DE112020003555T5 - Verwaltung von sicherheits-berechtigungsnachweisen für client-anwendungen - Google Patents

Verwaltung von sicherheits-berechtigungsnachweisen für client-anwendungen Download PDF

Info

Publication number
DE112020003555T5
DE112020003555T5 DE112020003555.7T DE112020003555T DE112020003555T5 DE 112020003555 T5 DE112020003555 T5 DE 112020003555T5 DE 112020003555 T DE112020003555 T DE 112020003555T DE 112020003555 T5 DE112020003555 T5 DE 112020003555T5
Authority
DE
Germany
Prior art keywords
credentials
computer
hashed
client
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112020003555.7T
Other languages
English (en)
Other versions
DE112020003555B4 (de
Inventor
Sophie Green
James Nice David
Ledina HIDO-EVANS
Stewart Francis
Robert Foyle Thomas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112020003555T5 publication Critical patent/DE112020003555T5/de
Application granted granted Critical
Publication of DE112020003555B4 publication Critical patent/DE112020003555B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

Ein Verfahren und ein System zum Verwalten von Sicherheits-Berechtigungsnachweisen für Client-Anwendungen werden bereitgestellt. Das Verfahren umfasst: Detektieren, dass ein Benutzer Sicherheits-Berechtigungsnachweise zur Echtheitsprüfung für eine Client-Anwendung eingibt; Verschlüsseln mindestens eines Anteils der eingegebenen Berechtigungsnachweise nach einem Hash-Verfahren, um aktuelle hashverschlüsselte Berechtigungsnachweise zu erhalten, und Speichern der aktuellen hashverschlüsselten Berechtigungsnachweise; und Vergleichen der aktuellen hashverschlüsselten Berechtigungsnachweise mit zuvor gespeicherten hashverschlüsselten Berechtigungsnachweisen für die Client-Anwendung. Wenn die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise übereinstimmen, kann das Verfahren die Berechtigungsnachweise zum automatischen Ergänzen der Berechtigungsnachweise für die Client-Anwendung speichern.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft ein Verwalten von Sicherheits-Berechtigungsnachweisen und insbesondere ein Verwalten von Sicherheits-Berechtigungsnachweisen zum Speichern mehrfach verwendbarer Berechtigungsnachweise für Client-Anwendungen.
  • HINTERGRUND DER ERFINDUNG
  • Client-Anwendungen können zum Speichern von Anmelde-Kennwörtern und -Passwörtern von Benutzern konfiguriert werden. Manche Client-Datenverarbeitungseinheiten können Dienste zum Verwalten von Passwörtern nutzen, um Anmelde-Berechtigungsnachweise ihrer Benutzer für verschiedene Client-Anwendungen zu speichern.
  • Gespeicherte Berechtigungsnachweise können automatisch an einen Netzwerk-Server übermittelt werden, um eine Benutzergenehmigung auszulösen. Dieser Prozess entlastet den Benutzer zusätzlich, indem die zum erneuten Eingeben von Berechtigungsnachweisen von einem bekannten Client-Computer erforderliche Zeit eingespart wird.
  • Zum Verbessern von Maßnahmen zur Netzwerk-Sicherheit verwenden viele Unternehmen MFA-Protokolle (multi-factor authentication, Multifaktor-Echtheitsprüfung), bei denen Benutzer zwei Formen der Kennung verwenden, um Zugriff auf eine Anwendung oder ein Netzwerk zu erlangen. Bei einer Anzahl MFA-Systeme besteht die erste Form der Kennung aus einem feststehenden Passwort und eine zweite Form der Kennung aus einem einmaligen Passwort (one-time password, OTP), das für eine bestimmte Instanz erzeugt wird und nach Verwendung oder nach einer Zeitspanne verfällt.
  • Ein MFA-Verfahren stellt sichere Echtheitsprüfungen durch Anfordern von Berechtigungsnachweisen aus verschiedenen Quellen bereit. Mit anderen Worten, die Quelle für die ersten Berechtigungsnachweise muss von der Quelle der zweiten Berechtigungsnachweise verschieden sein.
  • Ein Benutzer kann eine erste Kennung eingeben, und bei zweiten Berechtigungsnachweisen kann es sich um ein einmaliges Passwort (OTP) handeln, das durch ein Sicherheits-Token erzeugt wird. Bei dem OTP kann es sich um eine beliebige Kombination von Ziffern, Buchstaben und Symbolen in Form eines Zugangscodes oder eines PIN-Codes handeln. Das OTP kann durch eine im Besitz des Benutzers befindliche Einheit erzeugt werden, beispielsweise durch eine Keyring-Einheit oder eine Smartcard mit einem OTP-Generator oder durch ein in ein Smartphone, ein Tablet, einen Personal Computer oder eine andere Datenverarbeitungseinheit eingebettetes Software-Token, oder über ein Mobiltelefon oder eine eMail-Nachricht empfangen werden. Nach dem Eingeben werden die ersten und die zweiten Berechtigungsnachweise an einen Echtheitsprüfungs-Mechanismus übertragen, um die Berechtigungsnachweise zu prüfen und den Zugriff des Benutzers auf die Anwendung, das Netzwerk oder den Server zuzulassen oder einzuschränken.
  • Sicherheits-Berechtigungsnachweise können eine verknüpfte Form des feststehenden Passworts und des OTP darstellen. In diesen Fällen sollten Software-Anwendungen nur die erste Form der Kennung speichern, da ein erneutes Übertragen eines abgelaufenen Satzes von Berechtigungsnachweisen nur bewirken würde, dass ein Echtheitsprüfungs-Mechanismus dem Benutzer den Zugriff verwehrt.
  • Es sind Verfahren zum Analysieren eingegebener Sicherheits-Berechtigungsnachweise bekannt, um zu ermitteln, ob es sich bei ihnen um MFA-Berechtigungsnachweise handelt, um sicherzustellen, ob sie zur automatischen Eingabe gespeichert werden sollen. Bekannte Verfahren werten den Rhythmus der Tastenanschläge der Sicherheits-Berechtigungsnachweise aus, um eine Pause zwischen der Eingabe eines feststehenden Passwortes und der Eingabe eines OTP zu ermitteln. Wenn festgestellt wurde, dass kein MFA-Berechtigungsnachweis verwendet wurde, speichert der Client das Passwort und verwendet es erneut, wenn die Sitzung abgelaufen ist. Wenn jedoch festgestellt wurde, dass ein MFA-Berechtigungsnachweis verwendet wurde, speichert der Client das Passwort nicht und fordert den Benutzer jedes Mal zur erneuten Eingabe auf, um zu verhindern, dass das Passwort des Benutzers ungültig wird.
  • Deshalb besteht in der Technik ein Bedarf, das oben erwähnte Problem zu lösen.
  • KU RZDARSTELLU NG
  • Gemäß einem ersten Aspekt stellt die vorliegende Erfindung ein computergestütztes Verfahren zum Verwalten von Sicherheits-Berechtigungsnachweisen für Client-Anwendungen bereit, wobei das Verfahren aufweist: Detektieren, dass ein Benutzer Sicherheits-Berechtigungsnachweise zur Echtheitsprüfung für eine Client-Anwendung eingibt; Verschlüsseln eines Anteils der eingegebenen Berechtigungsnachweise nach einem Hash-Verfahren, um aktuelle hashverschlüsselte Berechtigungsnachweise zu erhalten, und Speichern der aktuellen hashverschlüsselten Berechtigungsnachweise; Vergleichen der aktuellen hashverschlüsselten Berechtigungsnachweis mit zuvor gespeicherten hashverschlüsselten Berechtigungsnachweisen für die Client-Anwendung; und, wenn die aktuellen hashverschlüsselten Berechtigungsnachweise mit den zuvor gespeicherten hashverschlüsselten Berechtigungsnachweisen übereinstimmen, Speichern der detektierten Sicherheits-Berechtigungsnachweise, um die für die Client-Anwendung erforderlichen Sicherheits-Berechtigungsnachweise automatisch zu ergänzen.
  • Gemäß einem weiteren Aspekt stellt die vorliegende Erfindung ein Computersystem zum Verwalten von Sicherheits-Berechtigungsnachweisen für Client-Anwendungen bereit, wobei das Computersystem aufweist: einen Prozessor und einen Arbeitsspeicher, der zum Bereitstellen von Anweisungen eines Computerprogramms für den Prozessor dient, um die Funktion der Komponenten auszuführen: eine Berechtigungsnachweis-Detektions-Komponente zum Detektieren, dass ein Benutzer Sicherheits-Berechtigungsnachweise zur Echtheitsprüfung für eine Client-Anwendung eingibt; eine Hashverschlüsselungs-Komponente zum Verschlüsseln mindestens eines Anteils der eingegebenen Berechtigungsnachweise nach einem Hash-Verfahren, um aktuelle hashverschlüsselte Berechtigungsnachweis zu erhalten, und eine Hashspeicher-Komponente zum Speichern der aktuellen hashverschlüsselten Berechtigungsnachweise; eine Vergleichs-Komponente zum Vergleichen der aktuellen hashverschlüsselten Berechtigungsnachweise mit zuvor gespeicherten Berechtigungsnachweisen für die Client-Anwendung; und eine automatische Berechtigungsnachweis-Komponente für eine Berechtigungsnachweis-Speicher-Komponente zum Speichern der detektierten Sicherheits-Berechtigungsnachweise, wenn die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise übereinstimmen, um die Sicherheits-Berechtigungsnachweise für die Client-Anwendung automatisch zu ergänzen.
  • Gemäß einem anderen Aspekt stellt die vorliegende Erfindung ein Computerprogrammprodukt zum Verwalten von Sicherheits-Berechtigungsnachweisen für Client-Anwendungen bereit, wobei das Computerprogrammprodukt ein durch einen Computer lesbares Speichermedium mit darin verkörperten Programmanweisungen aufweist, die durch einen Prozessor ausführbar sind, um den Prozessor zu veranlassen: zu detektieren, dass ein Benutzer Sicherheits-Berechtigungsnachweise zur Echtheitsprüfung für eine Client-Anwendung eingibt; mindestens einen Abschnitt der eingegebenen Berechtigungsnachweise nach einem Hash-Verfahren zu verschlüsseln, um aktuelle hashverschlüsselte Berechtigungsnachweise zu erhalten, und die aktuellen hashverschlüsselten Berechtigungsnachweise zu speichern; die aktuellen hashverschlüsselten Berechtigungsnachweise mit zuvor gespeicherten hashverschlüsselten Berechtigungsnachweisen für die Client-Anwendung zu vergleichen; und die detektierten Sicherheits-Berechtigungsnachweise zum automatischen Ergänzen der Sicherheits-Berechtigungsnachweise für die Client-Anwendung zu speichern, wenn die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise übereinstimmen.
  • Gemäß einem weiteren Aspekt stellt die vorliegende Erfindung ein Computerprogrammprodukt zum Verwalten von Sicherheits-Berechtigungsnachweisen für Client-Anwendungen bereit, wobei das Computerprogrammprodukt ein durch einen Computer lesbares Speichermedium aufweist, das durch eine Verarbeitungsschaltung lesbar ist und in dem Anweisungen zum Ausführen durch die Verarbeitungsschaltung gespeichert sind, um ein Verfahren zum Ausführen der Schritte der Erfindung durchzuführen.
  • Gemäß einem weiteren Aspekt stellt die vorliegende Erfindung ein Computerprogramm bereit, das auf einem durch einen Computer lesbaren Medium gespeichert und in den Arbeitsspeicher eines digitalen Computers ladbar ist, wobei das Computerprogramm Softwareabschnitte aufweist, um die Schritte der Erfindung auszuführen, wenn das Programm auf einem Computer ausgeführt wird.
  • Gemäß einem Aspekt der vorliegenden Erfindung wird ein computergestütztes Verfahren zum Verwalten von Sicherheits-Berechtigungsnachweisen für Client-Anwendungen bereitgestellt, wobei das Verfahren aufweist: Detektieren, dass ein Benutzer Sicherheits-Berechtigungsnachweise zur Echtheitsprüfung für eine Client-Anwendung eingibt; Verschlüsseln mindestens eines Abschnitts der eingegebenen Berechtigungsnachweise nach einem Hash-Verfahren, um aktuelle hashverschlüsselte Berechtigungsnachweise zu erhalten, Speichern der aktuellen hashverschlüsselten Berechtigungsnachweise; Vergleichen der aktuellen hashverschlüsselten Berechtigungsnachweise mit zuvor gespeicherten hashverschlüsselten Berechtigungsnachweisen für die Client-Anwendung; und Speichern der Berechtigungsnachweise zum automatischen Ergänzen der Berechtigungsnachweise für die Client-Anwendung, wenn die aktuellen hashverschlüsselten Berechtigungsnachweise mit den zuvor gespeicherten hashverschlüsselten Berechtigungsnachweisen übereinstimmen.
  • Gemäß einem anderen Aspekt der vorliegenden Erfindung wird ein System zum Verwalten von Sicherheits-Berechtigungsnachweisen für Client-Anwendungen bereitgestellt, wobei das System aufweist: einen Prozessor und einen Arbeitsspeicher, der zum Bereitstellen von Anweisungen eines Computerprogramms für den Prozessor dient, um die Funktion der Komponenten auszuführen: eine Berechtigungsnachweis-Detektions-Komponente zum Detektieren, dass ein Benutzer Sicherheits-Berechtigungsnachweis zur Echtheitsprüfung für eine Client-Anwendung eingibt; eine Hashverschlüsselungs-Komponente zum Verschlüsseln mindestens eines Abschnitts der eingegebenen Berechtigungsnachweise nach einem Hash-Verfahren, um aktuelle hashverschlüsselte Berechtigungsnachweise zu erhalten, und eine Hashspeicher-Komponente zum Speichern der aktuellen hashverschlüsselten Berechtigungsnachweise; eine Vergleichs-Komponente zum Vergleichen der aktuellen hashverschlüsselten Berechtigungsnachweise mit zuvor gespeicherten hashverschlüsselten Berechtigungsnachweisen für die Client-Anwendung; und eine automatische Berechtigungsnachweis-Komponente für eine Berechtigungsnachweis-Speicher-Komponente zum Speichern der Berechtigungsnachweise zum automatischen Ergänzen der Berechtigungsnachweise für die Client-Anwendung, wenn die aktuellen hashverschlüsselten Berechtigungsnachweise mit den zuvor gespeicherten hashverschlüsselten Berechtigungsnachweisen übereinstimmen.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird ein Computerprogrammprodukt zum Verwalten von Sicherheits-Berechtigungsnachweisen für Client-Anwendungen bereitgestellt, wobei das Computerprogrammprodukt ein durch einen Computer lesbares Speichermedium mit darin verkörperten Programmanweisungen aufweist, wobei die Programmanweisungen durch einen Prozessor ausführbar sind, um den Prozessor zu veranlassen: zu detektieren, dass ein Benutzer Sicherheits-Berechtigungsnachweise zur Echtheitsprüfung für eine Client-Anwendung eingibt; mindestens einen Abschnitt der eingegebenen Berechtigungsnachweise nach dem Hash-Verfahren zu verschlüsseln, um aktuelle hashverschlüsselte Berechtigungsnachweise zu erhalten, und die aktuellen hashverschlüsselten Berechtigungsnachweise zu speichern; die aktuellen hashverschlüsselten Berechtigungsnachweise mit zuvor gespeicherten hashverschlüsselten Berechtigungsnachweisen für die Client-Anwendung zu vergleichen; und die Berechtigungsnachweise zum automatischen Ergänzen der Berechtigungsnachweise für die Client-Anwendung zu speichern, wenn die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise übereinstimmen.
  • Figurenliste
  • Der Gegenstand der Erfindung wird im Schlussteil der Beschreibung eingehend dargelegt und ausdrücklich beansprucht. Die Erfindung, sowohl in Bezug auf die Organisation als auch auf das Arbeitsverfahren in Verbindung mit deren Aufgaben, Merkmalen und Vorteilen, ist im besten unter Bezugnahme auf die folgende detaillierte Beschreibung in Verbindung mit den beiliegenden Zeichnungen verständlich.
  • Im Folgenden werden Ausführungsformen der vorliegenden Erfindung lediglich beispielhaft unter Bezugnahme auf die folgenden Zeichnungen beschrieben, wobei:
    • 1 ein Blockschaubild einer beispielhaften Ausführungsform eines Systems ist, in dem die vorliegende Erfindung umgesetzt werden kann;
    • 2 ein Ablaufplan einer ersten beispielhaften Ausführungsform eines Verfahrens gemäß der vorliegenden Erfindung ist;
    • 3 ein Ablaufplan einer zweiten beispielhaften Ausführungsform eines Verfahrens gemäß der vorliegenden Erfindung ist;
    • 4 ein Blockschaubild einer beispielhaften Ausführungsform eines Systems gemäß der vorliegenden Erfindung ist;
    • 5 ein Blockschaltbild einer Ausführungsform eines Computersystems oder eines Cloud-Servers ist, in dem die vorliegende Erfindung umgesetzt werden kann;
    • 6 ein schematisches Schaubild einer Cloud-Computing-Umgebung ist, in der die vorliegende Erfindung umgesetzt werden kann; und
    • 7 ein Schaubild von Schichten des Abstraktionsmodells einer Cloud-Computing-Umgebung ist, in der die vorliegende Erfindung umgesetzt werden kann.
  • Es dürfte einsichtig sein, dass in den Figuren gezeigte Elemente zur Vereinfachung und der Klarheit halber nicht unbedingt maßstabsgerecht gezeichnet sind. Zum Beispiel können Abmessungen einiger Elemente zur Verdeutlichung gegenüber anderen Elementen übertrieben dargestellt sein. Falls zweckmäßig, können Bezugsnummern in mehreren Figuren wiederholt sein, um entsprechende oder analoge Merkmale darzustellen.
  • DETAILLIERTE BESCHREIBUNG
  • Es werden ein Verfahren und ein System zum Verwalten von Sicherheits-Berechtigungsnachweisen für Client-Anwendungen beschrieben. Beim Verwalten von Sicherheits-Berechtigungsnachweisen werden Berechtigungsnachweise zum automatischen Bereitstellen gespeichert, wenn eine Client-Anwendung angewendet wird. Beim Verwalten muss jedoch unterschieden werden zwischen Sicherheits-Berechtigungsnachweisen, die feststehend sind, und solchen, die aufgrund von MFA-Verfahren variabel sind. Insbesondere kann ein MFA-Verfahren ein OTP mit einem feststehenden Passwort verknüpfen, um Berechtigungsnachweise zu bilden.
  • Ausführungsformen der vorliegenden Erfindung gehen davon aus, dass aktuelle MFA-Analysen und -Verfahren zu falsch positiven Ergebnissen führen können, wenn MFA-Berechtigungsnachweise überprüft werden. Ein falsch positives Ergebnis würde dazu führen, dass das Passwort des Benutzers nicht gespeichert würde, was für den Benutzer unbequem wäre. Zu einem falsch positiven Ergebnis kann es kommen, wenn der Benutzer ein komplexes Passwort eingibt, das mit einem Datum oder einer Zahlenkombination endet, das dieser sich merken muss, sodass die zweite Hälfte des Passwortes mit einer langsameren Folge von Tastenanschlägen eingegeben wird.
  • Ausführungsformen der vorliegenden Erfindung stellen Lösungen zum Vergleichen aktuell bereitgestellter Berechtigungsnachweise mit zuvor eingegebenen Berechtigungsnachweisen für Client-Anwendungen bereit, indem Hashwerte entweder der kompletten Berechtigungsnachweise oder eines oder mehrerer Abschnitte der Berechtigungsnachweise miteinander verglichen werden.
  • Gemäß einer Ausführungsform werden die kompletten Berechtigungsnachweise miteinander verglichen, und bei Übereinstimmung sind die Berechtigungsnachweise geeignet, zum automatischen Ergänzen für die Client-Anwendung gespeichert zu werden. Dies kann als Sicherungsprüfung geeignet sein, wenn aus einer Analyse hervorgeht, dass es sich bei den Berechtigungsnachweisen um MFA-Berechtigungsnachweise handelt, die nicht gespeichert werden sollen.
  • Gemäß einer anderen Ausführungsform können die Berechtigungsnachweise in zwei Abschnitte aufgeteilt werden, einen ersten Teil, der mutmaßlich ein feststehendes Passwort ist, und einen zweiten Teil, der mutmaßlich ein variables Token wie ein OTP ist. Zumindest der zweite Teil kann hashverschlüsselt und mit zuvor hashverschlüsselten Versionen des zweiten Teils verglichen werden, um zu erkennen, ob es sich bei dem Abschnitt tatsächlich um ein variables Token handelt. Bei einer anderen Variante werden beide Teile miteinander verglichen, was im Folgenden erläutert wird.
  • Das Verfahren detektiert eine Verwendung der MFA-Echtheitsprüfung durch einen Benutzer auf der Seite eines Client unter Verwendung eines Abschnitts von Client-Software zum Durchführen eines einfachen heuristischen Verfahrens, um bei jeder Eingabe durch Vergleichen des Passworts mit dem Token zu prüfen, ob eingegebene Berechtigungsnachweise ein MFA-Token enthalten.
  • 1 zeigt eine beispielhafte Ausführungsform eines Systems 100, in dem die vorliegende Erfindung umgesetzt werden kann. Das System 100 kann eine Client-Datenverarbeitungseinheit 130 mit Client-Anwendungen enthalten, für die eine Echtheitsprüfung erforderlich ist, wenn sie auf zugehörige ferne Server 110 oder Netzwerke zugreifen.
  • Die Client-Datenverarbeitungseinheit 130 kann mindestens einen Prozessor 131, ein Hardware-Modul oder eine Schaltung zum Ausführen der Funktionen der beschriebenen Komponenten enthalten, bei denen es sich um die Softwareeinheiten handeln kann, die auf dem mindestens einen Prozessor ausgeführt werden. Es können mehrere Prozessoren bereitgestellt werden, die parallele Verarbeitungs-Threads ausführen, um eine parallele Verarbeitung einiger oder aller Funktionen der Komponenten zu ermöglichen. Ein Speicher 132 kann so konfiguriert werden, dass er Computeranweisungen 133 für den mindestens einen Prozessor 131 bereitstellt.
  • Die Computeranweisungen 133 können Client-Anwendungen 134 enthalten, für die eine Echtheitsprüfung zum Beispiel durch eine Echtheitsprüfungs-Komponente 135 der Anwendung erforderlich ist. Die Client-Datenverarbeitungseinheit 130 kann auch eine Eingabe-/Ausgabe-Einheit 136 zum Eingeben von Berechtigungsnachweisen in die Echtheitsprüfungs-Komponente 135 enthalten, zum Beispiel eine Tastatur, eine Maus, einen berührungsempfindlichen Bildschirm usw.
  • Die Echtheitsprüfungs-Komponente 135 kann ein MFA-Verfahren verwenden, in dem ein OTP von einer anderen Quelle wie einer OTP-Bereitstellungseinheit 120 zum Eingeben mittels der E-/A-Einheit 136 in die Echtheitsprüfungs-Komponente 135 der Client-Anwendung 134 bereitgestellt wird. Das OTP kann beim Eingeben mit einem feststehenden Passwort des Benutzers für die Client-Anwendung 134 verknüpft werden.
  • Das beschriebene System stellt eine Komponente 160 zum Verwalten von Sicherheits-Berechtigungsnachweisen bereit, um über eine Client-Datenverarbeitungseinheit 130 eingegebene Berechtigungsnachweise zu verwalten. Die Komponente 160 zum Verwalten von Sicherheits-Berechtigungsnachweisen kann lokal für die Client-Datenverarbeitungseinheit 130 oder durch einen sicheren fernen Service bereitgestellt werden. Die Komponente 160 zum Verwalten von Sicherheits-Berechtigungsnachweisen kann eine Berechtigungsnachweis-Speicherkomponente 163 zum Speichern von Berechtigungsnachweisen in einer Speichereinheit 170 entweder in der Client-Datenverarbeitungseinheit 130 oder über Fernzugriff über sichere Datenübertragungskanäle sowie eine automatische Ergänzungs-Komponente 164 zum automatischen Ergänzen der Berechtigungsnachweise in der Echtheitsprüfungs-Komponente 135 bereitstellen.
  • Die Komponente 160 zum Verwalten von Sicherheits-Berechtigungsnachweisen kann eine MFA-Erkennungs-Komponente 161 zum Erkennen enthalten, wann die Echtheitsprüfungs-Komponente 135 ein MFA-Verfahren verwendet, um zu bewerten, welche Berechtigungsnachweise zum automatischen Ergänzen gespeichert werden können. Das beschriebene System stellt eine Komponente 162 zum Prüfen von Berechtigungsnachweisen bereit, um zu prüfen, ob es sich bei Berechtigungsnachweisen um variable MFA-Berechtigungsnachweise, die nicht gespeichert werden sollen, oder um feststehende Berechtigungsnachweise handelt, die gespeichert werden können.
  • In 2 zeigt ein Ablaufplan 200 eine erste beispielhafte Ausführungsform des beschriebenen Verfahrens, das durch die Komponente 160 zum Verwalten von Sicherheits-Berechtigungsnachweisen durchgeführt wird.
  • In Schritt 201 kann das Verfahren eine Eingabe von Berechtigungsnachweisen eines Benutzers für eine Client-Anwendung empfangen. In Schritt 202 kann ermittelt werden, ob bei den Berechtigungsnachweisen möglicherweise ein MFA-Verfahren beteiligt ist. Dies lässt sich durch verschiedene Verfahren ermitteln, darunter durch Analysieren des Rhythmus der Tastenanschläge für die Berechtigungsnachweise, um zu ermitteln, ob es bei einem Teil der Berechtigungsnachweise zu einer Verzögerung oder einer verlangsamten Eingabe kommt, was auf eine Verwendung eines variablen Tokens wie eines OTP hinweist. Gemäß einer Ausführungsform wird die mögliche Verwendung eines MFA-Verfahrens anhand eines Wahrscheinlichkeits-Schwellenwertes gemessen.
  • Wenn festgestellt wird, dass die Berechtigungsnachweise wahrscheinlich kein MFA-Verfahren verwenden, können die Berechtigungsnachweise in Schritt 207 zur späteren automatischen Ergänzung gespeichert werden.
  • Wird jedoch festgestellt, dass die Berechtigungsnachweise sich wahrscheinlich eines MFA-Verfahrens bedienen, kann dies geprüft werden, indem in Schritt 203 ein sicherer Hashwert der gesamten Zeichenfolge der eingegebenen Berechtigungsnachweise ermittelt und das Ergebnis gespeichert wird. Zur sicheren Hashverschlüsselung kann eine kryptografische Einweg-Hashfunktion verwendet werden, um einen Nachrichtenauszug der Berechtigungsnachweise zu erzeugen. Der Nachrichtenauszug kann sicher gespeichert und dann zum Prüfen verwendet werden, ob aus denselben eingegebenen Berechtigungsnachweisen ein anderer Nachrichtenauszug erzeugt worden ist. Die Prüfung erfolgt in Schritt 204 durch Vergleichen des aktuell erzeugten Nachrichtenauszugs mit einem zuvor erzeugten und gespeicherten Nachrichtenauszug von zuvor eingegebenen Berechtigungsnachweisen.
  • In Schritt 205 kann ermittelt werden, ob die Nachrichtenauszüge übereinstimmen. Wenn das der Fall ist, zeigt dies, dass die Berechtigungsnachweise kein variables Token enthalten und in Schritt 207 zum automatischen Ergänzen der Echtheitsprüfung gespeichert werden können.
  • Wenn in Schritt 205 festgestellt wird, dass die Nachrichtenauszüge nicht übereinstimmen, zeigt dies, dass die Berechtigungsnachweise ein variables Token enthalten, das bei dem MFA-Verfahren verwendet wird, oder dass sich die Berechtigungsnachweise geändert haben, sodass die Berechtigungsnachweise in Schritt 206 nicht gespeichert werden. Wenn sich die Berechtigungsnachweise aufgrund einer Passwort-Aktualisierung geändert haben und kein variables Token enthalten, wird der bei der nächsten Eingabe der Berechtigungsnachweise erzeugte Nachrichtenauszug mit diesem erzeugten Nachrichtenauszug übereinstimmen, und die Berechtigungsnachweise werden gespeichert.
  • Dann kann die Nachricht in Schritt 210 auf die Eingabe der nächsten Berechtigungsnachweise warten, und das Verfahren kann wiederholt werden.
  • Ein Ablaufplan 300 gemäß 3 zeigt eine zweite beispielhafte Ausführungsform des beschriebenen Verfahrens, das durch eine Komponente 160 zum Verwalten von Sicherheits-Berechtigungsnachweisen durchgeführt wird.
  • In einer ähnlichen Weise wie bei der ersten Ausführungsform kann das Verfahren in Schritt 301 eine Eingabe von Berechtigungsnachweisen eines Benutzers für eine Client-Anwendung empfangen. In Schritt 302 kann ermittelt werden, ob für die Berechtigungsnachweise möglicherweise ein MFA-Verfahren verwendet wurde. Dies kann mittels verschiedener Verfahren ermittelt werden, darunter durch Analyse des Rhythmus von Tastenanschlägen für die Berechtigungsnachweise, um zu ermitteln, ob es bei einem Teil der Berechtigungsnachweise zu einer Verzögerung oder einer langsameren Eingabe kommt, was auf eine Verwendung eines variablen Tokens wie eines OTP hinweist. Gemäß einer Ausführungsform wird die wahrscheinliche Verwendung des MFA-Verfahrens durch einen Wahrscheinlichkeits-Schwellenwert gemessen.
  • Wenn in Schritt 303 festgestellt wird, dass für die Berechtigungsnachweise wahrscheinlich kein MFA-Verfahren verwendet wurde, können die Berechtigungsnachweise in Schritt 321 zur späteren automatischen Ergänzung gespeichert werden.
  • Wenn in Schritt 303 jedoch festgestellt wird, dass für die Berechtigungsnachweise wahrscheinlich kein MFA-Verfahren verwendet wurde, kann das Verfahren die Berechtigungsnachweise auf der Grundlage der Analyse, ob ein MFA-Verfahren verwendet wurde, in Schritt 304 aufteilen und die aufgeteilten Abschnitte in Schritt 305 dahingehend analysieren, einen Teil in Form eines mutmaßlichen feststehenden Passworts und einen Teil in Form eines variablen Tokens zu ermitteln. Das Verfahren kann zum Beispiel unter Verwendung des Rhythmus der Eingabe-Tastenanschläge eine klare Unterscheidung zwischen zwei Teilen der Berechtigungsnachweise aufzeigen, wobei es sich bei einem Teil mutmaßlich um ein feststehendes Passwort und bei einem anderen Teil mutmaßlich um ein variables Token wie ein OTP handeln kann.
  • Wenn während der Eingabe im Rhythmus der Tastenanschläge eine Pause eintritt, kann die Pause die Trennung zwischen den beiden Teilen anzeigen, und beim Vergleich der Tastenanschläge bei der Eingabe in jedem Teil kann sich herausstellen, dass ein bekanntes feststehendes Passwort schneller als ein gerade erst empfangenes variables Token eingegeben wird. Bei einem anderen Verfahren zum Ermitteln, ob es sich bei einem Anteil um ein variables Token handelt, werden die Zeichen analysiert, wobei ein überwiegend numerischer Anteil auf ein variables Token hinweist.
  • In Schritt 306 kann das Verfahren den Teil des mutmaßlichen feststehenden Passwortes nach einem Hashverfahren verschlüsseln und den entstehenden Nachrichtenauszug speichern. Der aktuell erzeugte Nachrichtenauszug kann in Schritt 307 mit einem zuvor gespeicherten Nachrichtenauszug verglichen werden.
  • In Schritt 308 kann das Verfahren den Teil des mutmaßlichen variablen Tokens nach dem Hashverfahren verschlüsseln und den entstehenden Nachrichtenauszug speichern. Der aktuell erzeugte Nachrichtenauszug kann in Schritt mit einem zuvor gespeicherten Nachrichtenauszug verglichen werden.
  • Zum Hashvergleich kann ein Hash-Algorithmus ohne Salt-Zusatz wie MD5, SHA oder SHA256 verwendet werden. Das bedeutet, dass der Hashwert für eine bestimmte Zeichenfolge immer derselbe ist und somit direkt verglichen werden kann. Diese Hash-Algorithmen ohne Salt-Zusatz werden vermutlich beim Senden des Passworts über die Festnetzverbindung verwendet, da sie nicht so sicher sind wie neuere Algorithmen mit Salt-Zusatz; sie sind jedoch sicher genug, um durch den Benutzer lokal gespeichert zu werden, um zu ermitteln, ob ein MFA-Verfahren verwendet wird.
  • In Schritt 310 kann ermittelt werden, ob die Nachrichtenauszüge der Teile des mutmaßlichen variablen Tokens übereinstimmen. Wenn das der Fall ist, zeigt dies, dass die Teile des mutmaßlichen variablen Tokens tatsächlich feststehend sind und kein MFA-Verfahren verwendet wird, sodass die Berechtigungsnachweise in Schritt 321 zur späteren automatischen Ergänzung gespeichert werden können. Das kann zum Beispiel vorkommen, wenn es sich bei einem mutmaßlichen variablen Token eigentlich um ein Datum am Ende des Passworts oder einen anderen Passwortabschnitt handelt, dessen Zeichen möglicherweise langsamer eingegeben worden sind.
  • Wenn in Schritt 310 festgestellt wird, dass die Nachrichtenauszüge der Teile des mutmaßlichen variablen Tokens nicht übereinstimmen, sind sie tatsächlich variabel und zeigen an, dass bei den Berechtigungsnachweisen ein MFA-Verfahren verwendet wird. Dann kann das Verfahren in Schritt 311 ermitteln, ob die Nachrichtenauszüge der Teile des mutmaßlichen feststehenden Passwortes übereinstimmen. Wenn das der Fall ist, kann in Schritt 322 davon ausgegangen werden, dass bei den Berechtigungsnachweisen ein MFA-Verfahren verwendet wird und zumindest der Teil des Tokens nicht gespeichert werden sollte. Möglicherweise kann der Teil des feststehenden Passwortes zur späteren automatischen Ergänzung gespeichert werden.
  • Wenn in Schritt 311 festgestellt wird, dass die Nachrichtenauszüge der Teile des mutmaßlichen feststehenden Passwortes nicht übereinstimmen, kann dies darauf hinweisen, dass das Passwort zurückgesetzt wurde und die Berechtigungsnachweise in Schritt 323 bis zu einer nächsten Wiederholung nicht gespeichert werden sollten, in der das neue Passwort bestätigt wird.
  • In allen Fällen kann das Verfahren dann in Schritt 324 auf die nächste Eingabe der Berechtigungsnachweise zur Prüfung warten. Die Richtigkeit der Annahme, dass ein MFA-Verfahren verwendet wird, kann bei mehreren Versuchen zur Echtheitsprüfung oder bei jeder Echtheitsprüfung geprüft werden.
  • Das Verfahren verwendet Software auf einer Client-Seite zum Detektieren einer Aufteilung zwischen einem feststehenden Passwort und einem variablen Token, zum Verschlüsseln beider Seiten nach einem Hashverfahren, zum Speichern beider sowie zum Vergleichen der beiden Seiten jedes Mal, wenn Berechtigungsnachweise erforderlich sind, indem geprüft wird, ob der Passwortteil unverändert bleibt und sich der Tokenteil jedes Mal ändert.
  • Zum Detektieren, ob es wahrscheinlich ist, dass die Berechtigungsnachweise eine MFA verwenden, können bekannte Verfahren verwendet werden. Wenn es wahrscheinlich ist, dass ein MFA-Verfahren verwendet wird, werden, anstatt an diesem Punkt auf das Speichern zu verzichten, die zusätzlichen Schritte ausgeführt, um zu prüfen, ob die Berechtigungsnachweise einen variablen Anteil enthalten. Es ist möglich, dass das Passwort eines Benutzers mit einem Datum endet, das durch das MFA-Analysesystem als Token aufgefasst werden kann, und dass ein falsch positives MFA-Ergebnis vermutet werden kann, obwohl die Berechtigungsnachweise tatsächlich feststehend sind und gespeichert werden können.
  • Das Verfahren kann zum Bereitstellen einer genaueren Analyse von Unterschieden zwischen zwei eingegebenen Berechtigungsnachweisen verwendet werden, um zu ermitteln, ob ein MFA-Token verwendet wird, falls dem Server noch nicht bekannt ist, ob ein MFA-Verfahren verwendet wird.
  • Ein Blockschaubild in 4 zeigt weitere Einzelheiten der Berechtigungsnachweis-Prüfkomponente 162 der Komponente 160 zum Verwalten von Sicherheits-Berechtigungsnachweisen von 1.
  • Die Berechtigungsnachweis-Prüfkomponente 162 kann eine Berechtigungsnachweis-Detektions-Komponente 401 zum Detektieren enthalten, dass ein Benutzer Sicherheits-Berechtigungsnachweise einer Client-Anwendung zur Echtheitsprüfung eingibt. Die Berechtigungsnachweis-Detektions-Komponente 401 kann auf Berechtigungsnachweise beschränkt sein, von denen durch eine MFA-Detektionskomponente 161 ermittelt wurde, dass sie eine Schwellenwert-Wahrscheinlichkeit in Bezug auf die Verwendung eines MFA-Verfahrens haben.
  • Die Berechtigungsnachweis-Prüfkomponente 162 kann eine Berechtigungsnachweis-Teilungskomponente 402 zum Aufteilen der eingegebenen Sicherheits-Berechtigungsnachweise auf der Grundlage einer Analyse der eingegebenen Sicherheits-Berechtigungsnachweise in einen ersten Teil und einen zweiten Teil enthalten , um eine Pause oder eine Änderung des Rhythmus der Eingabe zwischen dem ersten Teil und dem zweiten Teil zu erkennen. Die Berechtigungsnachweis-Prüfkomponente 162 kann eine Teile-Erkennungskomponente 403 enthalten, um durch Analysieren der Eingabe der Berechtigungsnachweise zu festzustellen, dass es sich bei dem ersten Teil oder dem zweiten Teil um einen Anteil des mutmaßlichen variablen Tokens und bei dem jeweils anderen Teil, dem zweiten oder ersten Teil, um einen Anteil des mutmaßlichen feststehenden Passwortes handelt.
  • Die Berechtigungsnachweis-Prüfkomponente 162 kann eine Hash-Verschlüsselungs-Komponente 404 zum Verschlüsseln zumindest eines Anteils der eingegebenen Berechtigungsnachweise mittels Hash-Verfahren, um aktuelle hashverschlüsselte Berechtigungsnachweise zu erhalten, eine Hash-Speicher-Komponente 406 zum Speichern der aktuellen hashverschlüsselten Berechtigungsnachweise und eine Vergleichs-Komponente 405 zum Vergleichen der aktuellen hashverschlüsselten Berechtigungsnachweise mit zuvor gespeicherten hashverschlüsselten Berechtigungsnachweisen für die Client-Anwendung enthalten.
  • Die Hash-Verschlüsselungs-Komponente 404 und die Vergleichs-Komponente 405 können die gesamte Zeichenfolge der Berechtigungsnachweise oder den ersten und/oder den zweiten Teil separat verarbeiten.
  • Die Komponente 160 zum Verwalten von Sicherheits-Berechtigungsnachweisen kann eine automatische Berechtigungsnachweis-Komponente 164 und eine Berechtigungsnachweis-Speicher-Komponente 163 zum Speichern der Berechtigungsnachweise zum automatischen Ergänzen der Berechtigungsnachweise für die Client-Anwendung enthalten, wenn bei den Berechtigungsnachweisen kein MFA-Verfahren verwendet wird.
  • Gemäß Ausführungsformen, bei denen die Berechtigungsnachweise in einen Anteil des mutmaßlichen feststehenden Passwortes und einen Anteil des mutmaßlichen variablen Tokens aufgeteilt werden, kann Folgendes passieren.
  • Wenn die Vergleichs-Komponente 405 feststellt, dass die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise des Anteils des mutmaßlichen variablen Tokens übereinstimmen, kann die Berechtigungsnachweis-Speicher-Komponente 163 die Berechtigungsnachweise zum automatischen Ergänzen der Berechtigungsnachweise der Client-Anwendung speichern.
  • Wenn die Vergleichs-Komponente 405 feststellt, dass die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise des Anteils des mutmaßlichen variablen Tokens nicht übereinstimmen und die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise des Anteils des mutmaßlichen feststehenden Passwortes übereinstimmen, kann die Berechtigungsnachweis-Speicher-Komponente 163 den Anteil des mutmaßlichen feststehenden Passwortes zum automatischen Ergänzen partieller Berechtigungsnachweise der Client-Anwendung speichern.
  • Wenn die Vergleichs-Komponente 405 feststellt, dass die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweis des Anteils des mutmaßlichen feststehenden Passwortes nicht übereinstimmen, kann die Berechtigungsnachweis-Speicher-Komponente 164 auf die nächsten eingegebenen Berechtigungsnachweise warten, bevor Berechtigungsnachweise zum automatischen Ergänzen der Berechtigungsnachweise für die Client-Anwendung gespeichert werden.
  • 5 zeigt ein Blockschaltbild von Komponenten der Client-Datenverarbeitungseinheit 130 des Systems 100 von 1 gemäß einer Ausführungsform der vorliegenden Erfindung. Es sollte einsichtig sein, dass 5 nur eine Veranschaulichung einer Implementierung bereitstellt und keine Beschränkungen in Bezug auf die Umgebungen nahelegt, in denen verschiedene Ausführungsformen umgesetzt werden können. Es können viele Modifikationen an der gezeigten Umgebung vorgenommen werden.
  • Die Client-Datenverarbeitungseinheit 130 kann einen oder mehrere Prozessoren 502, einen oder mehrere durch einen Computer lesbare RAMs 504, einen oder mehrere durch einen Computer lesbare ROMs 506, ein oder mehrere durch einen Computer lesbare Speichermedien 508, Einheitentreiber 512, Lese-/Schreib-Einheiten oder -Schnittstellen 514 und Netzwerk-Adapter oder -Schnittstellen 516 enthalten, die sämtlich über eine Datenübertragungsstruktur 518 miteinander verbunden sind. Die Datenübertragungsstruktur 518 kann mittels einer beliebigen Architektur umgesetzt werden, die zum Weiterleiten von Daten und/oder Steuerinformationen zwischen Prozessoren (beispielsweise Mikroprozessoren, Datenübertragungs- und Netzwerk-Prozessoren usw.), dem Arbeitsspeicher, Peripherieeinheiten und beliebigen anderen Hardware-Komponenten innerhalb des Systems ausgelegt sind.
  • Ein oder mehrere Betriebssysteme 510 und Anwendungsprogramme 511 wie die Client-Anwendungen 131 und die Komponente zum Verwalten von Sicherheits-Berechtigungsnachweisen sind auf einem oder mehreren der durch einen Computer lesbaren Speichermedien 508 gespeichert, um diese durch einen oder mehrere der Prozessoren 502 vermittels eines oder mehrerer der entsprechenden RAMs 504 (die üblicherweise einen Cache enthalten) auszuführen. Gemäß der veranschaulichten Ausführungsform kann es sich bei jedem der durch einen Computer lesbaren Speichermedien 508 um eine Magnetplatten-Speichereinheit oder ein internes Festplattenlaufwerk, eine CD-ROM, eine DVD, einen Speicher-Stick, ein Magnetband, eine Magnetplatte, eine optische Platte, eine Halbleiter-Speichereinheit wie einen RAM, einen ROM, einen EPROM, einen Flash-Speicher oder beliebige andere durch einen Computer lesbare Speichermedien handeln, die ein Computerprogramm und digitale Informationen gemäß Ausführungsformen der Erfindung speichern können.
  • Die Client-Datenverarbeitungseinheit 130 kann ein Lese-/-Schreib-Laufwerk oder eine Schnittstelle 514 zum Lesen von einem oder mehreren tragbaren durch einen Computer lesbaren Speichermedien 526 zu lesen oder auf diese zu schreiben. Anwendungsprogramme 511 auf der Client-Datenverarbeitungseinheit 130 können auf einem oder mehreren der tragbaren durch einen Computer lesbaren Speichermedien 526 gespeichert, mittels des entsprechenden Lese-/-Schreib-Laufwerk gelesen und in die entsprechenden durch einen Computer lesbaren Speichermedien 508 geladen werden.
  • Die Client-Datenverarbeitungseinheit 130 kann auch einen Netzwerkadapter oder eine Schnittstelle 516 wie eine TCP/IP-Adapterkarte oder einen drahtlosen Datenübertragungsadapter enthalten. Anwendungsprogramme 511 auf der Client-Datenverarbeitungseinheit 130 können von einem externen Computer oder einer externen Speichereinheit über ein Netzwerk (zum Beispiel das Internet, ein lokales Netzwerk oder andere Weitverkehrs-Netzwerke oder drahtlose Netzwerke) und den Netzwerkadapter oder die Schnittstelle 516 auf die Datenverarbeitungseinheit heruntergeladen werden. Von dem Netzwerkadapter oder der Schnittstelle 516 können die Programme in die durch einen Computer lesbaren Speichermedien 508 geladen werden. Das Netzwerk kann Kupferleitungen, Lichtwellenleiter, drahtlose Übertragung, Router, Firewalls, Vermittlungsrechner, Gateway-Computer und Edge-Server aufweisen.
  • Die Client-Datenverarbeitungseinheit 130 kann auch einen Bildschirm 520, eine Tastatur oder ein Tastenfeld 522 und eine Computermaus oder eine berührungsempfindliche Fläche 524 enthalten. Einheitentreiber 512 sind mit dem Bildschirm 520 zum Anzeigen, mit der Tastatur oder dem Tastenfeld 522, der Computermaus oder der berührungsempfindlichen Fläche 524 und/oder mit dem Bildschirm 520 zum Erfassen des Drucks beim Eingeben von alphanumerischen Zeichen und Benutzerauswahlen verbunden. Die Einheitentreiber 512, das Lese-/Schreib-Laufwerk oder die Schnittstelle 514 und der Netzwerkadapter oder die Schnittstelle 516 können Hardware und in den durch einen Computer lesbaren Speichermedien 508 und/oder dem ROM 506 gespeicherte Software aufweisen.
  • Bei der vorliegenden Erfindung kann es sich um ein System, ein Verfahren und/oder ein Computerprogrammprodukt handeln. Das Computerprogrammprodukt kann ein durch einen Computer lesbares Speichermedium (oder -medien) mit durch einen Computer lesbaren Programmanweisungen darauf umfassen, um einen Prozessor dazu zu veranlassen, Aspekte der vorliegenden Erfindung auszuführen.
  • Bei dem durch einen Computer lesbaren Speichermedium kann es sich um eine physische Einheit handeln, die Anweisungen zur Verwendung durch ein System zur Ausführung von Anweisungen behalten und speichern kann. Bei dem durch einen Computer lesbaren Speichermedium kann es sich zum Beispiel um eine elektronische Speichereinheit, eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiterspeichereinheit oder jede geeignete Kombination daraus handeln, ohne auf diese beschränkt zu sein. Zu einer nicht erschöpfenden Liste spezifischerer Beispiele des durch einen Computer lesbaren Speichermediums gehören die Folgenden: eine auswechselbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Nur-Lese-Speicher (ROM), ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM bzw. Flash-Speicher), ein statischer Direktzugriffsspeicher (SRAM), ein auswechselbarer Kompaktspeicherplatte-Nur-Lese-Speicher (CD-ROM), eine DVD (digital versatile disc), ein Speicher-Stick, eine Diskette, eine mechanisch kodierte Einheit wie zum Beispiel Lochkarten oder erhabene Strukturen in einer Rille, auf denen Anweisungen gespeichert sind, und jede geeignete Kombination daraus. Ein durch einen Computer lesbares Speichermedium soll in der Verwendung hierin nicht als flüchtige Signale an sich aufgefasst werden, wie zum Beispiel Funkwellen oder andere sich frei ausbreitende elektromagnetische Wellen, elektromagnetische Wellen, die sich durch einen Wellenleiter oder ein anderes Übertragungsmedium ausbreiten (z.B. ein Lichtwellenleiterkabel durchlaufende Lichtimpulse) oder durch einen Draht übertragene elektrische Signale.
  • Hierin beschriebene, durch einen Computer lesbare Programmanweisungen können von einem durch einen Computer lesbaren Speichermedium auf jeweilige Datenverarbeitungs-/Verarbeitungseinheiten oder über ein Netzwerk wie zum Beispiel das Internet, ein lokales Netzwerk, ein Weitverkehrsnetz und/oder ein drahtloses Netzwerk auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenübertragungsleiter, drahtlose Übertragung, Leitwegrechner, Firewalls, Vermittlungseinheiten, Gateway-Computer und/oder Edge-Server umfassen. Eine Netzwerkadapterkarte oder Netzwerkschnittstelle in jeder Datenverarbeitungs-/Verarbeitungseinheit empfängt durch einen Computer lesbare Programmanweisungen aus dem Netzwerk und leitet die durch einen Computer lesbaren Programmanweisungen zur Speicherung in einem durch einen Computer lesbaren Speichermedium innerhalb der entsprechenden Datenverarbeitungs-/Verarbeitungseinheit weiter.
  • Bei durch einen Computer lesbaren Programmanweisungen zum Ausführen von Arbeitsschritten der vorliegenden Erfindung kann es sich um Assembler-Anweisungen, ISA-Anweisungen (Instruction-Set-Architecture), Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Firmware-Anweisungen, zustandssetzende Daten oder entweder Quellcode oder Objektcode handeln, die in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen geschrieben werden, darunter objektorientierte Programmiersprachen wie Smalltalk, C++ o.ä. sowie herkömmliche prozedurale Programmiersprachen wie die Programmiersprache „C“ oder ähnliche Programmiersprachen. Die durch einen Computer lesbaren Programmanweisungen können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Software-Paket, teilweise auf dem Computer des Benutzers und teilweise auf einem fernen Computer oder vollständig auf dem fernen Computer oder Server ausgeführt werden. In letzterem Fall kann der entfernt angeordnete Computer mit dem Computer des Benutzers durch eine beliebige Art Netzwerk verbunden sein, darunter ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetz (WAN), oder die Verbindung kann mit einem externen Computer hergestellt werden (zum Beispiel über das Internet unter Verwendung eines Internet-Dienstanbieters). In einigen Ausführungsformen können elektronische Schaltungen, darunter zum Beispiel programmierbare Logikschaltungen, vor Ort programmierbare Gatter-Anordnungen (FPGA, field programmable gate arrays) oder programmierbare Logikanordnungen (PLA, programmable logic arrays) die durch einen Computer lesbaren Programmanweisungen ausführen, indem sie Zustandsinformationen der durch einen Computer lesbaren Programmanweisungen nutzen, um die elektronischen Schaltungen zu personalisieren, um Aspekte der vorliegenden Erfindung durchzuführen.
  • Aspekte der vorliegenden Erfindung sind hierin unter Bezugnahme auf Ablaufpläne und/oder Blockschaltbilder bzw. Schaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird darauf hingewiesen, dass jeder Block der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder sowie Kombinationen von Blöcken in den Ablaufplänen und/oder den Blockschaltbildern bzw. Schaubildern mittels durch einen Computer lesbare Programmanweisungen ausgeführt werden können.
  • Diese durch einen Computer lesbaren Programmanweisungen können einem Prozessor eines Universalcomputers, eines Spezialcomputers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, so dass die über den Prozessor des Computers bzw. der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführten Anweisungen ein Mittel zur Umsetzung der in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte erzeugen.
  • Diese durch einen Computer lesbaren Programmanweisungen können auch auf einem durch einen Computer lesbaren Speichermedium gespeichert sein, das einen Computer, eine programmierbare Datenverarbeitungsvorrichtung und/oder andere Einheiten so steuern kann, dass sie auf eine bestimmte Art funktionieren, so dass das durch einen Computer lesbare Speichermedium, auf dem Anweisungen gespeichert sind, ein Herstellungsprodukt umfasst, darunter Anweisungen, welche Aspekte der/des in dem Block bzw. den Blöcken des Ablaufplans und/oder der Blockschaltbilder bzw. Schaubilder angegebenen Funktion/Schritts umsetzen.
  • Die durch einen Computer lesbaren Programmanweisungen können auch auf einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder eine andere Einheit geladen werden, um das Ausführen einer Reihe von Prozessschritten auf dem Computer bzw. der anderen programmierbaren Vorrichtung oder anderen Einheit zu verursachen, um einen auf einem Computer ausgeführten Prozess zu erzeugen, so dass die auf dem Computer, einer anderen programmierbaren Vorrichtung oder einer anderen Einheit ausgeführten Anweisungen die in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte umsetzen.
  • Die Ablaufpläne und die Blockschaltbilder bzw. Schaubilder in den Figuren veranschaulichen die Architektur, die Funktionalität und den Betrieb möglicher Ausführungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In diesem Zusammenhang kann jeder Block in den Ablaufplänen oder Blockschaltbildern bzw. Schaubildern ein Modul, ein Segment oder einen Teil von Anweisungen darstellen, die eine oder mehrere ausführbare Anweisungen zur Ausführung der bestimmten logischen Funktion(en) umfassen. In einigen alternativen Ausführungen können die in dem Block angegebenen Funktionen in einer anderen Reihenfolge als in den Figuren gezeigt stattfinden. Zwei nacheinander gezeigte Blöcke können zum Beispiel in Wirklichkeit im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können manchmal je nach entsprechender Funktionalität in umgekehrter Reihenfolge ausgeführt werden. Es ist ferner anzumerken, dass jeder Block der Blockschaltbilder bzw. Schaubilder und/oder der Ablaufpläne sowie Kombinationen aus Blöcken in den Blockschaltbildern bzw. Schaubildern und/oder den Ablaufplänen durch spezielle auf Hardware beruhende Systeme umgesetzt werden können, welche die festgelegten Funktionen oder Schritte durchführen, oder Kombinationen aus Spezial-Hardware und Computeranweisungen ausführen.
  • Cloud Computing
  • Es sei von vornherein klargestellt, dass das Umsetzen der hierin angeführten Lehren nicht auf eine Cloud-Computing-Umgebung beschränkt ist, obwohl diese Offenbarung eine ausführliche Beschreibung von Cloud-Computing umfasst. Stattdessen können Ausführungsformen der vorliegenden Erfindung gemeinsam mit jeder beliebigen Art von jetzt bekannter oder später erfundener Datenverarbeitungsumgebung umgesetzt werden.
  • Cloud-Computing ist ein Servicebereitstellungsmodell zum Ermöglichen eines problemlosen bedarfsgesteuerten Netzwerkzugriffs auf einen gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen (z.B. Netzwerke, Netzwerkbandbreite, Server, Verarbeitung, Hauptspeicher, Speicher, Anwendungen, virtuelle Maschinen und Dienste), die mit minimalem Verwaltungsaufwand bzw. minimaler Interaktion mit einem Anbieter des Service schnell bereitgestellt und freigegeben werden können. Dieses Cloud-Modell kann mindestens fünf Eigenschaften umfassen, mindestens drei Dienstmodelle und mindestens vier Implementierungsmodelle.
  • Bei den Eigenschaften handelt es sich um die Folgenden:
    • On-Demand Self-Service: Ein Cloud-Nutzer kann einseitig automatisch nach Bedarf für Datenverarbeitungsfunktionen wie Serverzeit und Netzwerkspeicher sorgen, ohne dass eine menschliche Interaktion mit dem Anbieter der Dienste erforderlich ist.
  • Broad Network Access: Es sind Funktionen über ein Netzwerk verfügbar, auf die durch Standardmechanismen zugegriffen wird, welche die Verwendung durch heterogene Thin- oder Thick-Client-Plattformen (z.B. Mobiltelefone, Laptops und PDAs) unterstützen.
  • Resource-Pooling: Die Datenverarbeitungsressourcen des Anbieters werden zusammengeschlossen, um mehreren Nutzern unter Verwendung eines Multi-Tenant-Modells zu dienen, wobei verschiedene physische und virtuelle Ressourcen dynamisch nach Bedarf zugewiesen und neu zugewiesen werden. Es gibt eine gefühlte Standortunabhängigkeit, da der Nutzer allgemein keine Kontrolle bzw. Kenntnis über den genauen Standort der bereitgestellten Ressourcen hat, aber in der Lage sein kann, einen Standort auf einer höheren Abstraktionsebene festzulegen (z.B. Land, Staat oder Rechenzentrum).
  • Rapid Elasticity: Funktionen können für eine schnelle horizontale Skalierung (scale out) schnell und elastisch bereitgestellt werden, in einigen Fällen auch automatisch, und für ein schnelles Scale-in schnell freigegeben werden. Für den Nutzer erscheinen die für das Bereitstellen verfügbaren Funktionen häufig unbegrenzt und sie können jederzeit in jeder beliebigen Menge gekauft werden.
  • Measured Service: Cloud-Systeme steuern und optimieren die Verwendung von Ressourcen automatisch, indem sie eine Messfunktion auf einer gewissen Abstraktionsebene nutzen, die für die Art von Dienst geeignet ist (z.B. Speicher, Verarbeitung, Bandbreite sowie aktive Benutzerkonten). Die Nutzung von Ressourcen kann überwacht, gesteuert und gemeldet werden, wodurch sowohl für den Anbieter als auch für den Nutzer des verwendeten Dienstes Transparenz geschaffen wird.
  • Bei den Dienstmodellen handelt es sich um die Folgenden:
    • Software as a Service (SaaS): Die dem Nutzer bereitgestellte Funktion besteht darin, die in einer Cloud-Infrastruktur laufenden Anwendungen des Anbieters zu verwenden. Die Anwendungen sind über eine Thin-Client-Schnittstelle wie einen Web-Browser (z.B. auf dem Web beruhende E-Mail) von verschiedenen Client-Einheiten her zugänglich. Der Nutzer verwaltet bzw. steuert die zugrunde liegende Cloud-Infrastruktur nicht, darunter das Netzwerk, Server, Betriebssysteme, Speicher bzw. sogar einzelne Anwendungsfunktionen, mit der möglichen Ausnahme von eingeschränkten benutzerspezifischen Anwendungskonfigurationseinstellungen.
  • Platform as a Service (PaaS): Die dem Nutzer bereitgestellte Funktion besteht darin, durch einen Nutzer erstellte bzw. erhaltene Anwendungen, die unter Verwendung von durch den Anbieter unterstützten Programmiersprachen und Tools erstellt wurden, in der Cloud-Infrastruktur einzusetzen. Der Nutzer verwaltet bzw. steuert die zugrunde liegende Cloud-Infrastruktur nicht, darunter Netzwerke, Server, Betriebssysteme bzw. Speicher, hat aber die Kontrolle über die eingesetzten Anwendungen und möglicherweise über Konfigurationen des Application Hosting Environment.
  • Infrastructure as a Service (laaS): Die dem Nutzer bereitgestellte Funktion besteht darin, das Verarbeiten, Speicher, Netzwerke und andere grundlegende Datenverarbeitungsressourcen bereitzustellen, wobei der Nutzer in der Lage ist, beliebige Software einzusetzen und auszuführen, zu der Betriebssysteme und Anwendungen gehören können. Der Nutzer verwaltet bzw. steuert die zugrunde liegende Cloud-Infrastruktur nicht, hat aber die Kontrolle über Betriebssysteme, Speicher, eingesetzte Anwendungen und möglicherweise eine eingeschränkte Kontrolle über ausgewählte Netzwerkkomponenten (z.B. Host-Firewalls).
  • Bei den Einsatzmodellen handelt es sich um die Folgenden:
    • Private Cloud: Die Cloud-Infrastruktur wird einzig und allein für eine Organisation betrieben. Sie kann durch die Organisation oder einen Dritten verwaltet werden und kann sich in den eigenen Räumen oder in fremden Räumen befinden.
  • Community Cloud: Die Cloud-Infrastruktur wird von mehreren Organisationen gemeinsam genutzt und unterstützt eine spezielle Benutzergemeinschaft, die gemeinsame Angelegenheiten hat (z.B. Mission, Sicherheitsanforderungen, Richtlinien sowie Überlegungen bezüglich der Einhaltung von Vorschriften). Sie kann durch die Organisationen oder einen Dritten verwaltet werden und kann in den eigenen Räumen oder fremden Räumen stehen.
  • Public Cloud: Die Cloud-Infrastruktur wird der allgemeinen Öffentlichkeit oder einer großen Industriegruppe zur Verfügung gestellt und sie gehört einer Cloud-Dienste verkaufenden Organisation.
  • Hybrid Cloud: Die Cloud-Infrastruktur ist eine Zusammensetzung aus zwei oder mehreren Clouds (privat, Benutzergemeinschaft oder öffentlich), die zwar einzelne Einheiten bleiben, aber durch eine standardisierte oder proprietäre Technologie miteinander verbunden sind, die Daten- und Anwendungsportierbarkeit ermöglicht (z.B. Cloud-Zielgruppenverteilung für den Lastenausgleich zwischen Clouds).
  • Eine Cloud-Computing-Umgebung ist dienstorientiert mit Fokus auf Statusunabhängigkeit, geringer Kopplung, Modularität und semantischer Interoperabilität. Im Herzen von Cloud-Computing liegt eine Infrastruktur, die ein Netzwerk aus zusammengeschalteten Knoten umfasst.
  • Unter Bezugnahme auf 6 ist die veranschaulichende Cloud-Computing-Umgebung 50 abgebildet. Wie gezeigt ist, umfasst die Cloud-Computing-Umgebung 50 einen oder mehrere Cloud-Computing-Knoten 10, mit denen von Cloud-Nutzern verwendete lokale Datenverarbeitungseinheiten wie der elektronische Assistent (PDA, personal digital assistant) oder das Mobiltelefon 54A, der Desktop-Computer 54B, der Laptop-Computer 54C und/oder das Automobil-Computer-System 54N Daten austauschen können. Die Knoten 10 können miteinander Daten austauschen. Sie können physisch oder virtuell in ein oder mehrere Netzwerke wie private, Benutzergemeinschafts-, öffentliche oder hybride Clouds gruppiert werden (nicht gezeigt), wie vorstehend beschrieben wurde, oder in eine Kombination daraus. Dies ermöglicht es der Cloud-Computing-Umgebung 50, Infrastruktur, Plattformen und/oder Software als Dienst anzubieten, für die ein Cloud-Nutzer keine Ressourcen auf einer lokalen Datenverarbeitungseinheit vorhalten muss. Es sei darauf hingewiesen, dass die Arten von in 6 gezeigten Datenverarbeitungseinheiten 54A bis N lediglich veranschaulichend sein sollen und dass die Datenverarbeitungsknoten 10 und die Cloud-Computing-Umgebung 50 über eine beliebige Art Netzwerk und/oder über eine beliebige Art von über ein Netzwerk aufrufbarer Verbindung (z.B. unter Verwendung eines Web-Browsers) mit einer beliebigen Art von computergestützter Einheit Daten austauschen können.
  • Unter Bezugnahme auf 7 wird ein Satz von funktionalen Abstraktionsschichten gezeigt, die durch die Cloud-Computing-Umgebung 50 (6) bereitgestellt werden. Es sollte von vornherein klar sein, dass die in 7 gezeigten Komponenten, Schichten und Funktionen lediglich veranschaulichend sein sollen und Ausführungsformen der Erfindung nicht darauf beschränkt sind. Wie abgebildet ist, werden die folgenden Schichten und entsprechenden Funktionen bereitgestellt:
  • Eine Hardware- und Software-Schicht 60 umfasst Hardware- und Software-Komponenten. Zu Beispielen für Hardware-Komponenten gehören: Mainframe-Computer 61; auf der RISC- (Reduced Instruction Set Computer) Architektur beruhende Server 62; Server 63; Blade-Server 64; Speichereinheiten 65; und Netzwerke sowie Netzwerkkomponenten 66. In einigen Ausführungsformen umfassen Software-Komponenten eine Netzwerk-Anwendungsserver-Software 67 und eine Datenbank-Software 68.
  • Eine Virtualisierungsschicht 70 stellt eine Abstraktionsschicht bereit, aus der die folgenden Beispiele für virtuelle Einheiten bereitgestellt werden können: virtuelle Server 71, virtueller Speicher 72, virtuelle Netzwerke 73, darunter virtuelle private Netzwerke, virtuelle Anwendungen und Betriebssysteme 74; und virtuelle Clients 75.
  • In einem Beispiel kann die Verwaltungsschicht 80 die nachfolgend beschriebenen Funktionen bereitstellen. Eine Ressourcen-Bereitstellung 81 stellt die dynamische Beschaffung von Datenverarbeitungsressourcen sowie anderen Ressourcen bereit, die zum Durchführen von Aufgaben innerhalb der Cloud-Computing-Umgebung verwendet werden. Ein Messen und eine Preisfindung 82 stellen die Kostenverfolgung beim Verwenden von Ressourcen innerhalb der Cloud-Computing-Umgebung sowie die Abrechnung oder Rechnungsstellung für die Inanspruchnahme dieser Ressourcen bereit. In einem Beispiel können diese Ressourcen Anwendungs-Software-Lizenzen umfassen. Die Sicherheit stellt die Identitätsüberprüfung für Cloud-Nutzer und Aufgaben sowie Schutz für Daten und andere Ressourcen bereit. Ein Benutzerportal 83 stellt Nutzern und Systemadministratoren den Zugang zu der Cloud-Computing-Umgebung bereit. Eine Verwaltung des Dienstumfangs 84 stellt die Zuordnung und Verwaltung von Cloud-Computing-Ressourcen bereit, so dass die benötigten Dienstziele erreicht werden. Ein Planen und Erfüllen von Vereinbarungen zum Dienstumfang (SLA, Service Level Agreement) 85 stellt die Anordnung vorab und die Beschaffung von Cloud-Computing-Ressourcen, für die eine zukünftige Anforderung vorausgesehen wird, gemäß einem SLA bereit.
  • Eine Arbeitslastschicht 90 stellt Beispiele für die Funktionalität bereit, für welche die Cloud-Computing-Umgebung verwendet werden kann. Zu Beispielen für Arbeitslasten und Funktionen, die von dieser Schicht bereitgestellt werden können, gehören: Abbildung und Navigation 91; Software-Entwicklung und Lebenszyklusverwaltung 92; Bereitstellung von Ausbildung in virtuellen Klassenzimmern 93; Datenanalytikverarbeitung 94; Transaktionsverarbeitung 95; und Durchführen der Verwaltung von Sicherheits-Berechtigungsnachweisen 96.
  • Die Beschreibungen der verschiedenen Ausführungsformen der vorliegenden Erfindung sind zur Veranschaulichung vorgelegt worden, erheben jedoch nicht den Anspruch auf Vollständigkeit oder Beschränkung auf die offenbarten Ausführungsformen. Dem Fachmann dürften viele Modifikationen und Varianten offensichtlich sein, ohne vom Schutzumfang der beschriebenen Ausführungsformen abzuweichen. Die hierin verwendeten Begriffe wurden gewählt, um die Grundgedanken der Ausführungsformen, die praktische Anwendung oder technische Verbesserung gegenüber handelsüblichen Technologien bestmöglich zu erläutern oder anderen Fachleuten das Verständnis der hierin offenbarten Ausführungsformen zu ermöglichen.
  • An den obigen Ausführungen können Verbesserungen und Modifikationen vorgenommen werden, ohne vom Schutzumfang der vorliegenden Erfindung abzuweichen.

Claims (20)

  1. Computergestütztes Verfahren zum Verwalten von Sicherheits-Berechtigungsnachweisen für Client-Anwendungen, wobei das Verfahren aufweist: Detektieren, dass ein Benutzer Sicherheits-Berechtigungsnachweise zur Echtheitsprüfung für eine Client-Anwendung eingibt; Verschlüsseln mindestens eines Anteils der eingegebenen Berechtigungsnachweise mit einem Hash-Verfahren, um aktuelle hashverschlüsselte Berechtigungsnachweise zu erhalten, und Speichern der aktuellen hashverschlüsselten Berechtigungsnachweise; Vergleichen der aktuellen hashverschlüsselten Berechtigungsnachweise mit zuvor gespeicherten hashverschlüsselten Berechtigungsnachweisen für die Client-Anwendung; und Speichern der detektierten Sicherheits-Berechtigungsnachweise zum automatischen Ergänzen der für die Client-Anwendung erforderlichen Sicherheits-Berechtigungsnachweise, wenn die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise übereinstimmen.
  2. Computergestütztes Verfahren nach Anspruch 1, das ferner aufweist: Feststellen auf der Grundlage eines Rhythmus beim Eingeben eines Sicherheits-Berechtigungsnachweises einer Schwellenwert-Wahrscheinlichkeit, dass der Benutzer ein Multifaktor-Echtheitsprüfungs-Verfahren verwendet, und Anwenden des Hash-Verfahrens und Vergleichen, um entweder zu bestätigen, dass das Multifaktor-Echtheitsprüfungs-Verfahren verwendet wird, oder die Berechtigungsnachweise zum automatischen Ergänzen der Berechtigungsnachweise für die Client-Anwendung zu speichern.
  3. Computergestütztes Verfahren nach einem der vorhergehenden Ansprüche, das ferner aufweist: Aufteilen der eingegebenen Sicherheits-Berechtigungsnachweise in einen ersten Teil und einen zweiten Teil auf der Grundlage einer Analyse der eingegebenen Sicherheits-Berechtigungsnachweise, um eine Pause oder eine Änderung des Rhythmus bei der Eingabe zwischen dem ersten Teil und dem zweiten Teil zu erkennen, wobei ein Verschlüsseln nach dem Hash-Verfahren und ein Vergleichen der eingegebenen Berechtigungsnachweise für den ersten und/oder den zweiten Teil separat erfolgen.
  4. Computergestütztes Verfahren nach Anspruch 3, das ferner aufweist: Ermitteln durch Analysieren der Eingabe der Berechtigungsnachweise, dass es sich bei dem ersten Teil oder dem zweiten Teil um einen Anteil des mutmaßlichen variablen Tokens handelt und dass es sich bei dem jeweils anderen Teil um einen Anteil des mutmaßlichen feststehenden Passwortes handelt.
  5. Computergestütztes Verfahren nach Anspruch 4, wobei die Sicherheits-Berechtigungsnachweise zum automatischen Ergänzen der Sicherheits-Berechtigungsnachweise für die Client-Anwendung gespeichert werden, wenn die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise des Anteils des mutmaßlichen variablen Tokens übereinstimmen.
  6. Computergestütztes Verfahren nach Anspruch 4, wobei der Anteil des mutmaßlichen feststehenden Passwortes zum automatischen Ergänzen von partiellen Berechtigungsnachweisen für die Client-Anwendung gespeichert wird, wenn die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise des Anteils des variablen Tokens nicht übereinstimmen und die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise des Anteils des feststehenden Passworts übereinstimmen.
  7. Computergestütztes Verfahren nach Anspruch 4, wobei das Verfahren für nachfolgend eingegebene Berechtigungsnachweise wiederholt wird, bevor Berechtigungsnachweise zum automatischen Ergänzen der Berechtigungsnachweise für die Client-Anwendung gespeichert werden, wenn die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise des Anteils des mutmaßlichen feststehenden Passworts nicht übereinstimmen.
  8. Computergestütztes Verfahren nach einem der vorhergehenden Ansprüche, wobei das Verfahren in einer Client-Datenverarbeitungseinheit zum Speichern von Berechtigungsnachweisen in der Client-Datenverarbeitungseinheit durchgeführt wird, um die Berechtigungsnachweise für Client-Anwendungen automatisch zu ergänzen.
  9. Computergestütztes Verfahren nach einem der vorhergehenden Ansprüche, wobei das Verfahren für eine Client-Datenverarbeitungseinheit bei einem fernen Service zum Speichern von Berechtigungsnachweisen bei der Client-Datenverarbeitungseinheit zum automatischen Ergänzen der Berechtigungsnachweise für Client-Anwendungen durchgeführt wird.
  10. Computersystem zum Verwalten von Sicherheits-Berechtigungsnachweisen für Client-Anwendungen, wobei das System aufweist: einen Prozessor und einen Arbeitsspeicher, der zum Bereitstellen von Computerprogramm-Anwendungen für den Prozessor konfiguriert ist, um die Funktion der Komponenten auszuführen: eine Berechtigungsnachweis-Detektions-Komponente zum Detektieren, dass ein Benutzer Sicherheits-Berechtigungsnachweise zur Echtheitsprüfung für eine Client-Anwendung eingibt; eine Hash-Komponente zum Verschlüsseln mindestens eines Anteils der eingegebenen Berechtigungsnachweise nach einem Hash-Verfahren, um aktuelle hashverschlüsselte Berechtigungsnachweise zu erhalten, und eine Hash-Speicher-Komponente zum Speichern der aktuellen hashverschlüsselten Berechtigungsnachweise; eine Vergleichs-Komponente zum Vergleichen der aktuellen hashverschlüsselten Berechtigungsnachweise mit zuvor gespeicherten hashverschlüsselten Berechtigungsnachweisen für die Client-Anwendung; und eine automatische Berechtigungsnachweis-Komponente für eine Berechtigungsnachweis-Speicher-Komponente zum Speichern der detektierten Sicherheits-Berechtigungsnachweise zum automatischen Ergänzen der Sicherheits-Berechtigungsnachweise für die Client-Anwendung, wenn die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise übereinstimmen.
  11. Computersystem nach Anspruch 10, das ferner aufweist: eine Komponente zum Erkennen der Multifaktor-Echtheitsprüfung zum Ermitteln beim Eingeben eines Sicherheits-Berechtigungsnachweises auf der Grundlage eines Rhythmus, dass eine Schwellenwert-Wahrscheinlichkeit besteht, dass der Benutzer ein Verfahren zur Multifaktor-Echtheitsprüfung verwendet.
  12. Computersystem nach einem der Ansprüche 10 oder 11, das ferner aufweist: eine Berechtigungsnachweis-Aufteilungs-Komponente zum Aufteilen der eingegebenen Sicherheits-Berechtigungsnachweise in einen ersten Teil und einen zweiten Teil auf der Grundlage einer Analyse der eingegebenen Sicherheits-Berechtigungsnachweise, um beim Eingeben eine Pause oder eine Änderung des Rhythmus zwischen dem ersten und dem zweiten Teil zu erkennen; wobei die Hash-Komponente und die Vergleichs-Komponente mit dem ersten und/oder dem zweiten Teil ausgeführt werden.
  13. Computersystem nach Anspruch 12, das ferner aufweist: eine Teile-Erkennungs-Komponente zum Feststellen, dass es sich bei dem ersten Teil oder dem zweiten Teil um einen Anteil des mutmaßlichen variablen Tokens handelt und dass es sich bei dem jeweils anderen Teil um einen Anteil des mutmaßlichen feststehenden Passwortes handelt, durch Analysieren der Eingabe der Berechtigungsnachweise.
  14. Computersystem nach Anspruch 12, wobei die Berechtigungsnachweis-Speicher-Komponente die Berechtigungsnachweise zum automatischen Ergänzen der Berechtigungsnachweise für die Client-Anwendung speichert, wenn die Vergleichs-Komponente feststellt, dass die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise des Anteils des mutmaßlichen variablen Tokens übereinstimmen.
  15. Computersystem nach Anspruch 12, wobei die Berechtigungsnachweis-Speicher-Komponente den Anteil des mutmaßlichen feststehenden Passworts zum automatischen Ergänzen partieller Berechtigungsnachweise für die Client-Anwendung speichert, wenn die Vergleichs-Komponente feststellt, dass die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise des Anteils des mutmaßlichen variablen Tokens nicht übereinstimmen und die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise des Anteils des mutmaßlichen feststehenden Passworts übereinstimmen.
  16. Computersystem nach Anspruch 12, wobei die Berechtigungsnachweis-Speicher-Komponente auf nachfolgend eingegebene Berechtigungsnachweise wartet, bevor sie Berechtigungsnachweise zum automatischen Ergänzen der Berechtigungsnachweise für die Client-Anwendung speichert, wenn die Vergleichs-Komponente feststellt, dass die aktuellen hashverschlüsselten Berechtigungsnachweise und die zuvor gespeicherten hashverschlüsselten Berechtigungsnachweise des Anteils des mutmaßlichen feststehenden Passworts nicht übereinstimmen.
  17. Computersystem nach einem der Ansprüche 10 bis 16, wobei das System in einer Client-Datenverarbeitungseinheit betrieben wird, um Berechtigungsnachweise zum automatischen Ergänzen von Berechtigungsnachweisen für Client-Anwendungen in der Client-Datenverarbeitungseinheit zu speichern.
  18. Computersystem nach einem der Ansprüche 10 bis 17, wobei das System für eine Client-Datenverarbeitungseinheit bei einem fernen Service betrieben wird, um Berechtigungsnachweise zum automatischen Ergänzen von Berechtigungsnachweisen für Client-Anwendungen in der Client-Datenverarbeitungseinheit zu speichern.
  19. Computerprogrammprodukt zum Verwalten von Sicherheits-Berechtigungsnachweisen für Client-Anwendungen, wobei das Computerprogrammprodukt aufweist: ein durch einen Computer lesbares Speichermedium, das durch eine Verarbeitungsschaltung lesbar ist und in dem Anwendungen zum Ausführen durch die Verarbeitungsschaltung gespeichert sind, um ein Verfahren nach einem der Ansprüche 1 bis 9 durchzuführen.
  20. Computerprogramm, das in einem durch einen Computer lesbaren Medium gespeichert und in den Arbeitsspeicher eines digitalen Computers ladbar ist, das Abschnitte von Softwarecode zum Ausführen des Verfahrens nach einem der Ansprüche 1 bis 9 aufweist, wenn das Programm auf einem Computer ausgeführt wird.
DE112020003555.7T 2019-09-09 2020-09-01 Verwaltung von sicherheits-berechtigungsnachweisen für client-anwendungen Active DE112020003555B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/564,012 2019-09-09
US16/564,012 US11269987B2 (en) 2019-09-09 2019-09-09 Security credentials management for client applications
PCT/IB2020/058130 WO2021048686A1 (en) 2019-09-09 2020-09-01 Security credentials management for client applications

Publications (2)

Publication Number Publication Date
DE112020003555T5 true DE112020003555T5 (de) 2022-06-02
DE112020003555B4 DE112020003555B4 (de) 2023-12-14

Family

ID=74849991

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020003555.7T Active DE112020003555B4 (de) 2019-09-09 2020-09-01 Verwaltung von sicherheits-berechtigungsnachweisen für client-anwendungen

Country Status (6)

Country Link
US (1) US11269987B2 (de)
JP (1) JP2022547658A (de)
CN (1) CN114245977A (de)
DE (1) DE112020003555B4 (de)
GB (1) GB2601098B (de)
WO (1) WO2021048686A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11941262B1 (en) * 2023-10-31 2024-03-26 Massood Kamalpour Systems and methods for digital data management including creation of storage location with storage access ID

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7409543B1 (en) * 2000-03-30 2008-08-05 Digitalpersona, Inc. Method and apparatus for using a third party authentication server
CN101505794B (zh) 2006-07-10 2013-09-04 艾斯巴技术,爱尔康生物医药研究装置有限责任公司 穿过上皮和/或内皮层的scFV抗体
CN101772015A (zh) 2008-12-29 2010-07-07 卢中江 移动终端语音密码开机的方法
AU2011254221A1 (en) 2010-05-20 2012-12-13 Vaultive Ltd. System and method for protecting access to authentication systems
US8959347B2 (en) 2011-08-29 2015-02-17 Salesforce.Com, Inc. Methods and systems of data security in browser storage
BR112014004374B1 (pt) * 2011-08-30 2021-09-21 Simplytapp, Inc Método para participação com base em aplicação segura em um processo de autorização de transação de cartão de pagamento por um dispositivo móvel, sistema para participação com base em aplicação segura por um dispositivo móvel em interrogações de ponto de venda
DE112012005033B4 (de) * 2011-12-01 2020-12-17 International Business Machines Corporation Systemübergreifende sichere Anmeldung
CN103326991A (zh) 2012-03-20 2013-09-25 北京聚宝网络科技有限公司 一种用户密码加密存储及验证的方法
US9122865B2 (en) 2012-09-11 2015-09-01 Authenticade Llc System and method to establish and use credentials for a common lightweight identity through digital certificates
CN105431857A (zh) * 2013-05-29 2016-03-23 慧与发展有限责任合伙企业 应用程序的被动安全
US9147063B1 (en) 2013-09-27 2015-09-29 Emc Corporation Passcode generation utilizing selected permutation type applied to tokencode and personal identifier
US20150227733A1 (en) * 2014-02-10 2015-08-13 Hyundai Motor Company Automatic login system and automatic login method
US9426139B1 (en) 2015-03-30 2016-08-23 Amazon Technologies, Inc. Triggering a request for an authentication
US10212180B2 (en) 2015-09-05 2019-02-19 Mastercard Technologies Canada ULC Systems and methods for detecting and preventing spoofing
US10708052B2 (en) 2017-02-28 2020-07-07 Blackberry Limited Inadvertent password entry detection
CN110166220B (zh) 2019-05-06 2022-05-06 山东公链信息科技有限公司 一种根据分区键的散列值进行切分的分片方法
CN110166250A (zh) 2019-05-16 2019-08-23 四川长虹电器股份有限公司 一种防暴力破解的验证码交互方法

Also Published As

Publication number Publication date
GB2601098A (en) 2022-05-18
GB2601098B (en) 2022-09-07
US20210073370A1 (en) 2021-03-11
CN114245977A (zh) 2022-03-25
WO2021048686A1 (en) 2021-03-18
US11269987B2 (en) 2022-03-08
DE112020003555B4 (de) 2023-12-14
GB2601098A8 (en) 2022-07-06
GB202203033D0 (en) 2022-04-20
JP2022547658A (ja) 2022-11-15

Similar Documents

Publication Publication Date Title
DE102016222034A1 (de) Dynamische Kennworterzeugung
DE112018002984T5 (de) Konformitätsbewusste Laufzeiterzeugung auf Grundlage von Anwendungsmustern und Risikobeurteilung
DE112019003042B4 (de) Erkennung von verdächtigen aktivitäten in computernetzwerken
DE112020002110T5 (de) Ressourcenarme entitätsauflösung mit transfer learning
DE102016105062A1 (de) Nähengestützte Berechtigungsprüfung für einheitenübergreifend verteilte Daten
DE112019001433T5 (de) Datenanonymisierung
DE102016102424A1 (de) Auf Inhalt beruhende Hardware-Sicherheitsmodulzuweisung zu virtuellen Maschinen
DE112020005306T5 (de) Implementierung von arbeitslasten in einer multi-cloud-umgebung
DE112020005373T5 (de) Mechanismus zur authentifizierung durch nutzung von positionsbestätigung
DE112021006372T5 (de) Sichere bereitstellung einer datenverarbeitungsressource unter verwendung einer homomorphen verschlüsselung
DE102021130396A1 (de) Datenzugriffsüberwachung und -steuerung
DE102021129514A1 (de) Binden von post-quanten-zertifikaten
DE112021005636T5 (de) Migrieren von komplexen legacy-anwendungen
DE112021003402T5 (de) Blockchain-verwaltung von bereitstellungsfehlern
DE112022002736T5 (de) Übertragen von aufgabendaten zwischen edge-einheiten beim edge computing
DE112020003825T5 (de) Entsprechung zwischen externen Operationen und Containern sowie Mutationsereignissen
DE102021130942A1 (de) Mehrstufiger schutz für datenzentrierte objekte
DE112019002052T5 (de) Datenschutzsensibilisierung bei der bereitstellung von arbeitslasten
DE102014116744A1 (de) Management von Informationstechnologieressourcen
DE112021005862T5 (de) Selbstprüfende blockchain
DE112021005927T5 (de) Patchen von arbeitsabläufen
DE112020003555B4 (de) Verwaltung von sicherheits-berechtigungsnachweisen für client-anwendungen
DE102021125847A1 (de) Auf blockchain beruhende reservierung und delegierung von diensten
DE112021003864T5 (de) Durchsetzung von signaturen für die konfiguration von softwarebereitstellung
DE112021001974T5 (de) Proaktives durchführen von aufgaben auf der grundlage eines schätzens vonhardwarerekonfigurationszeiten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence