DE102022120144A1 - Verfahren zum Erstellen eines Passwort-Safes, Verfahren zum Abrufen von in einem Passwort-Safe gespeicherten Endzugangsdaten, und Computersysteme - Google Patents

Verfahren zum Erstellen eines Passwort-Safes, Verfahren zum Abrufen von in einem Passwort-Safe gespeicherten Endzugangsdaten, und Computersysteme Download PDF

Info

Publication number
DE102022120144A1
DE102022120144A1 DE102022120144.9A DE102022120144A DE102022120144A1 DE 102022120144 A1 DE102022120144 A1 DE 102022120144A1 DE 102022120144 A DE102022120144 A DE 102022120144A DE 102022120144 A1 DE102022120144 A1 DE 102022120144A1
Authority
DE
Germany
Prior art keywords
access data
bios
module
key
remote
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022120144.9A
Other languages
English (en)
Inventor
Willi Sterzik
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Client Computing Ltd
Original Assignee
Fujitsu Client Computing Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Client Computing Ltd filed Critical Fujitsu Client Computing Ltd
Priority to DE102022120144.9A priority Critical patent/DE102022120144A1/de
Publication of DE102022120144A1 publication Critical patent/DE102022120144A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zum Abrufen von in einem Passwort-Safe (3) gespeicherten Endzugangsdaten, das Verfahren umfassen die folgenden Schritte: Empfangen (52), mittels einem Basic Input/Output Systems, BIOS, von Hauptzugangsdaten eines Nutzers; Abrufen (53), mittels des BIOS, von Referenzzugangsdaten des Nutzers aus einem festplattenfernen Speichermodul (9); Abgleichen (54) der Referenzzugangsdaten mit den Hauptzugangsdaten; Abrufen (55), mittels des BIOS, eines mit den Referenzzugangsdaten in dem festplattenfernen Speichermodul (9) hinterlegten Schlüssels zum Entschlüsseln des Passwort-Safes (3), wenn der Abgleich der Referenzzugangsdaten mit den Hauptzugangsdaten erfolgreich war; und Entschlüsseln (56) von in dem Passwort-Safe (3) hinterlegten Endzugangsdaten mit dem Schlüssel. Die Erfindung betrifft ferner ein Verfahren zum Erstellen eines Passwort-Safes und entsprechende Computersysteme.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Abrufen von in einem Passwort-Safe gespeicherten Endzugangsdaten. Die Erfindung betrifft ferner ein Verfahren zum Erstellen eines Passwort-Safes. Die Erfindung betrifft darüber hinaus entsprechende Computersysteme.
  • Passwort-Safes, auch bekannt als Passwort-Manager, sind aus dem Stand der Technik bekannt und erfreuen sich zunehmender Beliebtheit. Für viele Webseiten, Apps, Dateien, etc. werden heutzutage Zugangsdaten verwendet, beispielsweise aus einem Nutzernamen und einem Passwort oder sonstigen Code bestehend. Um möglichst viel Sicherheit zu gewährleisten sollten komplizierte und stets unterschiedliche Passwörter oder sonstige Codes zum Authentifizieren eines Nutzers verwendet werden. Dies hat jedoch zur Folge, dass der Nutzer sich eine Vielzahl von verschiedenen Passwörtern oder sonstigen Codes merken muss.
  • Um dem entgegenzuwirken werden Passwort-Safes verwendet, in denen solche Passwörter bzw. Codes und/oder Nutzernamen etc. abgelegt werden können. Da derartige Passwort-Safes jedoch zunehmen weitreichende Verwendung finden, rücken sie auch immer mehr in den Fokus von Hackerangriffen. Es ist folglich notwendig, Passwort-Safes möglichst sicher zu gestalten.
  • Eine Aufgabe der Erfindung ist es, Verfahren und Computersysteme zum Erstellen solcher Passwort-Safes und zum Abrufen von Endzugangsdaten aus einem solchen Passwort-Safe zu beschreiben, die die oben genannten Probleme lösen oder mindern.
  • Die Aufgabe wird gelöst mit den Verfahren und Gegenständen der unabhängigen Ansprüche. Weitere vorteilhafte Ausgestaltungen sind in den abhängigen Ansprüchen, sowie in der nachfolgenden Beschreibung und den Figuren offenbart.
  • Gemäß einem ersten Aspekt umfasst ein Verfahren zum Abrufen von in einem Passwort-Safe gespeicherten Endzugangsdaten die folgenden Schritte:
    • - Empfangen, mittels einem Basic Input/Output Systems, BIOS, von Hauptzugangsdaten eines Nutzers;
    • - Abrufen, mittels des BIOS, von Referenzzugangsdaten des Nutzers aus einem festplattenfernen Speichermodul;
    • - Abgleichen der Referenzzugangsdaten mit den Hauptzugangsdaten;
    • - Abrufen, mittels des BIOS, eines mit den Referenzzugangsdaten in dem festplattenfernen Speichermodul hinterlegten Schlüssels zum Entschlüsseln des Passwort-Safes, wenn der Abgleich der Referenzzugangsdaten mit den Hauptzugangsdaten erfolgreich war; und
    • - Entschlüsseln von in dem Passwort-Safe hinterlegten Endzugangsdaten mit dem Schlüssel.
  • Der Passwort-Safe ist beispielsweise ein softwareimplementiertes Modul, mittels dem Endzugangsdaten in einer Speichervorrichtung, beispielsweise einer Festplatte eines Computersystems, abgespeichert sind. Das softwareimplementierte Modul verwendet beispielsweise höherlagige Software, beispielsweise ein Betriebssystem des Computersystems, insbesondere höherlagig als ein BIOS des Computersystems. Alternativ können auch hardwareimplementierte Module für den Passwort-Safe verwendet werden.
  • Die Endzugangsdaten im Sinne dieser Offenbarung umfassen Zugangsdaten, mit welchen sich ein Nutzer bei Webseiten, Programmen, Apps, verschlüsselten Dateien, o.ä. als autorisierter Nutzer authentifizieren kann. Beispielsweise werden als Endzugangsdaten in dem Passwort-Safe Tupel von URLs, für die die Zugangsdaten angelegt sind, Nutzernamen, und zugehörige Passwörter oder sonstige Codes für den Nutzer zur Authentifizierung hinterlegt. Die Passwörter oder sonstigen Codes umfassen beispielsweise alphanumerische Zeichenketten, biometrische Daten, Codes die beispielsweise auf einer Smartcard oder einem Dongle gespeichert sind, etc.
  • Die Hauptzugangsdaten im Sinne dieser Offenbarung umfassen beispielsweise ein Master-Passwort, mit dem sich der Nutzer als zugangsberechtigt für den Passwort-Safe authentifizieren kann. Die Hauptzugangsdaten sind in der Verfügung des Nutzers und umfassen ebenfalls beispielsweise alphanumerische Zeichenketten, biometrische Daten, Codes die beispielsweise auf einer Smartcard oder einem Dongle gespeichert sind, etc.
  • Die Referenzzugangsdaten im Sinne dieser Offenbarung umfassen ein entsprechendes, in dem festplattenfernen Speichermodul hinterlegtes, Master-Passwort. Die Referenzzugangsdaten sind somit, im Falle einer Zugangsberechtigung des Nutzers, identisch mit den vom Nutzer bereitgestellten Hauptzugangsdaten. Die Referenzzugangsdaten für den Zugang zum Schlüssel sind zusammen mit dem Schlüssel in dem festplattenfernen Speichermodul gespeichert. Zusätzlich ist es auch möglich, den Schüssels zusätzlich mit den Referenzzugangsdaten zu verschlüsseln und, im Falle des Abrufens des hinterlegten Schlüssels, diesen mit den Referenzzugangsdaten zu entschlüsseln.
  • Festplattenfern, im Sinne dieser Offenbarung, bedeutet, dass das Speichermodul nicht Teil der Hardware einer Festplatte eines Computersystems ist. Insbesondere ist das festplattenferne Speichermodul Teil eines sonstigen in dem Computersystem vorhandenen Bauteils, beispielsweise einer Stromversorgungseinheit, eines Random-Access-Memory-Moduls, einer Grafikkarte, einer PCIe-Karte, etc. Das festplattenferne Speichermodul ist in dem Computersystem, insbesondere innerhalb eines Gehäuses des Computersystems, angeordnet. Das festplattenferne Speichermodul ist ferner insbesondere dazu eingerichtet, dass das BIOS auf das Speichermodul zugreifen kann. Beispielsweise greift die höherlagige Software, die beispielswiese den Passwort-Safe verwaltet, nicht auf das festplattenferne Speichermodul zu.
  • Vorteilhaft hierbei ist es, dass die Referenzzugangsdaten, mit welchen die Hauptzugangsdaten abgeglichen werden, und welche der Nutzer identisch als Hauptzugangsdaten zur Verfügung haben muss, um auf den Passwort-Safe zugreifen zu können, und insbesondere der Schlüssel zum Entschlüsseln des Passwort-Safes bzw. der darin gespeicherten Daten, nicht auf einer Festplatte des Computersystems, und insbesondere nicht auf eine Festplatte, auf der auch die Daten des Passwort-Safes hinterlegt sind, abgespeichert sind. Auf diese Weise ist es für einen Hacker oder sonstige unautorisierte Personen deutlich komplizierter, an die Referenzzugangsdaten und/oder an den Schlüssel zum Entschlüsseln des Passwort-Safes zu gelangen. Der Passwort-Safe und die darin gespeicherten Daten sind somit wesentlich besser geschützt vor dem Zugriff durch unautorisierte Personen.
  • Zusätzliche Sicherheit wird dadurch gewährleistet, dass der Zugriff auf das festplattenferne Speichermodul über das BIOS durchgeführt wird. Das BIOS stellt eine tiefere Softwareebene dar und ist besser vor Angriffen geschützt als höherlagige Softwareebenen.
  • Gemäß wenigstens einer Ausgestaltung wird das Abgleichen der Referenzzugangsdaten mit den Hauptzugangsdaten mittels dem BIOS durchgeführt, oder das Abgleichen der Referenzzugangsdaten mit den Hauptzugangsdaten mittels einer über dem BIOS agierenden Softwareebene durchgeführt.
  • Als höhere Softwareebene eignet sich, beispielsweise, ein Betriebssystem des Computersystems.
  • Ein Vorteil bei dem Abgleichen mittels des BIOS ist es, dass auch während dem Abgleichen die jeweiligen Zugangsdaten gut geschützt sind. Außerdem ist dies effizient, da das BIOS, welches die Referenzzugangsdaten ausliest, den Abgleich selbst vornimmt.
  • Ein Vorteil bei dem Abgleich mittels höherer Softwareebene ist es, dass das BIOS entlastet wird.
  • Gemäß einem zweiten Aspekt umfasst ein Verfahren zum Erstellen eines Passwort-Safes die folgenden Schritte:
    • - Speichern von Endzugangsdaten in dem Passwort-Safe und verschlüsseln der Endzugangsdaten mit einem Schlüssel;
    • - Speichern, mittels einem BIOS, des Schlüssels in einem festplattenfernen Speichermodul; und
    • - Speichern, mittels dem BIOS, in dem festplattenfernen Speichermodul, von dem Schlüssel zugeordneten Referenzzugangsdaten.
  • Gemäß wenigstens einer Ausgestaltung umfasst der Schritt des Speicherns, mittels dem BIOS, in dem festplattenfernen Speichermodul, von dem Schlüssel zugeordneten Referenzzugangsdaten ferner: Verschlüsseln des Schlüssels mit den Referenzzugangsdaten.
  • Vorteilhaft hierbei ist es, dass der Schlüssel zum Entschlüsseln des Passwort-Safes zusätzlich gesichert ist.
  • Gemäß wenigstens einer Ausgestaltung umfasst das Verfahren gemäß dem zweiten Aspekt ferner den Schritt:
    • - Speichern, mittels dem BIOS, des Schlüssels in wenigstens einem externen Speichermodul.
  • Vorteilhaft hierbei ist es, dass eine Redundanz des Schlüssels geschaffen wird. Sollte der Schlüssel in dem festplattenfernen Speichermodul des Computersystems verloren gehen, beispielsweise durch einen Defekt des festplattenfernen Speichermoduls oder durch einen Austausch eines Bauteils, in dem das festplattenferne Speichermodul angeordnet ist, ist so sicher gestellt, dass der Schlüssel über das wenigstens eine externe Speichermodul nach wie vor auffindbar und wiederherstellbar ist.
  • Das wenigstens eine externe Speichermodul ist im Sinne dieser Offenbarung außerhalb des Computersystems, insbesondere eines Gehäuses des Computersystems, angeordnet. Beispielsweise umfasst das wenigstens eine externe Speichermodul ein Dongle, eine Smartcard, oder ähnliches.
  • Bei der Speicherung des Schlüssels in dem wenigstens einen externen Speichermodul wird der Schlüssel analog zu der Speicherung in dem festplattenfernen Speichermodul des Computersystems, d.h. ebenfalls zusammen mit den Referenzzugangsdaten, abgespeichert, sodass ein Zugriff auf den extern gespeicherten Schlüssel analog zu dem Zugriff auf dem festplattenfernen Speichermodul möglich ist.
  • Gemäß einem dritten Aspekt umfasst ein Computersystem ein BIOS-Modul, ein Passwort-Safe-Modul, eine Eingabevorrichtung, und ein festplattenfernes Speichermodul. Das BIOS-Modul ist dazu eingerichtet, von einem Nutzer über die Eingabevorrichtung eingegebene Hauptzugangsdaten zu empfangen und Referenzzugangsdaten des Nutzers aus dem festplattenfernen Speichermodul abzurufen. Das Computersystem ist dazu eingerichtet, die Referenzzugangsdaten mit den Hauptzugangsdaten abzugleichen. Das BIOS-Modul ist ferner dazu eingerichtet, einen mit den Referenzzugangsdaten in dem festplattenfernen Speichermodul hinterlegten Schlüssel zum Entschlüsseln des Passwort-Safes abzurufen, wenn der Abgleich der Referenzzugangsdaten mit den Hauptzugangsdaten erfolgreich war. Das Computersystem ist ferner dazu eingerichtet, in dem Passwort-Safe hinterlegte Endzugangsdaten mit dem Schlüssel zu entschlüsseln.
  • Gemäß wenigstens einer Ausgestaltung ist das festplattenferne Speichermodul ein Flash-Speichermodul.
  • Ein derartiges Speichermodul bietet eine sichere und zuverlässige Speicherung des Schlüssels und der Referenzzugangsdaten.
  • Gemäß wenigstens einer Ausgestaltung ist das festplattenferne Speichermodul ein Speichermodul, welches an einen I2C-Bus des Computersystems angeschlossen ist.
  • Derartige Speichermodule eignen sich insbesondere, da sie einen effizienten Datenaustausch mit dem BIOS gewährleisten. Das BIOS kann auf derartige Speichermodule direkt zugreifen.
  • Gemäß wenigstens einer Ausgestaltung ist das festplattenferne Speichermodul in einer Stromversorgungseinheit des Computersystems, in einem Flash-Speicher eines Random-Access-Memory-, RAM-, Moduls, oder einem Mikrocontroller auf einem Motherboard des Computersystems angeordnet.
  • Stromversorgungseinheiten, RAM-Module, und entsprechende Mikrocontroller weisen gewöhnlich bereits Speichermodule auf, die für die hier beschriebene Speicherung des Schlüssels genutzt werden können. Vorteilhaft hierbei ist es, dass keine aufwändigen und teuren Änderungen an der Hardware des Computersystems vorgenommen werden müssen, sondern dass bestehende Hardware verwendet werden kann.
  • Gemäß einem vierten Aspekt umfasst ein Computersystem ein BIOS-Modul, ein Passwort-Safe-Modul, eine Eingabevorrichtung, und ein festplattenfernes Speichermodul. Das Computersystem ist dazu eingerichtet, Endzugangsdaten in dem Passwort-Safe-Modul zu speichern und die Endzugangsdaten mit einem Schlüssel zu verschlüsseln. Das BIOS-Modul ist dazu eingerichtet, den Schlüssel in dem festplattenfernen Speichermodul abzuspeichern, und ferner in dem festplattenfernen Speichermodul dem Schlüssel zugeordnete Referenzzugangsdaten abzuspeichern.
  • Vorteile und Ausgestaltungen der oben genannten vier Aspekte der Erfindung können in geeigneter Weise kombiniert werden und gelten stets auch für die anderen Aspekte.
  • Die Erfindung wird nachfolgend anhand von unterschiedlichen Ausführungsbeispielen unter Bezugnahme auf die angehängten Figuren im Detail beschrieben. Gleiche, gleichartige oder gleich wirkende Elemente sind in den Figuren mit den gleichen Bezugszeichen versehen, müssen aber nicht in allen Einzelheiten identisch sein.
  • In den Figuren zeigen:
    • 1 eine schematische Darstellung eines Computersystems gemäß einem Ausführungsbeispiel der Erfindung;
    • 2 eine schematische Darstellung eines Computersystems gemäß einem weiteren Ausführungsbeispiels der Erfindung;
    • 3 eine schematische Darstellung eines festplattenfernen Speichermoduls gemäß einem Ausführungsbeispiel der Erfindung;
    • 4 ein Flussdiagramm eines Verfahrens zum Erstellen eines Passwort-Safes gemäß einem Ausführungsbeispiel der Erfindung; und
    • 5 ein Flussdiagramm eines Verfahrens zum Abrufen von in einem Passwort-Safe gespeicherten Endzugangsdaten gemäß einem Ausführungsbeispiel der Erfindung.
  • 1 zeigt eine schematische Darstellung eines Computersystems 1 gemäß einem Ausführungsbeispiel der Erfindung. Das Computersystem 1 umfasst ein Passwort-Safe-Modul 2, welches einen Passwort-Safe 3 implementiert, der hier schematisch dargestellt ist.
  • In dem Passwort-Safe 3 sind Tupel von URLs 4 verschiedener Webseiten hinterlegt, für die Zugangsdaten in dem Passwort-Safe abgespeichert sind. Diese Zugangsdaten sind in der hier beschriebenen Offenbarung auch als „Endzugangsdaten“ bezeichnet. Die Endzugangsdaten umfassen ferner je URL 4 einen entsprechenden Nutzernamen 5 und ein zugehöriges Passwort 6. Mit Nutzername 5 und Passwort 6 kann sich ein Nutzer bei den zugehörigen Webseiten authentifizieren.
  • In dem hier gezeigten Ausführungsbeispiel ist das Passwort-Safe-Modul 2 beispielsweise in Form eines Software-Moduls implementiert und wird beispielsweise von einem hier nicht gezeigten Prozessor in der Umgebung eines Betriebssystems des Computersystems 1 ausgeführt. Alternativ ist das Passwort-Safe-Modul 2 beispielsweise in Form eines Hardware-Moduls ausgestaltet.
  • Das Computersystem 1 weist ferner eine Eingabevorrichtung 7 auf, die dazu eingerichtet ist, von einem Nutzer Hauptzugangsdaten zu empfangen. Die Eingabevorrichtung 7 umfasst beispielsweise eine Tastatur oder ein Touchpad zur Eingabe alphanumerischer Zeichenreihen. Alternativ umfasst die Eingabevorrichtung 7 beispielsweise eine Kamera und/oder einen Fingerabdrucksensor und/oder einen Venensensor und/oder einen Irisscanner, etc. zur Erfassung biometrischer Daten. Alternativ umfasst die Eingabevorrichtung 7 beispielsweise ein Kartenlesegerät für eine Smartcard o.ä. oder ein Dongle, etc. zum Auslesen eines gespeicherten Codes.
  • Die Hauptzugangsdaten des Nutzers, die mittels der Eingabevorrichtung 7 empfangen werden, umfassen, zum Beispiel, ein Masterpasswort, welches in der Verfügung des Nutzers ist, oder eine der oben genannten Alternativen.
  • Das Computersystem 1 umfasst ferner ein BIOS-Modul 8, beispielsweise in Form eines BIOS-Chips, auf dem ein BIOS des Computersystems 1 ausgeführt wird. Das BIOS ist eine Firmware des Computersystems 1 und stellt, im Vergleich zu dem oben erwähnten Betriebssystem des Computersystems 1 eine tiefere Softwareebene dar.
  • Das BIOS-Modul 8 ist dazu eingerichtet, die Hauptzugangsdaten von dem Nutzer über die Eingabevorrichtung 7 zu empfangen.
  • Das Computersystem 1 umfasst außerdem ein festplattenfernes Speichermodul 9. Das festplattenferne Speichermodul 9 ist im hier gezeigten Ausführungsbeispiel ein Flashspeichermodul einer in dem Computersystem 1 angeordneten Stromversorgungseinheit 10. Das Speichermodul 9 ist in diesem Ausführungsbeispiel insbesondere ein hardwareimplementiertes Speichermodul. Das festplattenferne Speichermodul 9 ist an einen hier nicht gezeigten I2C-Bus des Computersystems 1 angeschlossen. Über diesen I2C-Bus greift das BIOS des Computersystems auf das Speichermodul 9 in der Stromversorgungseinheit 10 zu. Das Speichermodul 9 verfügt zum Beispiel über Inventurdaten, die von dem BIOS ausgelesen werden. Algorithmen um auf das Speichermodul 9 zuzugreifen, sind dem BIOS somit bekannt.
  • In dem Speichermodul 9 ist ferner ein Schlüssel 11, in 1 symbolisch dargestellt, hinterlegt, mittels dem die in dem Passwort-Safe 3 hinterlegten Daten verschlüsselt sind. Zum Auslesen der Endzugangsdaten aus dem Passwort-Safe 3 wird somit der Schlüssel 11 benötigt.
  • Zusammen mit dem Schlüssel 11 sind Referenzzugangsdaten in dem Speichermodul 9 hinterlegt. Diese Referenzzugangsdaten entsprechen den Hauptzugangsdaten und können so, wenn die entsprechenden Hauptzugangsdaten empfangen werden, einen Zugriff auf den Schüssel 11 autorisieren.
  • Das BIOS ist dazu eingerichtet, die Referenzzugangsdaten aus dem Speichermodul 9 abzurufen. Das BIOS ist dann dazu eingerichtet, die Hauptzugangsdaten mit den Referenzzugangsdaten abzugleichen und, wenn der Abgleich erfolgreich ist, einen Zugriff auf den Schlüssel 11 zu autorisieren. Ist der Abgleich nicht erfolgreich, so wird der Schlüssel 11 nicht freigegeben und ein Zugriff auf diesen unterbunden.
  • Der Schlüssel 11 kann dann von dem BIOS an eine höhere Softwareebene, beispielsweise das Betriebssystem, übergeben werden, sodass auf den Passwort-Safe zugegriffen werden kann, bzw. die darin gespeicherten Daten mit dem Schlüssel 11 entschlüsselt werden können.
  • Auf diese Weise ist ein Computersystem 1 offenbart, in dem eine hohe Sicherheit für Passwörter und sonstige Endzugangsdaten gewährleistet wird.
  • 2 zeigt eine schematische Darstellung eines Computersystems 1 gemäß einem weiteren Ausführungsbeispiel der Erfindung. Das Ausführungsbeispiel gemäß 2 entspricht in weiten Teilen dem Ausführungsbeispiel gemäß 1. Gleiche Teile werden hier nicht erneut beschrieben und es wird auf die Erläuterungen bezüglich 1 verwiesen.
  • Das Computersystem 1 gemäß 2 umfasst jedoch zusätzlich zwei externe Speichermodule 12, 13. Hierbei handelt es sich bei dem einen externen Speichermodul 12 um ein Dongle und bei dem anderen externen Speichermodul 13 um eine Smartcard.
  • Auf beiden externen Speichermodulen 12, 13 sind identische Kopien des Schlüssels 11 gespeichert. Sollte die Stromversorgungseinheit 10 einen Defekt aufweisen, oder zum Beispiel aus Wartungsgründen ausgetauscht werden, so kann der Schlüssel 11 über die externen Speichermodule 12, 13 wiederhergestellt werden, und zum Beispiel erneut in einer neuen Stromversorgungseinheit, bzw. einem Flashspeichermodul dessen, abgelegt werden.
  • 3 zeigt eine schematische Darstellung eines festplattenfernen Speichermoduls 9 gemäß einem Ausführungsbeispiel der Erfindung. Es handelt sich bei dem Speichermodul 9 beispielsweise um ein Flashspeichermodul einer Stromversorgungseinheit eines Computersystems, beispielsweise entsprechend derer wie gemäß 1 und 2 beschrieben.
  • Das gezeigte Speichermodul 9 umfasst einen ersten Speicherbereich 14, in dem Inventurdaten, Kennlinien, oder ähnliches der Stromversorgungseinheit hinterlegt sind. Diese sind bei einem konventionellen Computersystem bereits vorhanden und können von einem BIOS ausgelesen werden.
  • Zur Umsetzung des sicheren Passwort-Safes ist gemäß 3 das hier gezeigte Speichermodul 9 in zwei Speicherbereiche 14, 15 unterteilt. Neben dem gewöhnlichen ersten Speicherbereich 14 gibt es nun noch einen zweiten Speicherbereich 15, in dem der Schlüssel 11, wie bezüglich der vorangegangenen Figuren beschrieben, hinterlegt ist.
  • Beispielsweise wird für den zweiten Speicherbereich 15 eine Speichergröße von 256 Bytes gewählt.
  • 4 zeigt ein Flussidagramm eines Verfahrens zum Erstellen eines Passwort-Safes. Das Verfahren gemäß 4 wird beispielsweise mit einem der Computersysteme gemäß der Ausführungsbeispiele gemäß der 1 oder 2 ausgeführt. Das Verfahren ist ein computerimplementiertes Verfahren.
  • In einem Schritt 41 werden Endzugangsdaten eines Nutzers in einem Passwort-Safe gespeichert und mit einem Schlüssel verschlüsselt. Für das Verschlüsseln der Endzugangsdaten können bekannte Verschlüsselungsverfahren verwendet werden.
  • In einem Schritt 42 wird der Schlüssel in einem festplattenfernen Speichermodul gespeichert. Das festplattenferne Speichermodul wird hierfür von einem BIOS angesprochen. Das BIOS speichert den Schlüssel in dem festplattenfernen Speichermodul. Beispielsweise wird für die Kommunikation des BIOS mit dem festplattenfernen Speichermodul im Schritt 42 ein I2C-Bus verwendet. Auf diese Weise wird der Schlüssel nicht in einem Speicher einer Festplatte des Computersystems abgespeichert.
  • In einem Schritt 43 speichert das BIOS zusätzlich in dem festplattenfernen Speichermodul dem Schlüssel zugeordnete Referenzzugangsdaten, beispielsweise ein Masterpasswort eines Nutzers, ab.
  • In einem Schritt 44 speichert das BIOS zusätzlich den Schlüssel, d.h. eine identische Kopie des Schlüssels wie er in dem festplattenfernen Speichermodul hinterlegt ist, in einem externen Speichermodul, beispielsweise einem Dongle oder einer Smartcard, etc., ab.
  • 5 zeigt ein Flussidagramm eines Verfahrens zum Abrufen von in einem Passwort-Safe gespeicherten Endzugangsdaten. Das Verfahren gemäß 5 wird beispielsweise mit einem der Computersysteme gemäß der Ausführungsbeispiele gemäß der 1 oder 2 ausgeführt. Das Verfahren gemäß 5 ruft insbesondere Endzugangsdaten aus einem Passwort-Safe, der mittels dem Verfahren gemäß 4 erstellt wurde, ab. Das Verfahren ist ein computerimplementiertes Verfahren.
  • In einem Schritt 51 empfängt eine Eingabevorrichtung von einem Nutzer Hauptzugangsdaten, beispielsweise ein von einem Nutzer über eine Tastatur oder ein Touchpad eingegebenes Masterpasswort.
  • In einem Schritt 52 werden die Hauptzugangsdaten an ein BIOS des Computersystems gesendet und von dem BIOS empfangen.
  • In einem Schritt 53 ruft das BIOS Referenzzugangsdaten des Nutzers aus einem festplattenfernen Speichermodul ab.
  • In einem Schritt 54 gleicht das BIOS die Referenzzugangsdaten mit den Hauptzugangsdaten ab.
  • Ist der Abgleich erfolgreich, so greift das BIOS in einem Schritt 55 auf einen zusammen mit den Referenzzugangsdaten in dem festplattenfernen Speichermodul hinterlegten Schlüssel zum Entschlüsseln eines Passwort-Safes zu.
  • Anschließend werden in einem Schritt 56 in dem Passwort-Safe gespeicherte Endzugangsdaten mittels dem Schlüssel entschlüsselt. Dieser Schritt 56 wird beispielsweise vom BIOS direkt durchgeführt und die entschlüsselten Endzugangsdaten anschließend an eine höhere Softwareebene weitergegeben, oder das BIOS übergibt den Schlüssel an die höhere Softwareebene und diese höhere Softwareebene führt das Entschlüsseln durch.
  • Ist der Abgleich in Schritt 54 nicht erfolgreich, so wird in einem Schritt 57 der Zugriffsprozess auf den Schlüssel abgebrochen, und der Schlüssel nicht aus dem festplattenfernen Speichermodul ausgelesen.
  • Bezugszeichenliste
    • 1
    Computersystem
    2
    Passwort-Safe-Modul
    3
    Passwort-Safe
    4
    URL
    5
    Nutzername
    6
    Passwort
    7
    Eingabevorrichtung
    8
    BIOS-Modul
    9
    festplattenfernes Speichermodul
    10
    Stromversorgungseinheit
    11
    Schlüssel
    12
    externes Speichermodul
    13
    externes Speichermodul
    14
    erster Speicherbereich
    15
    zweiter Speicherbereich
    41 bis 44
    Schritte
    51 bis 57
    Schritte

Claims (10)

  1. Verfahren zum Abrufen von in einem Passwort-Safe (3) gespeicherten Endzugangsdaten, das Verfahren umfassen die folgenden Schritte: - Empfangen (52), mittels einem Basic Input/Output Systems, BIOS, von Hauptzugangsdaten eines Nutzers; - Abrufen (53), mittels des BIOS, von Referenzzugangsdaten des Nutzers aus einem festplattenfernen Speichermodul (9); - Abgleichen (54) der Referenzzugangsdaten mit den Hauptzugangsdaten; - Abrufen (55), mittels des BIOS, eines mit den Referenzzugangsdaten in dem festplattenfernen Speichermodul (9) hinterlegten Schlüssels zum Entschlüsseln des Passwort-Safes (3), wenn der Abgleich der Referenzzugangsdaten mit den Hauptzugangsdaten erfolgreich war; und - Entschlüsseln (56) von in dem Passwort-Safe (3) hinterlegten Endzugangsdaten mit dem Schlüssel.
  2. Verfahren gemäß Anspruch 1, wobei: - das Abgleichen (54) der Referenzzugangsdaten mit den Hauptzugangsdaten mittels dem BIOS durchgeführt wird; oder - das Abgleichen (54) der Referenzzugangsdaten mit den Hauptzugangsdaten mittels einer über dem BIOS agierenden Software-Ebene durchgeführt wird.
  3. Verfahren zum Erstellen eines Passwort-Safes (3), das Verfahren umfassend die folgenden Schritte: - Speichern (41) von Endzugangsdaten in dem Passwort-Safe (3) und verschlüsseln der Endzugangsdaten mit einem Schlüssel; - Speichern (42), mittels einem BIOS, des Schlüssels in einem festplattenfernen Speichermodul (9); und - Speichern (43), mittels dem BIOS, in dem festplattenfernen Speichermodul (9), von dem Schlüssel zugeordneten Referenzzugangsdaten.
  4. Verfahren gemäß Anspruch 3, wobei der Schritt des Speicherns (43), mittels dem BIOS, in dem festplattenfernen Speichermodul (9), von dem Schlüssel zugeordneten Referenzzugangsdaten ferner umfasst: - Verschlüsseln des Schlüssels mit den Referenzzugangsdaten.
  5. Verfahren gemäß Anspruch 3 oder 4, ferner umfassend den Schritt: - Speichern (44), mittels dem BIOS, des Schlüssels in wenigstens einem externen Speichermodul (12, 13).
  6. Computersystem (1) umfassend ein BIOS-Modul (8), ein Passwort-Safe-Modul (4), eine Eingabevorrichtung (7), und ein festplattenfernes Speichermodul (9), wobei: - das BIOS-Modul (8) dazu eingerichtet ist, von einem Nutzer über die Eingabevorrichtung (7) eingegebene Hauptzugangsdaten zu empfangen und Referenzzugangsdaten des Nutzers aus dem festplattenfernen Speichermodul (9) abzurufen; und - das Computersystem (1) dazu eingerichtet ist, die Referenzzugangsdaten mit den Hauptzugangsdaten abzugleichen; - das BIOS-Modul (8) ferner dazu eingerichtet ist, einen mit den Referenzzugangsdaten in dem festplattenfernen Speichermodul (9) hinterlegten Schlüssel zum Entschlüsseln des Passwort-Safe-Moduls (2) abzurufen, wenn der Abgleich der Referenzzugangsdaten mit den Hauptzugangsdaten erfolgreich war; und - das Computersystem (1) ferner dazu eingerichtet ist, in dem Passwort-Safe-Modul (2) hinterlegte Endzugangsdate mit dem Schlüssel zu entschlüsseln.
  7. Computersystem (1) gemäß Anspruch 6, wobei das festplattenferne Speichermodul (9) ein Flash-Speichermodul ist.
  8. Computersystem (1) gemäß einem der Ansprüche 6 oder 7, wobei das festplattenferne Speichermodul (9) ein Speichermodul ist, welches an einen I2C-Bus des Computersystems (1) angeschlossen ist.
  9. Computersystem (1) gemäß einem der Ansprüche 6 bis 8, wobei das festplattenferne Speichermodul (9) in einer Stromversorgungseinheit des Computersystems (1), in einem Flash-Speicher eines Random-Access-Memory-, RAM-, Moduls, oder einem Mikrocontroller auf einem Motherboard des Computersystems (1) angeordnet ist.
  10. Computersystem (1) umfassend ein BIOS-Modul (8), ein Passwort-Safe-Modul (2), eine Eingabevorrichtung, und ein festplattenfernes Speichermodul (9), wobei: - das Computersystem (1) dazu eingerichtet ist, Endzugangsdaten in dem Passwort-Safe-Modul (2) zu speichern und die Endzugangsdaten mit einem Schlüssel zu verschlüsseln; - das BIOS-Modul (8) dazu eingerichtet ist, den Schlüssel in dem festplattenfernen Speichermodul (9) abzuspeichern, und in dem festplattenfernen Speichermodul (9) dem Schlüssel zugeordnete Referenzzugangsdaten abzuspeichern.
DE102022120144.9A 2022-08-10 2022-08-10 Verfahren zum Erstellen eines Passwort-Safes, Verfahren zum Abrufen von in einem Passwort-Safe gespeicherten Endzugangsdaten, und Computersysteme Pending DE102022120144A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022120144.9A DE102022120144A1 (de) 2022-08-10 2022-08-10 Verfahren zum Erstellen eines Passwort-Safes, Verfahren zum Abrufen von in einem Passwort-Safe gespeicherten Endzugangsdaten, und Computersysteme

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022120144.9A DE102022120144A1 (de) 2022-08-10 2022-08-10 Verfahren zum Erstellen eines Passwort-Safes, Verfahren zum Abrufen von in einem Passwort-Safe gespeicherten Endzugangsdaten, und Computersysteme

Publications (1)

Publication Number Publication Date
DE102022120144A1 true DE102022120144A1 (de) 2024-02-15

Family

ID=89809291

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022120144.9A Pending DE102022120144A1 (de) 2022-08-10 2022-08-10 Verfahren zum Erstellen eines Passwort-Safes, Verfahren zum Abrufen von in einem Passwort-Safe gespeicherten Endzugangsdaten, und Computersysteme

Country Status (1)

Country Link
DE (1) DE102022120144A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060112420A1 (en) 2004-11-22 2006-05-25 International Business Machines Corporation Secure single sign-on to operating system via power-on password
US20080077986A1 (en) 2006-09-26 2008-03-27 David Rivera Method and Apparatus for Providing a Secure Single Sign-On to a Computer System

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060112420A1 (en) 2004-11-22 2006-05-25 International Business Machines Corporation Secure single sign-on to operating system via power-on password
US20080077986A1 (en) 2006-09-26 2008-03-27 David Rivera Method and Apparatus for Providing a Secure Single Sign-On to a Computer System

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
I2C. In: Wikipedia, the free encyclopedia. Bearbeitungsstand: 22.07.2022. URL: https://en.wikipedia.org/w/index.php?title=I%C2%B2C&oldid=1099774976 [abgerufen am 22.02.2023]
Keychain (software). In: Wikipedia, the free encyclopedia. Bearbeitungsstand: 27.07.2022. URL: https://en.wikipedia.org/w/index.php?title=Keychain_(software)&oldid=1100828948 [abgerufen am 20.02.2023]

Similar Documents

Publication Publication Date Title
DE60129967T2 (de) Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung
DE69815599T2 (de) Verfahren und Vorrichtung zum Schutz von Anwendungsdaten in sicheren Speicherbereichen
DE69829642T2 (de) Authentifizierungssystem mit chipkarte
DE69929267T2 (de) Vorrichtung zur entfernten Authentifikation
DE3811378C3 (de) Informationsaufzeichnungssystem
DE202018002074U1 (de) System zur sicheren Speicherung von elektronischem Material
DE102004048959B4 (de) Informationsverarbeitungsgerät, Beglaubigungsverarbeitungsprogramm und Beglaubigungsspeichergerät
DE112008003862B4 (de) System und Verfahren zum Liefern eines Systemverwaltungsbefehls
EP0030381B1 (de) Verfahren und Vorrichtung zur Erzeugung und späteren Kontrolle von gegen Nachahmung, Verfälschung und Missbrauch abgesicherten Dokumenten und Dokument zu dessen Durchführung
DE112009004762T5 (de) System und verfahren zum durchführen einer verwaltunosoperation
DE112008002462T5 (de) Datensicherheitsvorrichtung
DE112012006329B4 (de) Speicherprogrammierbare Steuerung mit Authentifikationseinheit und Verschlüsselungsfilter zur Zugangsbeschränkung
DE112020000134T5 (de) Sicherer, mehrstufiger zugriff auf verschleierte daten für analysen
WO2005116834A1 (de) Authentisierung von steuerge­räten in einem fahrzeug
DE102009025017B4 (de) Anordnungen für Schnittstellen zu einer Benutzerzugriffsverwaltung
DE112006004173T5 (de) Schutz eines programmierbaren Speichers gegen unberechtigte Veränderung
DE10311327A1 (de) Nutzer-Objekte zur Authentifizierung der Nutzung medizinischer Daten
DE112013002396T5 (de) Anwendungsprogrammausführungsgerät
EP3629516B1 (de) Dezentralisierte identitätsmanagement-lösung
DE102022120144A1 (de) Verfahren zum Erstellen eines Passwort-Safes, Verfahren zum Abrufen von in einem Passwort-Safe gespeicherten Endzugangsdaten, und Computersysteme
WO2005115809A1 (de) Authentisierung einer fahrzeugexternen vorrichtung
DE102015211475A1 (de) Bereitstellung zumindest eines Passworts
DE60216106T2 (de) Geschützte lesung von rechnerbefehlen in einem datenverarbeitungssystem
DE102014100794A1 (de) Verfahren zumindest zum Lesen wenigstens einer Ausweisnummer von Benutzerdatenspeichern mit unterschiedlichen Datenstrukturen
EP2169579A1 (de) Verfahren und Vorrichtung zum Zugriff auf ein maschinenlesbares Dokument

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication