WO2012069043A2 - Method and apparatus for preventing unauthorized detection of access data - Google Patents

Method and apparatus for preventing unauthorized detection of access data Download PDF

Info

Publication number
WO2012069043A2
WO2012069043A2 PCT/DE2011/002031 DE2011002031W WO2012069043A2 WO 2012069043 A2 WO2012069043 A2 WO 2012069043A2 DE 2011002031 W DE2011002031 W DE 2011002031W WO 2012069043 A2 WO2012069043 A2 WO 2012069043A2
Authority
WO
WIPO (PCT)
Prior art keywords
data
server
identifiers
identifier
encrypted
Prior art date
Application number
PCT/DE2011/002031
Other languages
German (de)
French (fr)
Other versions
WO2012069043A3 (en
Inventor
Ingo Pannhausen
Original Assignee
Ps4B-Professional Solutions For Business Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ps4B-Professional Solutions For Business Gmbh filed Critical Ps4B-Professional Solutions For Business Gmbh
Publication of WO2012069043A2 publication Critical patent/WO2012069043A2/en
Publication of WO2012069043A3 publication Critical patent/WO2012069043A3/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Definitions

  • the invention relates to a method for preventing unauthorized spying on access data entered by a user at an input terminal, according to the preamble of claim 1 and an apparatus for preventing unauthorized access data spying, according to the preamble of claim 10.
  • Computer networks may be vulnerable to security breaches.
  • Hackers can intercept and / or infiltrate transmissions of information.
  • Intruders who copy credentials have the potential to use this information to gain unwanted access to secured areas.
  • the object of the present invention is to provide a simple and secure transmission form for data from authentication masks.
  • the object is achieved by a method for preventing an unauthorized spying access data, which are entered by a user at an input terminal, and to a server by means of a data connection, in particular via the Internet, in particular by means of a browser, passed, wherein the access data to be entered Data identifiers are assigned, which are encrypted at least for the path over the data connection, in particular hidden in another data identifier, and modified in transmission attempts, in particular each transmission attempt, in particular the sequence of data identifiers is changed in the transmitted data packet.
  • the invention prevents the repeated invocation of values from the client cache as well as the open reading in the transmitted data and the recognition of the patterns in the sense of a security column effect.
  • the present invention prevents, for example, that someone with a hacker program simply sends a large number of requests to a server in order to determine the correct combination of values for data identifiers, in particular account number and / or PIN, in the trial procedure.
  • security encryption operates from one endpoint to another endpoint, and is essentially the user-server application itself, and it is up to the developer or software vendor with which high level of encryption he wishes to work.
  • the present invention prevents a hacking procedure because the hacker program can not determine in which data identifier, in particular variables, which of the values to pass. It is therefore a process by which unauthorized spied access data, in particular login and / or password is prevented or made more difficult.
  • the corresponding data identifiers, in particular variable names in which the login names to be entered are stored are stored encrypted and generated again on each attempt on the server.
  • the corresponding variable names change from trial to trial and can not be foreseen by the intruder.
  • an authentication mask in particular a web page, in particular with a login mask, in particular for online banking, is requested by the server through the input terminal, wherein the authentication mask encodes the encrypted data identifiers, in particular for account number and / or PIN and / or or date of birth.
  • authentication is the process of determining that an authorized user initiated the request and that the request has not been abused by an intruder on the way through the network.
  • a potential hacker would identify the page layout, such as logging into an online account of a bank, the data identifiers, especially fields, in particular variables, whose values should be tried out, for example account and / or PIN.
  • the data identifiers are encrypted in each page view hidden in another field, so that he - without decrypting this field - does not know in which data identifier he must write the account number and the PIN.
  • the encrypted data identifiers are dynamic and / or randomly generated identifiers.
  • the client then decrypts the identifier fields transmitted by the server in a simple manner and accesses the values of the decrypted authentication field identifiers without this being possible for the hacker program.
  • the encrypted data identifiers are introduced as a value in the form of a hidden identifier field with encrypted data identifiers.
  • the server creates an authentication mask of dy- naming and / or randomized identifiers for the authentication field and / or a hidden identifier field with the encrypted authentication field identifiers as a value.
  • the server uses a unique, time-limited key, a session identifier / session ID or the like, and / or creates hidden fields of arbitrary identifiers and values, and shuffles them into the order of all fields of the authentication mask that are visible or invisible.
  • the server carries out an authorization of the user. This will check if the data matches. In case of positive access is granted.
  • a device for preventing unauthorized spying on access data in particular for carrying out a method according to one of claims 1 to 9, with an input terminal, in which access data are to be entered by a user, to a server to which the access data by means of a Data connection, in particular via the Internet, in particular special be assigned by means of a browser, the access data to be entered are associated with data identifiers that are encrypted at least for the way through the data connection, in particular hidden in another data identifier, and in transmission attempts, in particular each transmission attempt to change.
  • Fig. 1 is a schematic arrangement for carrying out the method.
  • Fig. 1 shows a schematic arrangement for carrying out the method.
  • the user with the input terminal 1 requests the transmission of an authentication mask 4 from the server 2.
  • the user calls the login mask for online banking of a bank.
  • Server 2 generates the authentication mask and returns it to the user.
  • predetermined input fields are provided, for example account number and / or PIN, for which corresponding data identifiers, in particular variable names, are given to the user, in which the input values are then stored on the return path.
  • the data identifiers are generated by the server 2 at random, for example, so that nobody on the insecure path between the user and the server can recognize from the names of the data identifiers which information is contained therein.
  • the server 2 After the server 2 has thus delivered the authentication mask 4, the user enters the data, in particular the account number and / or PIN, and returns inputted values of the authentication mask 4 to the server 2.
  • the data is thus transferred from the user to the server 2, without anyone being able to recognize, for example, whether an input "1234" sound number, PIN, date of birth was.
  • the server 2 evaluates the transmitted data and authorizes the user or not. In the positive case, the server 2 releases the access.
  • the present invention complicates attacks by algorithms for retrying multiple combinations of authentication values.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Telephone Function (AREA)
  • Computer And Data Communications (AREA)

Abstract

A method for preventing unauthorized detection of access data which are input by a user on an input terminal (1) and are forwarded to a server (2) by means of a data link (3), particularly via the internet, particularly using a browser, wherein the access data to be input have associated data descriptors which are encrypted at least for the path via the data link (3), particularly concealed in another data descriptor, and are modified upon transmission attempts, particularly each transmission attempt, wherein particularly the sequence of the data descriptors in the transmitted data packet is modified.

Description

Verfahren und Vorrichtung zur Verhinderung eines unberechtigte Erspähens von Zugangsdaten  Method and device for preventing unauthorized spying on access data
Die Erfindung betrifft ein Verfahren zur Verhinderung eines unberechtigte Erspähens von Zugangsdaten, die von einem Benutzer an einem Eingabeterminal eingegeben werden, nach dem Oberbegriff von Anspruch 1 und einer Vorrichtung zur Verhinderung eines unberechtigte Erspähens von Zugangsdaten, nach dem Oberbegriff von Anspruch 10. The invention relates to a method for preventing unauthorized spying on access data entered by a user at an input terminal, according to the preamble of claim 1 and an apparatus for preventing unauthorized access data spying, according to the preamble of claim 10.
Computernetzwerke, insbesondere Interneteinrichtungen, können anfällig für Sicherheitsverletzungen sein. Hacker können Übertragungen von Informationen abhören und/oder in diese eindringen. Eindringlinge, die Anmeldeinformationen kopieren, haben das Potential, diese Informationen zu verwenden, um sich unerwünschten Zugriff in gesicherte Bereiche zu verschaffen. Computer networks, especially Internet facilities, may be vulnerable to security breaches. Hackers can intercept and / or infiltrate transmissions of information. Intruders who copy credentials have the potential to use this information to gain unwanted access to secured areas.
Bekannt ist es, bei Übermittlungen von Werten von Datenbezeichnern aus Authentifi- zierungsmasken, die Werte zu verschlüsseln. Verschlüsselung gibt es im Internet insbesondere als https-Sicherheitsverschlüsselung von Webseiten, wobei in diesem Zusammenhang bei einer Nutzer-Server-Kommunikation zusätzliche Module benötigt werden, die zumindest durch Fremdanbieter bereitgestellt werden müssen und auf die eine Netzanwendung keinen Einfluss ausüben kann. It is known to encrypt the values when transferring values of data identifiers from authentication masks. Encryption is available on the Internet, in particular as https security encryption of websites, in which context in a user-server communication additional modules are needed, which must be provided at least by third parties and on a network application can exercise no influence.
Als nachteilig erweist es sich, dass bei einem Hackerangriff im Daten Übertrag ungsfali erkannt wird, welche - wenn auch verschlüsselten - Werte den Datenbezeichnern zugeordnet sind. Dies können dann als der entsprechende Datenbezeichner angesprochen werden und möglicherweise entschlüsselt werden. Aufgabe der vorliegenden Erfindung ist es, eine einfache und sichere Übermittlungsform für Daten aus Authentifizierungsmasken bereitzustellen. It proves disadvantageous that in a hacker attack in the data transfer ungsfali is detected, which - albeit encrypted - values are assigned to the data identifiers. These can then be addressed as the corresponding data identifier and possibly decrypted. The object of the present invention is to provide a simple and secure transmission form for data from authentication masks.
Die Aufgabe wird gelöst durch ein Verfahren zur Verhinderung eines unberechtigte Erspähens von Zugangsdaten, die von einem Benutzer an einem Eingabeterminal eingegeben werden, und an einen Server mittels einer Datenverbindung, insbesondere über das Internet, insbesondere mittels eines Browsers, weitergegeben werden, wobei den einzugebenden Zugangsdaten Datenbezeichner zugeordnet sind, die zumindest für den Weg über die Datenverbindung verschlüsselt werden, insbesondere in einem anderen Datenbezeichner versteckt, und bei Übermittlungsversuchen, insbesondere jedem Übermittlungsversuch, abgeändert werden, wobei insbesondere die Abfolge der Datenbezeichner im übermittelten Datenpaket abgeändert wird. The object is achieved by a method for preventing an unauthorized spying access data, which are entered by a user at an input terminal, and to a server by means of a data connection, in particular via the Internet, in particular by means of a browser, passed, wherein the access data to be entered Data identifiers are assigned, which are encrypted at least for the path over the data connection, in particular hidden in another data identifier, and modified in transmission attempts, in particular each transmission attempt, in particular the sequence of data identifiers is changed in the transmitted data packet.
Die Erfindung verhindert das wiederholte Aufrufen von Werten aus dem Clientcache sowie das offene Mitlesen in den übertragenen Daten und das Erkennen vom Mustern im Sinne eines Sicherheitskolonneneffekts. Durch die vorliegende Erfindung wird beispielsweise verhindert, dass jemand mit einem Hacker-Programm einfach eine Vielzahl von Anfragen an einen Server schickt, um im Versuchsverfahren die richtige Kombination aus Werten für Datenbezeichner, insbesondere Kontonummer und/oder PIN, zu bestimmen. In der vorliegenden Erfindung funktioniert die Sicherheitsverschlüsselung von einem Endpunkt zu einem anderen Endpunkt und liegt im wesentlichen in der Nutzer-Server-Anwendung selbst und es liegt an dem Entwickler bzw. Softwareanbieter mit welch hohem Grad an Verschlüsselung er arbeiten möchte. The invention prevents the repeated invocation of values from the client cache as well as the open reading in the transmitted data and the recognition of the patterns in the sense of a security column effect. The present invention prevents, for example, that someone with a hacker program simply sends a large number of requests to a server in order to determine the correct combination of values for data identifiers, in particular account number and / or PIN, in the trial procedure. In the present invention, security encryption operates from one endpoint to another endpoint, and is essentially the user-server application itself, and it is up to the developer or software vendor with which high level of encryption he wishes to work.
Durch die vorliegende Erfindung wird ein Hacking -Verfahren verhindert, da das Hacker-Programm nicht bestimmen kann, in welchem Datenbezeichner, insbesondere Variablen, welcher der Werte zu übergeben ist. Es geht also um ein Verfahren, mit dem das unberechtigte Erspähen von Zugangsdaten, insbesondere Login und/oder Passwort verhindert bzw. erschwert wird. Dabei werden die entsprechenden Datenbezeichner, insbesondere Variablennamen, in denen die einzugebenden Anmeldenamen gespeichert werden, verschlüsselt abgelegt und bei jedem Versuch auf dem Server erneut generiert. Somit ist es potentiellen Hackern nicht möglich, ein Pro- gramm zu schreiben, welches nach Zufallsprinzip oder Algorithmus mehrere Kombinationen aus Benutzername/Passwort ausprobiert. Die entsprechenden Variablennamen ändern sich von Versuch zu Versuch und lassen sich vom Eindringling nicht vorhersehen. The present invention prevents a hacking procedure because the hacker program can not determine in which data identifier, in particular variables, which of the values to pass. It is therefore a process by which unauthorized spied access data, in particular login and / or password is prevented or made more difficult. In this case, the corresponding data identifiers, in particular variable names in which the login names to be entered are stored, are stored encrypted and generated again on each attempt on the server. Thus, it is not possible for potential hackers to to write a grammatical program which randomly or algorithm tries several combinations of username / password. The corresponding variable names change from trial to trial and can not be foreseen by the intruder.
Weiter vorteilhaft ist es, wenn eine Authentifizierungsmaske, insbesondere eine Webseite, insbesondere mit einer Login-Maske, insbesondere für Online-Banking, durch das Eingabeterminal vom Server angefordert wird, wobei die Authentifizierungsmaske die verschlüsselten Datenbezeichner, insbesondere für Kontonummer und/oder PIN und/oder Geburtsdatum, aufweist. Authentifizierung ist insbesondere das Verfahren des Feststellens, dass ein bevollmächtigter Benutzer die Anforderung ausgelöst hat und die Anforderung nicht missbräuchlich durch einen Eindringling auf dem Weg durchs Netz verändert worden ist. Ein möglicher Hacker würde beispielsweise im Stand der Technik über den Seitenaufbau, beispielsweise den Login bei einem Online-Konto einer Bank, die Datenbezeichner, insbesondere Felder, insbesondere Variablen, identifizieren, deren Werte ausprobiert werden sollen, beispielsweise also Konto und/oder PIN. Dann könnte mittels eines Programms in Schleife alle möglichen Kombinationen der Werte der Datenbezeichner ausprobiert werden. Mit der vorliegenden Erfindung sind die Datenbezeichner, die Variablennamen beim jeweiligen Seitenaufruf verschlüsselt in einem anderen Feld versteckt, so dass er - ohne dieses Feld zu entschlüsseln - nicht weiß, in welchen Datenbezeichner er die Kontonummer und die PIN schreiben muss. It is also advantageous if an authentication mask, in particular a web page, in particular with a login mask, in particular for online banking, is requested by the server through the input terminal, wherein the authentication mask encodes the encrypted data identifiers, in particular for account number and / or PIN and / or or date of birth. In particular, authentication is the process of determining that an authorized user initiated the request and that the request has not been abused by an intruder on the way through the network. For example, in the prior art, a potential hacker would identify the page layout, such as logging into an online account of a bank, the data identifiers, especially fields, in particular variables, whose values should be tried out, for example account and / or PIN. Then, by means of a program in loop, all possible combinations of the values of the data identifiers could be tried out. With the present invention, the data identifiers, the variable names are encrypted in each page view hidden in another field, so that he - without decrypting this field - does not know in which data identifier he must write the account number and the PIN.
Weiter vorteilhaft ist es, wenn die verschlüsselten Datenbezeichner dynamische und/oder zufallsgenerierte Bezeichner sind. Insbesondere entschlüsselt der Client dann in einfacher Weise die vom Server übermittelten Bezeichnerfelder und greift auf die Werte der entschlüsselten Authentifizierungsfeldbezeichner zu, ohne dass dies dem Hackerprogramm möglich ist. It is also advantageous if the encrypted data identifiers are dynamic and / or randomly generated identifiers. In particular, the client then decrypts the identifier fields transmitted by the server in a simple manner and accesses the values of the decrypted authentication field identifiers without this being possible for the hacker program.
Weiter vorteilhaft ist es, wenn die verschlüsselten Datenbezeichner in Form eines versteckten Bezeichnerfelds mit verschlüsselten Datenbezeichnern als Wert eingebracht sind. Der Server erstellt insbesondere eine Authentifizierungsmaske aus dy- namischen und/oder zufallsgenerierten Bezeichnern für die Authentifizierungsfeld und/oder einem versteckten Bezeichnerfeid mit den verschlüsselten Authentifizie- rungsfeldbezeichnern als Wert. It is also advantageous if the encrypted data identifiers are introduced as a value in the form of a hidden identifier field with encrypted data identifiers. In particular, the server creates an authentication mask of dy- naming and / or randomized identifiers for the authentication field and / or a hidden identifier field with the encrypted authentication field identifiers as a value.
Weiter vorteilhaft ist es, wenn für die verschlüsselten Datenbezeichner ein einmaliger, zeitlich begrenzter Schlüssel als Sitzungskennung verwendet wird. Der Server benutzt somit insbesondere einen einmaligen, zeitlich begrenzten Schlüssel, eine Sitzungskennung/Session-ID oder ähnliches und/oder erstellt versteckte Felder beliebiger Bezeichner und Werte und mischt diese in die Reihenfolge aller Felder der Authentifizierungsmaske, die sichtbar oder nicht sichtbar sind. It is also advantageous if a unique, time-limited key is used as the session identifier for the encrypted data identifiers. In particular, the server uses a unique, time-limited key, a session identifier / session ID or the like, and / or creates hidden fields of arbitrary identifiers and values, and shuffles them into the order of all fields of the authentication mask that are visible or invisible.
Weiter vorteilhaft ist es, wenn versteckte Felder eines oder mehrerer Datenbezeichner und Werte erstellt werden und diese in der Reihenfolge aller Felder der Authentifizierungsmaske sichtbar oder nicht sichtbar einzurichten sind. It is also advantageous if hidden fields of one or more data identifiers and values are created and these are visible or not visible in the order of all fields of the authentication mask.
Weiter vorteilhaft ist es, wenn nach der Eingabe der Werte der Datenbezeichner durch das Eingabeterminal und nach der RückÜbermittlung an den Server eine Entschlüsselung der Datenbezeichner vorgenommen wird. It is further advantageous if, after the input of the values of the data identifiers by the input terminal and after the return transmission to the server, a decryption of the data identifiers is carried out.
Weiter vorteilhaft ist es, wenn im Server nach der Entschlüsselung auf die Werte der Datenbezeichner zurückgegriffen wird und ein Wertevergleich mit vorgegebenen Werten vorgenommen wird. It is also advantageous if, in the server after decryption, the values of the data identifiers are used and a value comparison with predefined values is carried out.
Weiter vorteilhaft ist es, wenn der Server eine Autorisierung des Anwenders vornimmt. Hierdurch wird geprüft, ob die Daten übereinstimmen . Im positiven Fall wird der Zugang frei gegeben. It is also advantageous if the server carries out an authorization of the user. This will check if the data matches. In case of positive access is granted.
Die Aufgabe wird ebenfalls gelöst durch eine Vorrichtung zur Verhinderung eines unberechtigte Erspähens von Zugangsdaten, insbesondere zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 9, mit einem Eingabeterminal, in das von einem Benutzer Zugangsdaten einzugeben sind, einem Server an den die Zugangsdaten mittels einer Datenverbindung, insbesondere über das Internet, insbe- sondere mittels eines Browsers, weiterzugeben sind, wobei den einzugebenden Zugangsdaten Datenbezeichner zugeordnet sind, die zumindest für den Weg über die Datenverbindung verschlüsselt sind, insbesondere in einem anderen Datenbezeichner versteckt, und bei Übermittlungsversuchen, insbesondere jedem Übermittlungsversuch, abzuändern sind. The object is also achieved by a device for preventing unauthorized spying on access data, in particular for carrying out a method according to one of claims 1 to 9, with an input terminal, in which access data are to be entered by a user, to a server to which the access data by means of a Data connection, in particular via the Internet, in particular special be assigned by means of a browser, the access data to be entered are associated with data identifiers that are encrypted at least for the way through the data connection, in particular hidden in another data identifier, and in transmission attempts, in particular each transmission attempt to change.
Weitere Merkmale und Vorteile der Erfindung ergeben sich aus den Ansprüchen und der nachstehenden Beschreibung, in der Ausführungsbeispiele des Gegenstands der Erfindung in Verbindung mit den Zeichnungen näher erläutert sind. Es zeigt: Further features and advantages of the invention will become apparent from the claims and the following description in which embodiments of the subject invention in conjunction with the drawings are explained in more detail. It shows:
Fig. 1 eine schematische Anordnung zur Durchführung des Verfahrens. Fig. 1 is a schematic arrangement for carrying out the method.
Fig. 1 zeigt eine- schematische Anordnung zur Durchführung des Verfahrens. Der Anwender mit dem Eingabeterminal 1 fordert vom Server 2 die Übermittlung eines Authentifizierungsmaske 4 an. Der Anwender ruft beispielsweise die login-Maske für Online-Banking einer Bank auf, Der Server 2 erzeugt die Authentifizierungsmaske und liefert diese an den Anwender zurück. Dabei sind vorbestimmte Eingabefelder vorgesehen, beispielsweise Kontonummer und/oder PIN, für die an den Anwender entsprechende Datenbezeichner, insbesondere Variablennamen, mitgeben werden, in denen dann auf dem Rückweg die Eingabewerte gespeichert werden. Die Datenbezeichner werden vom Server 2 erfindungsgemäß beispielsweise per Zufallsprinzip generiert, so dass niemand auf dem unsicheren Weg zwischen Anwender und Server anhand der Namen der Datenbezeichner erkennen kann, welche Informationen darin enthalten sind. Falls somit beispielsweise ein Hacker den Datenstrom mitschneidet, kann er nicht erkennen, wie beispielsweise die Variable zum Aufnehmen der Kontonummer benannt ist. Nachdem der Server 2 somit die Authentifizierungsmaske 4 ausgeliefert hat, gibt der Anwender die Daten, insbesondere Kontonummer und/oder PIN ein, und versendet eingegebene Werte der Authentifizierungsmaske 4 an den Server 2 zurück. Die Daten werden somit vom Anwender zum Server 2 übertragen, ohne dass jemand erkennen kann, ob beispielsweise eine Eingabe "1234" die Kon- tonummer, PIN, Geburtsdatum war. Der Server 2 wertet die übertragenen Daten aus und autorisiert den Anwender oder nicht. Im positiven Fall gibt der Server 2 den Zugang frei. Durch die vorliegende Erfindung werden Angriffe durch Algorithmen zum mehrmaligen Versuchen von verschiedenen Kombinationen von Authentifizierungs- werten erschwert. Fig. 1 shows a schematic arrangement for carrying out the method. The user with the input terminal 1 requests the transmission of an authentication mask 4 from the server 2. For example, the user calls the login mask for online banking of a bank. Server 2 generates the authentication mask and returns it to the user. In this case, predetermined input fields are provided, for example account number and / or PIN, for which corresponding data identifiers, in particular variable names, are given to the user, in which the input values are then stored on the return path. According to the invention, the data identifiers are generated by the server 2 at random, for example, so that nobody on the insecure path between the user and the server can recognize from the names of the data identifiers which information is contained therein. Thus, for example, if a hacker records the data stream, he can not detect, for example, how the variable is named to record the account number. After the server 2 has thus delivered the authentication mask 4, the user enters the data, in particular the account number and / or PIN, and returns inputted values of the authentication mask 4 to the server 2. The data is thus transferred from the user to the server 2, without anyone being able to recognize, for example, whether an input "1234" sound number, PIN, date of birth was. The server 2 evaluates the transmitted data and authorizes the user or not. In the positive case, the server 2 releases the access. The present invention complicates attacks by algorithms for retrying multiple combinations of authentication values.
BEZUGSZEICHENLISTE LIST OF REFERENCE NUMBERS
1 Eingabeterminal 1 input terminal
2 Server 2 servers
3 Datenverbindung 3 data connection
4 Authentifizierungsmaske 4 authentication mask

Claims

ANSPRÜCHE
1. Verfahren zur Verhinderung eines unberechtigte Erspähens von Zugangsdaten, die von einem Benutzer an einem Eingabeterminal (1) eingegeben werden, und an einen Server (2) mittels einer Datenverbindung (3), insbesondere über das Internet, insbesondere mittels eines Browsers, weiterge- geben werden, wobei den einzugebenden Zugangsdaten Datenbezeichner zugeordnet sind, die zumindest für den Weg über die Datenverbindung (3) verschlüsselt werden, insbesondere in einem anderen Datenbezeichner versteckt, und bei Übermittlungsversuchen, insbesondere jedem Übermittlungsversuch, abgeändert werden, wobei insbesondere die Abfolge der Datenbezeichner im übermittelten Datenpaket abgeändert wird. 1. A method for preventing unauthorized spying of access data entered by a user at an input terminal (1) and to a server (2) by means of a data connection (3), in particular via the Internet, in particular by means of a browser. be assigned, wherein the access data to be entered data identifiers are assigned, at least for the way via the data connection (3) are encrypted, especially hidden in another data identifier, and modified in transmission attempts, in particular each transmission attempt, in particular the sequence of data identifiers in transmitted data packet is changed.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass eine Authentifi- zierungsmaske (4), insbesondere eine Webseite, insbesondere mit einer Login-Maske, insbesondere für Online-Banking, durch das Eingabeterminal (1) vom Server (2) angefordert wird, wobei die Authentifizierungsmaske (4) die verschlüsselten Datenbezeichner, insbesondere für Kontonummer und/oder PIN und/oder Geburtsdatum, aufweist. 2. Method according to claim 1, characterized in that an authentication mask (4), in particular a web page, in particular with a login mask, in particular for online banking, is requested by the input terminal (1) from the server (2), wherein the authentication mask (4) comprises the encrypted data identifiers, in particular for account number and / or PIN and / or date of birth.
3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass die verschlüsselten Datenbezeichner dynamische und/oder zufallsgenerierte Bezeichner sind. 3. The method according to any one of claims 1 or 2, characterized in that the encrypted data identifiers are dynamic and / or randomly generated identifiers.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die verschlüsselten Datenbezeichner in Form eines versteckten Bezeichnerfelds mit verschlüsselten Datenbezeichnern als Wert eingebracht sind. 4. The method according to any one of claims 1 to 3, characterized in that the encrypted data identifier in the form of a hidden Identifier field with encrypted data identifiers are introduced as a value.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass für die verschlüsselten Datenbezeichner ein einmaliger, zeitlich be- grenzter Schlüssel als Sitzungskennung verwendet wird. 5. The method according to any one of claims 1 to 4, characterized in that for the encrypted data identifier, a unique, time-limited key is used as a session identifier.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass versteckte Felder eines oder mehrerer Datenbezeichner und Werte erstellt werden und diese in der Reihenfolge aller Felder der Authentifizie- rungsmaske (4) sichtbar oder nicht sichtbar einzurichten sind. 6. The method according to any one of claims 1 to 5, characterized in that hidden fields of one or more data identifiers and values are created and these are visible or not visible in the order of all fields of the authentication mask (4) set up.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass nach der Eingabe der Werte der Datenbezeichner durch das Eingabeterminal (1 ) und nach der RückÜbermittlung an den Server (2) eine Ent- Schlüsselung der Datenbezeichner vorgenommen wird . 7. The method according to any one of claims 1 to 6, characterized in that after entering the values of the data identifier by the input terminal (1) and after the return transmission to the server (2) a decryption of the data identifier is made.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass im Server (2) nach der Entschlüsselung auf die Werte der Datenbezeichner zurückgegriffen wird und ein Wertevergleich mit vorgegebenen Werten vorgenommen wird. 8. The method according to any one of claims 1 to 7, characterized in that is used in the server (2) after the decryption on the values of the data identifier and a value comparison is made with predetermined values.
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass der Server (2) eine Autorisierung des Anwenders vornimmt. 9. The method according to any one of claims 1 to 8, characterized in that the server (2) carries out an authorization of the user.
10. Vorrichtung zur Verhinderung eines unberechtigte Erspähens von Zugangsdaten, insbesondere zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 9, mit einem Eingabeterminal (1), in das von einem Benutzer Zugangsdaten einzugeben sind, einem Server (2) an den die Zugangsdaten mittels einer Datenverbindung (3), insbesondere über das Internet, ins- besondere mittels eines Browsers, weiterzugeben sind, wobei den einzugebenden Zugangsdaten Datenbezeichner zugeordnet sind, die zumindest für den Weg über die Datenverbindung (3) verschlüsselt sind, insbesonde- re in einem anderen Datenbezeichner versteckt, und bei Übermittlungsversuchen, insbesondere jedem Übermittlungsversuch, abzuändern sind. 10. A device for preventing unauthorized spying on access data, in particular for carrying out a method according to one of claims 1 to 9, with an input terminal (1), in which access data are to be entered by a user, to a server (2) to which the access data a data connection (3), in particular via the Internet, in particular by means of a browser, are to be passed, wherein the access data to be entered data identifiers are assigned, which are encrypted at least for the way through the data connection (3), in particular are hidden in another data identifier and are to be modified in transmission attempts, in particular each transmission attempt.
PCT/DE2011/002031 2010-11-25 2011-11-25 Method and apparatus for preventing unauthorized detection of access data WO2012069043A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102010052324A DE102010052324A1 (en) 2010-11-25 2010-11-25 Method and device for preventing unauthorized spying on access data
DE102010052324.0 2010-11-25

Publications (2)

Publication Number Publication Date
WO2012069043A2 true WO2012069043A2 (en) 2012-05-31
WO2012069043A3 WO2012069043A3 (en) 2012-12-27

Family

ID=45606894

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2011/002031 WO2012069043A2 (en) 2010-11-25 2011-11-25 Method and apparatus for preventing unauthorized detection of access data

Country Status (2)

Country Link
DE (1) DE102010052324A1 (en)
WO (1) WO2012069043A2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11042628B2 (en) * 2018-02-15 2021-06-22 Verifone, Inc. Systems and methods for authentication code entry using mobile electronic devices

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11507752A (en) * 1995-06-07 1999-07-06 オープン・マーケット・インコーポレーテッド Internet server access control and monitoring system
DE60130037T2 (en) * 2000-11-09 2008-05-08 International Business Machines Corp. PROCESS AND SYSTEM FOR WEB-BASED CROSS-DOMAIN AUTHORIZATION WITH UNIQUE REGISTRATION
EP1892642A4 (en) * 2005-05-31 2012-06-13 Sharp Kk Service providing system, service using device, template transmitter

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None

Also Published As

Publication number Publication date
DE102010052324A1 (en) 2012-05-31
WO2012069043A3 (en) 2012-12-27

Similar Documents

Publication Publication Date Title
EP1777907B1 (en) Method and devices for carrying out cryptographic operations in a client-server network
EP1358533B1 (en) Method, arrangement and secure medium for authentication of a user
DE102011089580B3 (en) Method for reading e.g. attribute stored in passport, for electronic-commerce application, involves examining whether attribute of security assertion markup language response fulfills criterion as premiss for contribution of service
WO2018137889A1 (en) Method for carrying out a two-factor authentication
EP2289222B1 (en) Method, authentication server and service server for authenticating a client
WO2016008659A1 (en) Method and a device for securing access to wallets in which cryptocurrencies are stored
DE112006001151T5 (en) Computer security system and method
EP4357945A2 (en) Method for reading an attribute from an id token
DE102014206325A1 (en) Distributed authentication system
EP2620892B1 (en) Method for generating a pseudonym with the help of an ID token
DE102010037784B4 (en) Method for increasing the security of security-related online services
DE102017006200A1 (en) Method, hardware and system for dynamic data transmission to a blockchain computer network for storing personal data around this part again block by block as the basis for end to end encryption used to dynamically update the data collection process via the data transmission module in real time from sensor units. The block modules on the blockchain database system are infinitely expandable.
EP2631837B1 (en) Method for generating a pseudonym with the help of an ID token
DE102014116883B4 (en) Method of accessing features of an embedded device
WO2012069043A2 (en) Method and apparatus for preventing unauthorized detection of access data
DE10251408A1 (en) Secure and mediated access for e-services
EP2783320A1 (en) Method for authenticating a person at a server instance
CH715740A2 (en) Procedure for determining unauthorized access to data.
DE102014114432B4 (en) A method, apparatus and computer program for controlling access to a service within a network
EP1054364A2 (en) Method to improve security of systems using digital signatures
DE102021125572B9 (en) Method for performing an authentication process by an individual system user
EP2230648A1 (en) Single-use code mask for deriving a single-use code
DE10242673A1 (en) Banking e-business transactions user identification procedure, involves sending encrypted code and encrypted identity data and code to receiver
DE102012106081A1 (en) Method for encrypted and anonymous storing and managing personal data and codes on separate systems, involves authorizing third parties by encrypted and transaction-referred transferred authorization request by user for transactions
DE102018004690A1 (en) Secure off-road log-in without entering passwords

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11817513

Country of ref document: EP

Kind code of ref document: A2

WWE Wipo information: entry into national phase

Ref document number: 1120111041349

Country of ref document: DE

122 Ep: pct application non-entry in european phase

Ref document number: 11817513

Country of ref document: EP

Kind code of ref document: A2