizierung von Benutzern verwendet wird. Bevor die Nutzung des Systems mittels des Sicherheitstoken möglich ist, muss der Benutzer seine Benutzungsberechtigung nachweisen und sich authentisieren. Dies erfolgt meist durch die Eingabe einer PIN oder eines Passworts. Sollen die PIN bzw. das Passwort ausreichend sicher sein, müssen sie eine ausreichende Länge aufweisen und regelmäßig geändert werden.A security token is a hardware component for identifying and authenticating a user to a background system. This can in particular be an identity card, for example in the form of a chip card, with which a person is granted access to the system, for example to a computer, computer network, payment terminal, building, security wing, vehicle and the like. Alternatively, the security token may be a signature token used to identify and authenticate users. Before the system can be used by means of the security token, the user must prove his authorization to use and authenticate himself. This is usually done by entering a PIN or password. If the PIN or the password are to be sufficiently secure, they must have a sufficient length and be changed regularly.
Zur Verhinderung von Brute-Force-Angriffen weisen Sicherheitstoken in der Regel einen Fehlbedienungszähler auf. Nach einer festgelegten Anzahl von Fehlversuchen werden keine weiteren Authentisierungsversuche akzeptiert und die Benutzerauthentisierung gesperrt. In manchen Fällen kann die PIN oder das Passwort dann noch durch eine sogenannte PUK, die der Tokeninhaber bei der Tokenausgabe erhalten hat, entsperrt werden. Die Verwendung einer PUK hat allerdings mehrere Nachteile. So werden PUKs in der Regel durch PUK-Briefe ausgegeben, die auch entwendet und von einem Angreifer eingesetzt werden können. Da die PUK nur selten benötigt wird, fällt ein Verlust dem Inhaber meist nicht sofort auf. Die Verwendung einer PUK ist daher kein sicherer Identitätsnachweis. Weiter ist das sichere Erstellen und Versenden von PUK-Briefen vergleichsweise teuer. Zudem sind die PUK-Briefe oft gerade dann nicht zur Hand wenn sie benötigt werden, beispielsweise auf einer Dienstreise des Tokennhabers, oder sie werden im Bedarfsfall nicht mehr aufgefunden.To prevent brute-force attacks, security tokens typically have a misbehave counter. After a specified number of failed attempts, no further authentication attempts are accepted and user authentication is blocked. In some cases, the PIN or the password can then be unlocked by a so-called PUK, which the token holder has received in the token issue. However, the use of a PUK has several disadvantages. So PUKs are usually issued by PUK letters that can also be stolen and used by an attacker. Since the PUK is rarely needed, a loss of the owner is usually not immediately on. The use of a PUK is therefore not a sure proof of identity. Furthermore, the secure creation and sending of PUK letters is comparatively expensive. In addition, the PUK letters are often not at hand just when they are needed, for example, on a business trip of the token owner, or they are no longer found in case of need.
Bei einigen hochsicheren Sicherheitstoken, wie etwa elektronischen Signaturkarten oder dem neuen Personalausweis nPA, kann die PIN aus Sicherheitsgründen nicht zurückgesetzt werden. Vergisst der Benutzer seine PIN, muss ein neues Sicherheitstoken ausgestellt werden, was mit hohem administrativem Aufwand und Kosten verbunden ist.For some highly secure security tokens, such as electronic signature cards or the new ID card, the PIN can not be reset for security reasons. If the user forgets their PIN, a new security token must be issued, which entails high administrative costs and costs.
Ausgehend davon liegt der Erfindung die Aufgabe zugrunde, die Nachteile des Stands der Technik zu vermeiden und insbesondere ein einfaches und dennoch sicheres Verfahren zum Zurücksetzen einer gesperrten Benutzerauthentisierung für ein Sicherheitstoken zu schaffen.Based on this, the object of the invention is to avoid the disadvantages of the prior art and, in particular, to provide a simple yet secure method for resetting a blocked user authentication for a security token.
Diese Aufgabe wird durch die Merkmale des unabhängigen Anspruchs gelöst. Weiterbildungen der Erfindung sind Gegenstand der abhängigen Ansprüche.This object is solved by the features of the independent claim. Further developments of the invention are the subject of the dependent claims.
Die Erfindung stellt ein Verfahren zum sicheren Zurücksetzen einer gesperrten Benutzerauthentisierung für ein Sicherheitstoken durch eine Ausgabeinstanz bereit, bei dem
- – mit einem Endgerät des Benutzers einerseits eine Verbindung zu dem Sicherheitstoken herstellt wird und andererseits eine Kommunikationsverbindung zu der Ausgabeinstanz herstellt wird,
- – das Endgerät über die Kommunikationsverbindung eine Aufforderung an die Ausgabeinstanz übermittelt,
- – die Ausgabeinstanz aus der Aufforderung ein Einmalpasswort erzeugt und dieses in zwei oder mehr Teilpasswörter zerlegt,
- – die Teilpasswörter über zwei oder mehr unterschiedliche und unabhängig abgesicherte Übertragungskanäle an das Endgerät und/oder den Benutzer zur Eingabe in das Endgerät übermittelt werden,
- – entweder das Endgerät das Einmalpasswort aus den empfangenen und/oder vom Benutzer eingegebenen Teilpasswörter zusammensetzt und an das Sicherheitstoken übermittelt oder das Endgerät die Teilpasswörter an das Sicherheitstoken übermittelt und dieses die Teilpasswörter zu dem Einmalpasswort zusammensetzt, und
- – das übermittelte oder zusammengesetzte Einmalpasswort auf Korrektheit geprüft wird, und im Fall einer erfolgreichen Prüfung die gesperrte Benutzerauthentisierung des Sicherheitstokens zurücksetzt wird.
- On the one hand a connection to the security token is established with a terminal of the user and on the other hand a communication connection is established to the output instance,
- The terminal transmits a request to the output entity via the communication connection,
- The output instance generates a one-time password from the request and breaks it down into two or more partial passwords,
- The partial passwords are transmitted to the terminal and / or the user for input to the terminal via two or more different and independently secured transmission channels,
- - either the terminal composes the one-time password from the received and / or user-entered partial passwords and transmits them to the security token or the terminal transmits the partial passwords to the security token and this composes the partial passwords to the one-time password, and
- - the transmitted or compound one-time password is checked for correctness, and in the case of a successful check, the disabled user authentication of the security token is reset.
Bei dem Endgerät kann es beispielsweise einen PC, ein Laptop, ein Tablet oder ein Mobiltelefon, insbesondere ein Smartphone handeln. Das Sicherheitstoken kann Teil des Endgeräts sein, kann für die Zurücksetzung aber auch in das Endgerät eingesteckt oder sonst in physischen Kontakt gebracht werden, oder es kann schließlich für die Zurücksetzung auch kontaktlos mit dem Endgerät kommunizieren, vorzugsweise über eine Nachbereichskommunikationsverbindung wie etwa NFC, Bluetooth, RFID oder WLAN. Ist das Sicherheitstoken Teil des Endgeräts kann die Verbindung beispielsweise bereits beim Einschalten des Endgeräts automatisch hergestellt werden.The terminal may be, for example, a PC, a laptop, a tablet or a mobile phone, in particular a smartphone. The security token may be part of the terminal, but may also be plugged into the terminal or otherwise brought into physical contact for the reset, or it may also communicate contactlessly with the terminal for the reset, preferably via a post area communication link such as NFC, Bluetooth, RFID or WLAN. If the security token is part of the terminal, the connection can for example be established automatically when the terminal is switched on.
Die Teilpasswörter können aus Ziffern- oder Buchstabenfolgen bestehen, können aber auch sinnvolle Wörter darstellen um die Eingabe für den Benutzer zu erleichtern. In diesem Fall können in der Regel bei einer Zerlegung des Einmalpassworts in n Teilpasswörter n – 1 Teilpasswörter weitgehend frei gewählt werden, beispielsweise in Form zufällig ausgewählter Wörter. Das n-te Teilpasswort wird dann so bestimmt, dass die Zusammensetzung der n Teilpasswörter gerade das Einmalpasswort ergibt. Das n-te Teilpasswort wird dann vorzugsweise direkt an das Endgerät gesendet.The partial passwords can consist of number or letter sequences, but can also represent meaningful words to the input for the To facilitate users. In this case, n-1 partial passwords can generally be freely selected, for example in the form of randomly selected words, when the one-time password is divided into n partial passwords. The nth subpassword is then determined so that the composition of the n subpasswords just yields the one time password. The nth subpassword is then preferably sent directly to the terminal.
Die Teilpasswörter können vom Endgerät zusammengesetzt und das zusammensetzte Einmalpasswort an das Sicherheitstoken übermittelt werden. Das Endgerät kann die Teilpasswörter auch einzeln an das Sicherheitstoken übermitteln und die Zusammensetzung zum Einmalpasswort erfolgt erst durch das Sicherheitstoken. Auch Zwischenlösungen sind selbstverständlich möglich, bei denen einige der Teilpasswörter vom Endgerät zusammengesetzt werden und das vollständige Zusammensetzen zum Einmalpasswort durch das Sicherheitstoken erfolgt. Die Prüfung auf Korrektheit des zusammensetzten Einmalpasswort kann vom Endgerät oder vorzugsweise von dem Sicherheitstoken durchgeführt werden. The partial passwords may be assembled by the terminal and the composite one-time password transmitted to the security token. The terminal can also transmit the partial passwords individually to the security token and the composition to the one-time password is carried out only by the security token. Intermediate solutions are of course also possible, in which some of the partial passwords are assembled by the terminal and the complete assembly to the one-time password is performed by the security token. The check for correctness of the composed one-time password can be carried out by the terminal or preferably by the security token.
Die Zurücksetzung der gesperrten Benutzerauthentisierung erfolgt vorteilhaft, indem die Anmeldeinformationen des Benutzers neu gesetzt werden und/oder indem ein Fehlversuchszähler für die Benutzerauthentisierung zurückgesetzt wird.The resetting of the disabled user authentication is advantageously accomplished by resetting the user's credentials and / or by resetting a user authentication fail counter.
Bevorzugt wird als Aufforderung eine Zufallszahl oder eine Pseudozufallszahl, vorzugsweise in verschlüsselter Form, an die Ausgabeinstanz übermittelt. Pseudozufallszahlen sind Zahlenfolgen, die zwar zufällig erscheinen, aber durch einen deterministischen Algorithmus berechnet werden und daher im strengen Sinn keine echten Zufallszahlen sind. Dennoch werden Pseudozufallszahlen verbreitet eingesetzt, da die statistischen Eigenschaften einer Pseudozufallszahlenverteilung, wie Gleichwahrscheinlichkeit der einzelnen Zahlen oder die statistische Unabhängigkeit aufeinanderfolgender Zahlen, für praktische Zwecke in der Regel ausreichend ”unregelmäßig” sind und Pseudozufallszahlen mit Computern im Gegensatz zu echten Zufallszahlen einfach zu erzeugen sind.Preferably, a random number or a pseudorandom number, preferably in encrypted form, is transmitted to the issuing entity as a request. Pseudo-random numbers are sequences of numbers that appear random but are calculated by a deterministic algorithm and therefore are not truly random numbers in the strict sense. Nevertheless, pseudorandom numbers are widely used because the statistical properties of a pseudorandom number distribution, such as single number uniformity or random number sequential independence, are usually sufficiently "infrequent" for practical purposes and pseudorandom numbers are easy to generate with computers as opposed to true random numbers.
In einer bevorzugten Weiterbildung des Verfahrens setzt die Kommunikation zwischen Ausgabeinstanz und Endgerät bzw. Sicherheitstoken das PACE(Password Authenticated Connection Establishment)-Protokoll ein. Dabei haben das Sicherheitstoken und die Ausgabeinstanz ein gemeinsames Geheimnis und das Sicherheitstoken erzeugt eine Zufallszahl, die mit Hilfe des gemeinsamen Geheimnisses verschlüsselt wird. Die verschlüsselte Zufallszahl wird von dem Endgerät als Aufforderung an die Ausgabeinstanz übermittelt, und als Einmalpasswort wird die von der Ausgabeinstanz mit Hilfe des gemeinsamen Geheimnisses entschlüsselte Zufallszahl verwendet.In a preferred embodiment of the method, the communication between the output unit and the terminal or security token uses the PACE (Password Authenticated Connection Establishment) protocol. The security token and the output instance share a common secret, and the security token generates a random number that is encrypted using the shared secret. The encrypted random number is transmitted from the terminal as a request to the output instance, and the one-time password used is the random number decrypted by the output instance using the shared secret.
Mit Vorteil zerlegt die Ausgabeinstanz das Einmalpasswort in drei oder mehr Teilpasswörter, wobei ein Teilpasswort direkt an das Endgerät übermittelt wird, und die anderen Teilpasswörter über zwei oder mehr unterschiedliche und unabhängig abgesicherte Übertragungskanäle an den Benutzer zur Eingabe in das Endgerät übermittelt werden.Advantageously, the output instance breaks down the one-time password into three or more sub-passwords, wherein a sub-password is transmitted directly to the terminal, and the other sub-passwords are transmitted to the user via two or more different and independently secured transmission channels for input to the terminal.
Als unabhängig abgesicherte Übertragungskanäle werden vorteilhaft zwei oder mehr Übertragungskanäle aus der Gruppe bestehend aus Email, SMS, Messenger, Video und Sprechtelefonverbindung gewählt. Über eine Sprechtelefonverbindung kann dem Benutzer beispielsweise eine Ziffernfolge oder ein Passwort zur Eingabe in das Endgerät genannt werden.As independently secured transmission channels, two or more transmission channels from the group consisting of email, SMS, messenger, video and voice telephone connection are advantageously selected. About a Sprechenelefonverbindung the user can be called, for example, a number of digits or a password for input to the terminal.
Besonders bevorzugt wird im Fall einer nicht erfolgreichen Prüfung kein weiterer Eingabeversuch der Teilpasswörter zu derselben Aufforderung zugelassen, vielmehr wird über die Kommunikationsverbindung eine neue Aufforderung an die Ausgabeinstanz übermittelt wird. Ein Brute-Force Angriff auf das übermittelte Einmalpasswort ist daher nicht möglich, da nur ein einziger Versuch für eine korrekte Eingabe zur Verfügung steht. Bei einer inkorrekten Eingabe wird ein neues Einmalpasswort erzeugt, so dass die Wahrscheinlichkeit das Einmalpasswort zu erraten, bei jedem Versuch gleich hoch ist.In the case of an unsuccessful check, it is particularly preferred not to allow any further entry attempt of the partial passwords for the same request; instead, a new request is transmitted to the output instance via the communication connection. A brute-force attack on the transmitted one-time password is therefore not possible, since only a single attempt for a correct input is available. Incorrect entry creates a new one-time password, so the probability of guessing the one-time password is the same for each attempt.
Das Sicherheitstoken kann in dem Endgerät selbst vorliegen oder das Endgerät kann während des Rücksetz-Verfahrens physisch oder kontaktlos über eine Kommunikationsverbindung ununterbrochen mit dem Sicherheitstoken verbunden sein.The security token may be present in the terminal itself, or the terminal may be connected to the security token physically or contactlessly during the reset procedure via a communication link.
In einer vorteilhaften Weiterbildung der Erfindung werden zur weiteren Absicherung die für das Sicherheitstoken übermittelten Aufforderungen von der Ausgabeinstanz erfasst. Im Fall mehrere aufeinanderfolgender Aufforderungen kann dann die Antwortzeit bis zur Übermittlung der Teilpasswörter verlängert und/oder die Antwort nach Überschreiten einer festgelegten Anzahl Anforderungen ganz verweigert werden.In an advantageous development of the invention, the requests transmitted for the security token are detected by the output entity for further protection. In the case of several consecutive requests then the response time can be extended to the transmission of the partial passwords and / or the response to be completely denied after exceeding a specified number of requests.
Weitere Ausführungsbeispiele sowie Vorteile der Erfindung werden nachfolgend anhand der Figur erläutert, bei deren Darstellung auf eine maßstabs- und proportionsgetreue Wiedergabe verzichtet wurde, um die Anschaulichkeit zu erhöhen.Further embodiments and advantages of the invention are explained below with reference to the figure, was omitted in their representation on a scale and proportionate reproduction in order to increase the clarity.
Es zeigen:Show it:
Zur weiteren Erläuterung der Erfindung zeigt
Um das sichere Zurücksetzen der Benutzerauthentisierung einzuleiten, stellt der Benutzer
In Schritt S202 wird der Rücksetzprozess vom Nutzer
Im Schritt S204 erzeugt die Ausgabeinstanz aus der übermittelten Aufforderung ein Einmalpasswort OTP, das die Response des Challenge-Response-Verfahrens darstellt. Das Einmalpasswort kann beispielsweise aus der übermittelten Aufforderung und einem gemeinsamen Geheimnis der Ausgabeinstanz
Die beiden Übertragungskanäle
Selbstverständlich kommen im Rahmen der Erfindung auch andere Übertragungskanäle für die Übermittlung der Teilpasswörter in Betracht, beispielsweise eine Übermittlung eines Teilpassworts per Messenger, durch Video oder auch durch mündliche Übermittlung per Telefon. Es versteht sich, dass zur besseren Absicherung auch mehr als die im Ausführungsbeispiel zur Illustration gezeigten zwei Übertragungskanäle genutzt werden können.Of course, in the context of the invention, other transmission channels for the transmission of the partial passwords into consideration, for example, a transmission of a partial password by messenger, by video or by oral transmission by telephone. It is understood that for better protection, more than the two transmission channels shown in the exemplary embodiment for illustration purposes can be used.
Die Teilpasswörter OTP1 und OTP2 können insbesondere aus Ziffern- oder Buchstabenfolgen bestehen. Die beiden empfangenen Teilpasswörter werden in den Schritten S207 und S208 vom Nutzer
Die Prüfung auf Korrektheit des Einmalpassworts OTP kann auf verschiedene Weisen entsprechend der eingesetzten Variante des Challenge-Response-Verfahrens erfolgen. Im Ausführungsbeispiel kennt das Endgerät
Wesentlich ist dabei, dass das Endgerät
Insgesamt wird durch die Verwendung unterschiedlicher und unabhängig voneinander abgesicherter Übertragungskanäle
Um möglichen Angriffe durch einen unberechtigten Tokenbesitzer zu begegnen, sind in der Ausgabeinstanz vorteilhaft entsprechende Abwehrvorkehrungen getroffen. Beispielsweise kann die Ausgabeinstanz
Mit Bezug auf
Dabei stellt der Benutzer
Im Rahmen des PACE-Protokolls fordert das Endgerät
In Schritt S304 erzeugt das Sicherheitstoken
In Schritt S305 wird die verschlüsselte Zufallszahl z an das Endgerät
Im Schritt S307 entschlüsselt die Ausgabeinstanz
Das erzeugte Einmalpasswort wird noch in Schritt S307 von der Ausgabeinstanz
Die beiden empfangenen Teilpasswörter OTP1, OTP2 werden in den Schritten S311 und S312 vom Nutzer
Das Sicherheitstoken
Die Teilpasswörter OTP1, OTP2 können wie beim Ausführungsbeispiel der
Die Verwendung des PACE-Protokolls hat insbesondere den Vorteil, dass es eine perfekte vorwärts gerichtete Geheimhaltung (Perfect Forward Secrecy) bereitstellt. Die Schritte des PACE-Protokolls können nicht unterbrochen werden, was den weiteren Vorteil bietet, dass selbst des Abgreifen von Teilen des Einmalpassworts OTP, beispielsweise der Teilpasswörter OTP1 und OTP2 nicht ausreicht um eine erfolgreiche Benutzeridentifikation durchzuführen. Das Sicherheitstoken
Die in Schritt S304 erzeugte Zufallszahl s wird bei jedem Start des PACE-Protokolls neu ermittelt. Sie hat die Länge des zugrundeliegenden symmetrischen Kryptoalgorithmus, beispielsweise 128 bit bei AES-128. Als Kryptoalgorithmen bei PACE kommen insbesondere 3DES, AES-128, AES-192 und AES-256 in Frage.The random number s generated in step S304 is re-determined every time the PACE protocol is started. It has the length of the underlying symmetric crypto algorithm, for example, 128 bits at AES-128. As crypto algorithms in PACE in particular 3DES, AES-128, AES-192 and AES-256 in question.
Claims (9)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015010228.1A DE102015010228A1 (en) | 2015-08-12 | 2015-08-12 | A method for safely resetting a locked user authentication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015010228.1A DE102015010228A1 (en) | 2015-08-12 | 2015-08-12 | A method for safely resetting a locked user authentication |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102015010228A1 true DE102015010228A1 (en) | 2017-02-16 |
Family
ID=57907821
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102015010228.1A Withdrawn DE102015010228A1 (en) | 2015-08-12 | 2015-08-12 | A method for safely resetting a locked user authentication |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102015010228A1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009082717A2 (en) * | 2007-11-19 | 2009-07-02 | Ezmcom, Inc. | A method for authenticating a communication channel between a client and a server |
US20100199336A1 (en) * | 2009-02-04 | 2010-08-05 | Data Security Systems Solutions Pte. Ltd. | Transforming static password systems to become 2-factor authentication |
US20140281506A1 (en) * | 2013-03-15 | 2014-09-18 | Fortinet, Inc. | Soft token system |
-
2015
- 2015-08-12 DE DE102015010228.1A patent/DE102015010228A1/en not_active Withdrawn
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009082717A2 (en) * | 2007-11-19 | 2009-07-02 | Ezmcom, Inc. | A method for authenticating a communication channel between a client and a server |
US20100185860A1 (en) * | 2007-11-19 | 2010-07-22 | Ezmcom, Inc. | Method for authenticating a communication channel between a client and a server |
US8868909B2 (en) * | 2007-11-19 | 2014-10-21 | Ezmcom, Inc. | Method for authenticating a communication channel between a client and a server |
US20100199336A1 (en) * | 2009-02-04 | 2010-08-05 | Data Security Systems Solutions Pte. Ltd. | Transforming static password systems to become 2-factor authentication |
US8341698B2 (en) * | 2009-02-04 | 2012-12-25 | Data Security Systems Solutions Pte Ltd | Transforming static password systems to become 2-factor authentication |
US20140281506A1 (en) * | 2013-03-15 | 2014-09-18 | Fortinet, Inc. | Soft token system |
Non-Patent Citations (1)
Title |
---|
Wikipedia, Password Authenticated Connection Establishment, 10. Juli 2015, URL: https://de.wikipedia.org/w/index.php?title=Password_Authenticated_Connection_Establishment&oldid=143183910 [abgerufen am 19.7.2016] * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3574625B1 (en) | Method for carrying out an authentication | |
EP3175384B1 (en) | Method and apparatus for logging into medical devices | |
EP3416140B1 (en) | Method and device for authenticating a user on a vehicle | |
EP3057025B1 (en) | Computer-implemented method for controlling access | |
DE102012214018B3 (en) | Authorization of a user by a portable communication device | |
DE60223129T2 (en) | METHOD AND SYSTEM FOR SECURING A COMPUTER NETWORK AND PERSONAL IDENTIFICATION DEVICE USED FOR CONTROLLING NETWORK COMPONENT ACCESS | |
DE102011120968B4 (en) | Create secure keys on demand | |
EP2765752B1 (en) | Method for equipping a mobile terminal with an authentication certificate | |
DE102017006200A1 (en) | Method, hardware and system for dynamic data transmission to a blockchain computer network for storing personal data around this part again block by block as the basis for end to end encryption used to dynamically update the data collection process via the data transmission module in real time from sensor units. The block modules on the blockchain database system are infinitely expandable. | |
DE102011055297A1 (en) | Method for authenticating user in network application during e.g. online banking service, involves completing network application process in response to positive comparison result of sent security feature and registered safety feature | |
EP2199944A2 (en) | Method for authenticating a person for an electronic data processing assembly with an electronic key | |
EP2996299B1 (en) | Method and assembly for authorising an action on a self-service system | |
EP1915718B1 (en) | Method for protecting the authentication of a portable data carrier relative to a reading device via an unsecure communications path | |
DE102015010228A1 (en) | A method for safely resetting a locked user authentication | |
EP3882796A1 (en) | User authentication using two independent security elements | |
DE102019200925A1 (en) | Method and device for generating and checking a one-time password | |
EP2880810B1 (en) | Authentication of a document to a reading device | |
EP2661022A2 (en) | Method for communicating securely between a mobile terminal and an apparatus for building systems technology or door communication | |
EP3239911B1 (en) | Method for transmitting confidential messages | |
WO2005055018A1 (en) | Method and device for securing digital data | |
EP2696319A1 (en) | Method for enabling a transaction | |
DE102014211839A1 (en) | Method for authenticating an entity | |
DE102011110898A1 (en) | Method for authentication of e.g. robot, for providing access to services of e.g. information system, involves providing or inhibiting access of user to services of computer system based on authentication result | |
EP2723111A1 (en) | Multiple factor authentification for mobile end devices | |
EP3304399A1 (en) | Application authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |