-
Die vorliegende Erfindung betrifft das Gebiet der Passwortverwaltung.
-
Passwörter von Nutzern können auf verschiedenste Weise, beispielsweise in kryptographisch gesicherter Form unter Verwendung von Hashwerten und Salts, in einer Datenbank abgelegt sein. Häufig wird bei der Passwortverwaltung auf die Verwendung von Hashwerten oder Salts verzichtet, da Ansätze zur Aktualisierung der kryptographischen Schutzmechanismen gegenwärtig nicht standardisiert sind und somit mit einem hohen Implementierungsaufwand verbunden sind.
-
Im Falle eines Datenlecks in der Datenbank, sind die Passwörter bzw. Hashwerte typischerweise Wörterbuchangriffen oder Brute-Force-Angriffen ausgesetzt. Die Erfolgsaussichten von potentiellen Angreifern können beispielsweise dadurch steigen, dass neue Schwächen in den verwendeten kryptographischen Hashfunktionen entdeckt werden.
-
Eine Aktualisierung der verwendeten kryptographischen Hashfunktion erfordert jedoch typischerweise, dass alle Passwörter der Nutzer im Klartext vor der Aktualisierung der kryptographischen Hashfunktion erneut bereitgestellt werden. Dabei wird die neue kryptographische Hashfunktion auf jedes erneut verfügbare Passwort im Klartext angewendet, beispielsweise bei einem erneuten Login eines Nutzers. Die vollständige Aktualisierung erfordert dabei viel Zeit und ist nicht immer möglich. Insbesondere ist die Datenbank mit den Passwörtern in dieser Zeit besonders angreifbar.
-
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein effizientes Konzept zum Verwalten eines Passwortes eines Nutzers zu schaffen.
-
Diese und weitere Aufgaben werden durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Patentansprüche, der Beschreibung sowie der Zeichnungen.
-
Die Erfindung basiert auf der Erkenntnis, dass die obige Aufgabe durch eine Netzwerkentität in einem Kommunikationsnetzwerk gelöst werden kann, welche einen Frontend-Server, eine Datendiode und einen Backend-Server umfasst, wobei die Datendiode zwischen dem Frontend-Server und Backend-Server eingebracht ist. Ein Passwort eines Nutzers wird durch den Frontend-Server über das Kommunikationsnetzwerk empfangen und über die Datendiode zu dem Backend-Server übertragen, welcher das Passwort kryptographisch gesichert in Form eines Hashwertes speichert. Durch die Datendiode wird erreicht, dass ein Datenleck in dem Backend-Server wirksam verhindert werden kann, und der Hashwert des Passwortes nicht direkt über das Kommunikationsnetzwerk zugänglich ist. Der Frontend-Server kann einer ersten Sicherheitsdomäne zugeordnet sein, welche geringe Sicherheitsanforderungen aufweist, und der Backend-Server kann einer zweiten Sicherheitsdomäne zugeordnet sein, welche hohe Sicherheitsanforderungen aufweist.
-
Der Backend-Server kann ferner eine Aktualisierung des Hashwertes des Passwortes durchführen, indem eine weitere kryptographische Hashfunktion auf den bereits gespeicherten Hashwert angewendet wird und diesen ersetzt. Folglich kann auf eine erneute Bereitstellung des Passwortes verzichtet werden und eine automatisierte Aktualisierung der verwendeten kryptographischen Hashfunktionen realisiert werden.
-
Für eine nachfolgende Authentifizierung des Nutzers über das Kommunikationsnetzwerk kann der Frontend-Server ferner ein Vergleichspasswort über das Kommunikationsnetzwerk empfangen, und über die Datendiode zu dem Backend-Server übertragen. Der Backend-Server kann daraufhin einen Vergleichshashwert des Vergleichspasswortes bestimmen, und diesen mit dem gespeicherten Hashwert vergleichen, um den Nutzer zu authentifizieren. Ein Authentifizierungsindikator, welcher die erfolgreiche Authentifizierung des Nutzers anzeigt, kann anschließend über einen Rückkanal der Datendiode zu dem Frontend-Server übertragen werden. Folglich kann die Netzwerkentität zur Authentifizierung des Nutzers über das Kommunikationsnetzwerk eingesetzt werden, wobei die kryptographischen Hashfunktionen in einer gesicherten Umgebung hinter der Datendiode durch den Backend-Server angewendet werden können.
-
Das Konzept kann entsprechend zur Verwaltung einer Mehrzahl von Passwörtern einer Mehrzahl von Nutzern verwendet werden. Ferner kann eine Authentifizierung der jeweiligen Nutzer über das Kommunikationsnetzwerk effizient realisiert werden.
-
Gemäß einem ersten Aspekt betrifft die Erfindung eine Netzwerkentität zum Verwalten eines Passwortes eines Nutzers. Die Netzwerkentität umfasst einen Frontend-Server, welcher ausgebildet ist, eine Kommunikationsnachricht mit dem Passwort über ein Kommunikationsnetzwerk zu empfangen, das Passwort aus der Kommunikationsnachricht zu extrahieren, und das Passwort über eine erste Datenverbindung auszusenden. Die Netzwerkentität umfasst ferner eine Datendiode, welche ausgebildet ist, das Passwort über einen Vorwärtskanal der Datendiode weiterzuleiten, wobei die Datendiode ausgebildet ist, das Passwort über die erste Datenverbindung zu empfangen, und das Passwort über eine zweite Datenverbindung auszusenden. Die Netzwerkentität umfasst ferner einen Backend-Server, welcher ausgebildet ist, das Passwort über die zweite Datenverbindung zu empfangen, eine kryptographische Hashfunktion auf das Passwort anzuwenden, um einen Hashwert des Passwortes zu erhalten, und den Hashwert des Passwortes zu speichern, um das Passwort des Nutzers zu verwalten.
-
Die Datendiode ist im Allgemeinen vorgesehen, eine Weiterleitung beliebiger Daten in einer Hauptrichtung zuzulassen und eine Weiterleitung beliebiger Daten in einer Gegenrichtung zu sperren bzw. zu beschränken. Der Vorwärtskanal dient vorliegend insbesondere der unidirektionalen Weiterleitung des Passwortes in der Hauptrichtung, wobei das Passwort über die erste Datenverbindung empfangen und über die zweite Datenverbindung ausgesendet wird. Der Vorwärtskanal der Datendiode kann ausgebildet sein, ausschließlich das Passwort und gegebenenfalls ein Vergleichspasswort weiterzuleiten.
-
Gemäß einer Ausführungsform umfasst der Backend-Server eine Datenbank, wobei die Datenbank ausgebildet ist, den Hashwert des Passwortes zu speichern. Dadurch wird bewirkt, dass der Hashwert des Passwortes effizient gespeichert und verwaltet werden kann.
-
Gemäß einer Ausführungsform ist die kryptographische Hashfunktion eine der folgenden kryptographischen Hashfunktionen: Password-Based Key Derivation Function 1 (PBKDF1), Password-Based Key Derivation Function 2 (PBKDF2), Keyed-Hash Message Authentication Code (HMAC), oder Argon2. Insbesondere kann ein HMAC-SHA256 als Keyed-Hash Message Authentication Code (HMAC) verwendet werden. Dadurch wird bewirkt, dass die verwendete kryptographische Hashfunktion effizient implementiert werden kann.
-
Gemäß einer Ausführungsform ist der Backend-Server ausgebildet, eine weitere kryptographische Hashfunktion auf den Hashwert des Passwortes anzuwenden, um einen weiteren Hashwert des Passwortes zu erhalten, und den Hashwert durch den weiteren Hashwert zu ersetzen. Dadurch wird bewirkt, dass auf eine erneute Bereitstellung des Passwortes bei einer Aktualisierung der verwendeten kryptographischen Hashfunktion verzichtet werden kann.
-
Gemäß einer Ausführungsform ist die weitere kryptographische Hashfunktion eine der folgenden weiteren kryptographischen Hashfunktionen: Password-Based Key Derivation Function 1 (PBKDF1), Password-Based Key Derivation Function 2 (PBKDF2), Keyed-Hash Message Authentication Code (HMAC), oder Argon2. Insbesondere kann ein HMAC-SHA256 als Keyed-Hash Message Authentication Code (HMAC) verwendet werden.
-
Dadurch wird bewirkt, dass die verwendete weitere kryptographische Hashfunktion effizient implementiert werden kann.
-
Gemäß einer Ausführungsform sind die kryptographische Hashfunktion und die weitere kryptographische Hashfunktion unterschiedlich. Dadurch wird bewirkt, dass eine automatisierte Aktualisierung der verwendeten Hashfunktionen effizient realisiert werden kann. Insbesondere kann die weitere kryptographische Hashfunktion eine neu entwickelte kryptographische Hashfunktion sein, welche beispielsweise eine verbesserte Widerstandsfähigkeit gegen kryptographische Angriffe aufweist.
-
Gemäß einer Ausführungsform ist der Frontend-Server ausgebildet, eine weitere Kommunikationsnachricht mit einem Vergleichspasswort über das Kommunikationsnetzwerk zu empfangen, das Vergleichspasswort aus der weiteren Kommunikationsnachricht zu extrahieren, und das Vergleichspasswort über die erste Datenverbindung auszusenden, wobei die Datendiode ausgebildet ist, das Vergleichspasswort über den Vorwärtskanal der Datendiode weiterzuleiten, wobei die Datendiode ausgebildet ist, das Vergleichspasswort über die erste Datenverbindung zu empfangen, und das Vergleichspasswort über die zweite Datenverbindung auszusenden, und wobei der Backend-Server ausgebildet ist, das Vergleichspasswort über die zweite Datenverbindung zu empfangen, die kryptographische Hashfunktion auf das Vergleichspasswort anzuwenden, um einen Vergleichshashwert des Vergleichspasswortes zu erhalten, den Hashwert des Passwortes mit dem Vergleichshashwert des Vergleichspasswortes zu vergleichen, und einen Authentifizierungsindikator zu erzeugen falls der Hashwert dem Vergleichshashwert entspricht. Dadurch wird bewirkt, dass eine effiziente Authentifizierung des Nutzers in einer gesicherten Umgebung hinter der Datendiode durch den Backend-Server realisiert werden kann.
-
Gemäß einer Ausführungsform ist der Backend-Server ausgebildet, die weitere kryptographische Hashfunktion auf den Vergleichshashwert des Vergleichspasswortes anzuwenden, um einen weiteren Vergleichshashwert des Vergleichspasswortes zu erhalten, und den Vergleichshashwert durch den weiteren Vergleichshashwert zu ersetzen. Dadurch wird bewirkt, dass eine Authentifizierung des Nutzers nach einer Aktualisierung der verwendeten Hashfunktionen realisiert werden kann.
-
Gemäß einer Ausführungsform ist der Backend-Server ausgebildet, den Authentifizierungsindikator über die zweite Datenverbindung auszusenden, wobei die Datendiode ausgebildet ist, den Authentifizierungsindikator über einen Rückkanal der Datendiode weiterzuleiten, wobei die Datendiode ausgebildet ist, den Authentifizierungsindikator über die zweite Datenverbindung zu empfangen, und den Authentifizierungsindikator über die erste Datenverbindung auszusenden, und wobei der Frontend-Server ausgebildet ist, den Authentifizierungsindikator über die erste Datenverbindung zu empfangen. Dadurch wird bewirkt, dass eine Authentifizierung des Nutzers effizient signalisiert werden kann.
-
Der Rückwärtskanal dient vorliegend insbesondere der unidirektionalen Weiterleitung des Authentifizierungsindikators in der Gegenrichtung, wobei der Authentifizierungsindikator über die zweite Datenverbindung empfangen und über die erste Datenverbindung ausgesendet wird. Der Rückwärtskanal der Datendiode kann ausgebildet sein, ausschließlich den Authentifizierungsindikator weiterzuleiten.
-
Gemäß einer Ausführungsform ist die Datendiode ausgebildet, den Hashwert des Passwortes nicht über den Rückkanal der Datendiode weiterzuleiten. Der Rückkanal ist folglich gesperrt für den Hashwert des Passwortes. Dadurch wird bewirkt, dass der Hashwert des Passwortes nicht über das Kommunikationsnetzwerk zugänglich ist.
-
Gemäß einer Ausführungsform umfasst der Backend-Server einen kryptographischen Coprozessor, welcher ausgebildet ist, die kryptographische Hashfunktion anzuwenden. Dadurch wird bewirkt, dass die kryptographische Hashfunktion effizient angewendet werden kann.
-
Gemäß einer Ausführungsform ist der kryptographische Coprozessor ferner ausgebildet, die weitere kryptographische Hashfunktion anzuwenden. Dadurch wird bewirkt, dass die weitere kryptographische Hashfunktion effizient angewendet werden kann.
-
Gemäß einer Ausführungsform ist der Frontend-Server einer ersten Sicherheitsdomäne zugeordnet, wobei der Backend-Server einer zweiten Sicherheitsdomäne zugeordnet ist. Die erste Sicherheitsdomäne kann beispielsweise geringere Sicherheitsanforderungen aufweisen als die zweite Sicherheitsdomäne. Dadurch wird bewirkt, dass durch die Datendiode zwei Sicherheitsdomänen effizient voneinander getrennt werden können.
-
Gemäß einem zweiten Aspekt betrifft die Erfindung eine Anordnung zum Verwalten eines Passwortes eines Nutzers. Die Anordnung umfasst eine Netzwerkentität gemäß dem ersten Aspekt der Erfindung, und eine weitere Netzwerkentität gemäß dem ersten Aspekt der Erfindung, wobei der Frontend-Server der Netzwerkentität und der weitere Frontend-Server der weiteren Netzwerkentität über das Kommunikationsnetzwerk miteinander verbunden sind.
-
Gemäß einer Ausführungsform ist der Frontend-Server der Netzwerkentität ausgebildet, die Kommunikationsnachricht mit dem Passwort an den weiteren Frontend-Server der weiteren Netzwerkentität über das Kommunikationsnetzwerk weiterzuleiten. Dadurch wird bewirkt, dass die Kommunikationsnachricht mit dem Passwort sowohl durch die Netzwerkentität als auch durch die weitere Netzwerkentität weiterverarbeitet werden kann, und der Hashwert des Passwortes folglich redundant in beiden Netzwerkentitäten gespeichert werden kann.
-
Gemäß einem dritten Aspekt betrifft die Erfindung ein Verfahren zum Verwalten eines Passwortes eines Nutzers mittels einer Netzwerkentität, wobei die Netzwerkentität einen Frontend-Server, eine Datendiode und einen Backend-Server umfasst, und wobei die Datendiode ausgebildet ist, das Passwort über einen Vorwärtskanal der Datendiode weiterzuleiten. Das Verfahren umfasst ein Empfangen einer Kommunikationsnachricht mit dem Passwort über ein Kommunikationsnetzwerk durch den Frontend-Server, ein Extrahieren des Passwortes aus der Kommunikationsnachricht durch den Frontend-Server, ein Aussenden des Passwortes über eine erste Datenverbindung durch den Frontend-Server, ein Empfangen des Passwortes über die erste Datenverbindung durch die Datendiode, ein Aussenden des Passwortes über eine zweite Datenverbindung durch die Datendiode, ein Empfangen des Passwortes über die zweite Datenverbindung durch den Backend-Server, ein Anwenden einer kryptographischen Hashfunktion auf das Passwort durch den Backend-Server, um einen Hashwert des Passwortes zu erhalten, und ein Speichern des Hashwertes des Passwortes durch den Backend-Server, um das Passwort des Nutzers zu verwalten.
-
Das Verfahren kann durch die Netzwerkentität ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen oder der Funktionalität der Netzwerkentität.
-
Gemäß einem vierten Aspekt betrifft die Erfindung ein Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens gemäß dem dritten Aspekt der Erfindung.
-
Weitere Ausführungsformen der Erfindung werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
- 1 ein schematisches Diagramm einer Netzwerkentität zum Verwalten eines Passwortes eines Nutzers;
- 2 ein schematisches Diagramm einer Anordnung zum Verwalten eines Passwortes eines Nutzers;
- 3 ein schematisches Diagramm eines Verfahrens zum Verwalten eines Passwortes eines Nutzers; und
- 4 ein schematisches Diagramm einer Datendiode zum Weiterleiten eines Passwortes über einen Vorwärtskanal der Datendiode.
-
1 zeigt ein schematisches Diagramm einer Netzwerkentität 100 zum Verwalten eines Passwortes eines Nutzers. Die Netzwerkentität 100 umfasst einen Frontend-Server 101, welcher ausgebildet ist, eine Kommunikationsnachricht mit dem Passwort über ein Kommunikationsnetzwerk zu empfangen, das Passwort aus der Kommunikationsnachricht zu extrahieren, und das Passwort über eine erste Datenverbindung auszusenden. Die Netzwerkentität 100 umfasst ferner eine Datendiode 103, welche ausgebildet ist, das Passwort über einen Vorwärtskanal der Datendiode 103 weiterzuleiten, wobei die Datendiode 103 ausgebildet ist, das Passwort über die erste Datenverbindung zu empfangen, und das Passwort über eine zweite Datenverbindung auszusenden. Die Netzwerkentität 100 umfasst ferner einen Backend-Server 105, welcher ausgebildet ist, das Passwort über die zweite Datenverbindung zu empfangen, eine kryptographische Hashfunktion auf das Passwort anzuwenden, um einen Hashwert des Passwortes zu erhalten, und den Hashwert des Passwortes zu speichern, um das Passwort des Nutzers zu verwalten.
-
Der Backend-Server 105 kann eine Datenbank 107 umfassen, wobei die Datenbank 107 ausgebildet ist, den Hashwert des Passwortes zu speichern. Die Datenbank 107 kann beispielsweise mittels eines Redundant Array of Independent Disks (RAID) implementiert sein, um die Robustheit der Datenbank 107 zu erhöhen.
-
Der Backend-Server 105 kann ausgebildet sein, eine weitere kryptographische Hashfunktion auf den Hashwert des Passwortes anzuwenden, um einen weiteren Hashwert des Passwortes zu erhalten, und den Hashwert durch den weiteren Hashwert zu ersetzen. Dadurch kann eine Verkettung von Hashwerten realisiert werden. Somit kann der Hashwert des Passworts bzw. das Passwort selbst geschützt bleiben, falls eine Schwäche der kryptographischen Hashfunktion entdeckt wird.
-
Der Backend-Server 105 kann ferner einen kryptographischen Coprozessor 109 umfassen, welcher ausgebildet ist, die kryptographische Hashfunktion und/oder die weitere kryptographische Hashfunktion anzuwenden. Der Backend-Server 105 kann zusätzliche kryptographische Coprozessoren umfassen, um die Anwendung der kryptographischen Hashfunktion und/oder der weiteren kryptographischen Hashfunktion zu beschleunigen.
-
Die Netzwerkentität 100 ermöglicht eine automatisierte Aktualisierung der verwendeten Hashfunktionen, wobei die weitere kryptographische Hashfunktion beispielsweise mittels einer abgesicherten Aktualisierungsfunktion im Backend-Server 105 bzw. im kryptographischen Coprozessor 109 implementiert werden kann. Durch die Verwendung der Datendiode 103 zwischen dem Frontend-Server 101 und dem Backend-Server 105 kann der Hashwert des Passwortes in der Datenbank 107 gespeichert sein, wobei Datenlecks der Datenbank 107 wirksam verhindert werden können.
-
Eine Aktualisierung der Funktionalität des Frontend-Servers 101 kann online über das Kommunikationsnetzwerk erfolgen, wobei eine Signatur der Aktualisierungsinformationen durch den Frontend-Server 101 vorab verifiziert werden kann. Eine Aktualisierung der Funktionalität des Backend-Servers 105 kann einen physikalischen Zugang zu dem Backend-Server 105 erfordern, wobei die Aktualisierungsinformationen mittels eines USB-Datenspeichers auf den Backend-Server 105 übertragen werden können, und wobei eine Signatur der Aktualisierungsinformationen durch den Backend-Server 105 vorab verifiziert werden kann. Der USB-Datenspeicher kann anschließend sicher gelöscht werden.
-
Die Kommunikation zwischen einem Client des Nutzers und dem Frontend-Server 101 über das Kommunikationsnetzwerk kann beispielsweise mittels einer Kommunikationsverbindung erfolgen, welche mittels Transport Layer Security (TLS) geschützt ist. Die Kommunikation kann unter Verwendung verschiedener Kommunikationsprotokolle, beispielsweise einem Lightweight Directory Access Protocol (LDAP), erfolgen. Der Frontend-Server 101 kann eine Festplattenverschlüsselung (engl. Full Disk Encryption, FDE) verwenden.
-
2 zeigt ein schematisches Diagramm einer Anordnung 200 zum Verwalten eines Passwortes eines Nutzers. Die Anordnung 200 umfasst eine Netzwerkentität 100 und eine weitere Netzwerkentität 100a, wobei die Netzwerkentität 100 und die weitere Netzwerkentität 100a jeweils gemäß 1 ausgebildet sind. Die Netzwerkentität 100 umfasst einen Frontend-Server 101, eine Datendiode 103 und einen Backend-Server 105 mit einer Datenbank 107 und einem kryptographischen Coprozessor 109. Die weitere Netzwerkentität 100a umfasst einen weiteren Frontend-Server 101a, eine weitere Datendiode 103a und einen weiteren Backend-Server 105a mit einer weiteren Datenbank 107a und einem weiteren kryptographischen Coprozessor 109a.
-
Der Frontend-Server 101 der Netzwerkentität 100 und der weitere Frontend-Server 101a der weiteren Netzwerkentität 100a sind über ein Kommunikationsnetzwerk miteinander verbunden. Der Frontend-Server 101 der Netzwerkentität 100 ist ausgebildet, die Kommunikationsnachricht mit dem Passwort an den weiteren Frontend-Server 101a der weiteren Netzwerkentität 100a über das Kommunikationsnetzwerk weiterzuleiten.
-
Durch die Anordnung 200 kann eine Hochverfügbarkeit (engl. High Availability, HA) der Passwortverwaltung realisiert werden. Die Netzwerkentität 100 und die weitere Netzwerkentität 100a können jeweils vorab Transport Layer Security (TLS) Zertifikate austauschen, um sich gegenseitig mittels einer Verifikation von kryptographischen Schlüsseln bzw. Fingerprints zu authentifizieren.
-
3 zeigt ein schematisches Diagramm eines Verfahrens 300 zum Verwalten eines Passwortes eines Nutzers mittels einer Netzwerkentität, wobei die Netzwerkentität einen Frontend-Server, eine Datendiode und einen Backend-Server umfasst, und wobei die Datendiode ausgebildet ist, das Passwort über einen Vorwärtskanal der Datendiode weiterzuleiten.
-
Das Verfahren 300 umfasst ein Empfangen 301 einer Kommunikationsnachricht mit dem Passwort über ein Kommunikationsnetzwerk durch den Frontend-Server, ein Extrahieren 303 des Passwortes aus der Kommunikationsnachricht durch den Frontend-Server, ein Aussenden 305 des Passwortes über eine erste Datenverbindung durch den Frontend-Server, ein Empfangen 307 des Passwortes über die erste Datenverbindung durch die Datendiode, ein Aussenden 309 des Passwortes über eine zweite Datenverbindung durch die Datendiode, ein Empfangen 311 des Passwortes über die zweite Datenverbindung durch den Backend-Server, ein Anwenden 313 einer kryptographischen Hashfunktion auf das Passwort durch den Backend-Server, um einen Hashwert des Passwortes zu erhalten, und ein Speichern 315 des Hashwertes des Passwortes durch den Backend-Server, um das Passwort des Nutzers zu verwalten.
-
4 zeigt ein schematisches Diagramm einer Datendiode 103 zum Weiterleiten eines Passwortes über einen Vorwärtskanal der Datendiode 103. Die Datendiode 103 umfasst einen Speicher 401 mit einem ersten Speicherbereich 401a und einem zweiten Speicherbereich 401b. Die Datendiode 103 umfasst ferner eine erste Datenschnittstelle 403, welche ausgebildet ist, ein Passwort über eine erste Datenverbindung zu empfangen, und das Passwort in dem ersten Speicherbereich 401a zu speichern. Die Datendiode 103 umfasst ferner ein Filterelement 405, welches ausgebildet ist, das Passwort aus dem ersten Speicherbereich 401a auszulesen, und das Passwort in dem zweiten Speicherbereich 401b zu speichern. Die Datendiode 103 umfasst ferner eine zweite Datenschnittstelle 407, welche ausgebildet ist, das Passwort aus dem zweiten Speicherbereich 401b auszulesen, und das Passwort über eine zweite Datenverbindung auszusenden. Die Datendiode 103 kann ausgebildet sein, ausschließlich das Passwort über den Vorwärtskanal weiterzuleiten.
-
Entsprechend kann die Datendiode 103 ausgebildet sein, ein Vergleichspasswort über den Vorwärtskanal der Datendiode 103 weiterzuleiten. Die erste Datenschnittstelle 403 kann ausgebildet sein, das Vergleichspasswort über die erste Datenverbindung zu empfangen, und das Vergleichspasswort in dem ersten Speicherbereich 401a zu speichern. Das Filterelement 405 kann ausgebildet sein, das Vergleichspasswort aus dem ersten Speicherbereich 401a auszulesen, und das Vergleichspasswort in dem zweiten Speicherbereich 401b zu speichern. Die zweite Datenschnittstelle 407 kann ausgebildet sein, das Vergleichspasswort aus dem zweiten Speicherbereich 401b auszulesen, und das Vergleichspasswort über die zweite Datenverbindung auszusenden. Die Datendiode 103 kann ausgebildet sein, ausschließlich das Passwort und das Vergleichspasswort über den Vorwärtskanal weiterzuleiten.
-
Um einen Rückkanal der Datendiode 103 zum Weiterleiten eines Authentifizierungsindikators zu realisieren, kann der Speicher 401 ferner einen dritten Speicherbereich (nicht gezeigt) und einen vierten Speicherbereich (nicht gezeigt) umfassen. Die zweite Datenschnittstelle 407 kann ausgebildet sein, den Authentifizierungsindikator über die zweite Datenverbindung zu empfangen, und den Authentifizierungsindikator in dem dritten Speicherbereich zu speichern. Das Filterelement 405 kann ausgebildet sein, den Authentifizierungsindikator aus dem dritten Speicherbereich auszulesen und in dem vierten Speicherbereich zu speichern. Die erste Datenschnittstelle 403 kann ausgebildet sein, den Authentifizierungsindikator aus dem vierten Speicherbereich auszulesen und über die erste Datenverbindung auszusenden. Die Datendiode 103 kann ausgebildet sein, ausschließlich den Authentifizierungsindikator über den Rückkanal weiterzuleiten.
-
Das Filterelement 405 ist folglich vorgesehen, die Weiterleitung des Passwortes und/oder des Authentifizierungsindikators über die Datendiode 103 zu steuern. Insbesondere kann das Filterelement 405 vorgesehen sein, eine Weiterleitung eines Hashwertes eines Passwortes über den Rückkanal der Datendiode 103 wirksam zu verhindern.
-
Alle in Verbindung mit einzelnen Ausführungsformen der Erfindung gezeigten oder beschriebenen Merkmale können in beliebiger Kombination in dem erfindungsgemäßen Gegenstand vorgesehen sein, um gleichzeitig deren vorteilhafte Wirkungen zu realisieren.
-
Bezugszeichenliste
-
- 100
- Netzwerkentität
- 101
- Frontend-Server
- 103
- Datendiode
- 105
- Backend-Server
- 107
- Datenbank
- 109
- Kryptographischer Coprozessor
- 100a
- Weitere Netzwerkentität
- 101a
- Weiterer Frontend-Server
- 103a
- Weitere Datendiode
- 105a
- Weiterer Backend-Server
- 107a
- Weitere Datenbank
- 109a
- Weiterer kryptographischer Coprozessor
- 200
- Anordnung
- 300
- Verfahren zum Verwalten eines Passwortes eines Nutzers
- 301
- Empfangen
- 303
- Extrahieren
- 305
- Aussenden
- 307
- Empfangen
- 309
- Aussenden
- 311
- Empfangen
- 313
- Anwenden
- 315
- Speichern
- 401
- Speicher
- 401a
- Erster Speicherbereich
- 401b
- Zweiter Speicherbereich
- 403
- Erste Datenschnittstelle
- 405
- Filterelement
- 407
- Zweite Datenschnittstelle