DE19803339A1

DE19803339A1 - Verfahren zur Überprüfung der Zugangsberechtigung für eine geschützte Einrichtung

Info

Publication number: DE19803339A1
Application number: DE1998103339
Authority: DE
Inventors: Joerg Breuer
Original assignee: Deutsche Telekom AG
Current assignee: Deutsche Telekom AG
Priority date: 1998-01-29
Filing date: 1998-01-29
Publication date: 1999-08-05
Anticipated expiration: 2018-01-30
Also published as: DE19803339B4

Description

Die vorliegende Erfindung betrifft ein Verfahren zur Überprüfung der Zugangsberechtigung eines Benutzers für eine besonders geschützte Einrichtung oder ein besonders geschütztes System durch Eingeben eines persönlichen Kenncodes in eine Kontroll- oder Sicherungseinrichtung gemäß dem Oberbegriff des Anspruches 1 bzw. 13. Die Erfindung betrifft zudem eine Eingabevorrichtung zum Eingeben eines solchen Kenncodes gemäß dem Oberbegriff des Anspruches 7 bzw. 14.

Um einen Zugang unberechtigter Personen zu besonders geschützten Einrichtungen oder Systemen, wie z. B. Geldautomaten oder Computersysteme, zu verhindern, müssen die berechtigten Benutzer ihre Zugangsberechtigung häufig durch Eingabe eines speziellen Kenncodes in eine Kontroll- oder Sicherungseinrichtung oder ein Kontrollsystem nachweisen. Dieser Kenncode, der üblicherweise auch als persönliche Kennzahl, Geheimzahl, Kennwort, Password oder vereinfacht auch nur als PIN (für Personal Identification Number) bezeichnet wird, kann hierbei je nach Anwendungszweck aus einer alphabetischen, numerischen oder alphanumerischen Zeichenkombination unterschiedlicher Länge bestehen, die jedem zugangsberechtigten Benutzer individuell zugeordnet wird.

Häufig wird ein solcher Kenncode auch als zusätzliche Sicherheitsmaßnahme in Verbindung mit einer Chipkarte oder Magnetstreifenkarte verwendet, um den Benutzer einer solchen Karte als rechtmäßigen Benutzer, d. h. üblicherweise als Besitzer der Karte, identifizieren zu können. Die zusätzliche Verwendung eines den Kartenbesitzer legitimierenden und-nur ihm bekannten persönlichen Kenncodes bietet bereits eine recht hohe Sicherheit gegen einen eventuellen Mißbrauch einer solchen Karte, wenngleich sich auch hiermit, wie weiter unten ausführlicher dargelegt wird, keine absolute Sicherheit erreichen läßt. Ein Mißbrauch der Karte durch Unbefugte setzt jedoch voraus, daß diese nicht nur die Karte in ihren Besitz bringen, sondern gleichzeitig auch noch den zugehörigen Kenncode ausspähen, so daß der Besitzer einer solchen Karte selbst bei einem Verlust der Karte noch ausreichend geschützt ist.

Eine solche Kombination aus Magnetstreifenkarte und persönlichem Kenncode wird beispielsweise bei Eurocheque- Karten verwendet, wenn ein Karteninhaber an einem Geldautomaten Bargeld abheben oder aber mittels seiner Eurocheque-Karte an einer electronic-cash-Kasse im Handel eine Ware bezahlen möchte. Aufgrund der damit verbundenen Vereinfachung des Zahlungsverkehrs und der weitestgehenden Unabhängigkeit von Banköffnungszeiten sind Eurocheque-Karten und die zugehörigen persönlichen Kenncodes oder PINs in Form einer mehrstelligen Zahlenkombination heute bereits allgemein verbreitet.

Eine Kombination aus Chipkarte und persönlichem Kenncode wird zudem beispielsweise auch bei der Zugangssicherung zu PC's benutzt oder bei der Sicherung von Gebäuden und Räumen Verwendet.

Bei der Benutzung einer solchen Karte ist die Karte üblicherweise zuerst in einen mit einer Kontroll- oder Sicherungseinrichtung verbundenen Kartenleser einzuführen, um die Gültigkeit der Karte überprüfen zu lassen. Als ungültig erkannte Karten werden zur Sicherheit einbehalten und der Vorgang wird abgebrochen, während im Falle einer gültigen Karte die Eingabe des Kenncodes angefordert wird.

Dieser kann über eine mit der Kontroll- oder Sicherungseinrichtung verbundene Eingabevorrichtung eingegeben werden, die üblicherweise neben gewissen Funktionstasten, die für die folgenden Ausführungen bedeutungslos sind, auch eine mit einer herkömmlichen numerischen Tastaturbelegung versehene Eingabetastatur umfaßt. Die Anzeige der Tastaturbelegung erfolgt hierbei üblicherweise auf den Drucktasten selbst, die einfach mit den entsprechenden Zahlenwerten versehen sind. Nach der korrekten Eingabe des Kenncodes wird der Benutzer von der Kontrolleinrichtung als rechtmäßiger Benutzer identifiziert, so daß ihm beispielsweise der gewünschte Zugang zu einem Geldautomaten gewährt wird oder er mittels seiner Eurocheque-Karte bargeldlos eine Rechnung begleichen kann. Je nach Aufbau der persönlichen Kennzahl werden bei manchen Anwendungen auch alphabetische oder alphanumerische Tastaturbelegungen verwendet.

In den Fällen, in denen lediglich ein Kenncode und keine Chipkarte oder Magnetstreifenkarte erforderlich ist, entfällt der erste Schritt und es ist lediglich mittels der Eingabevorrichtung der Kenncode in die Kontrolleinrichtung oder das Kontrollsystem einzugeben.

Diese Eingabe des Kenncodes ist jedoch nicht frei von Mißbrauchsmöglichkeiten. Eine große Gefahr besteht z. B. darin, daß ein unbefugter Dritter durch Beobachtung des Eingabevorgangs, sei es durch einen unmittelbaren Blick auf die Eingabetastatur oder aber durch eine Beobachtung der Hand- oder Armbewegung in Verbindung mit der bekannten Tastaturbelegung, Kenntnis von dem Kenncode erlangen kann. Diese Mißbrauchsmöglichkeit versucht man im Stand der Technik durch bauliche Maßnahmen auszuschließen, durch die die Eingabetastatur so weit als möglich vor Einsicht geschützt wird.

Aber selbst derart geschützte Eingabetastaturen sind nicht frei von Mißbrauchsmöglichkeiten. So kann beispielsweise die Eingabetastatur von einem Dritten mit einem Spray, wie z. B. ein Fettspray oder desgleichen, besprüht werden, so daß nach Beendigung eines Eingabevorgangs anhand der Fingerabdrücke einfach die Ziffern des Kenncodes abgelesen werden können, aus denen sich anhand der beobachteten Schulter- oder Armbewegung bei der Eingabe recht schnell und unproblematisch der Kenncode ermitteln läßt.

Zur Vermeidung einer solchen Mißbrauchsmöglichkeit wird in der DE-OS-36 36 365 eine mit einer numerischen Tastaturbelegung versehene Eingabetastatur für Geldautomaten, automatische Kassen oder dergleichen beschrieben, deren Tasten jeweils ein eigenes, eine Ziffer zwischen 0 und 9 anzeigendes Anzeigedisplay zugeordnet ist. Vor oder nach dem Eingeben eines Kenncodes werden den Tasten mittels einer Elektronik jeweils Zufallswerte zwischen 0 und 9 zugewiesen und auf dem zugehörigen Anzeigedisplay dargestellt, so daß für jeden Eingabevorgang eine eigene zufällig ermittelte Tastaturbelegung verwendet wird. Ein unbefugter Dritter, der keinen unmittelbaren Einblick auf die Eingabetastatur besitzt, was durch bauliche Maßnahmen üblicherweise gewährleistet ist, kann somit durch keine der obengenannten Manipulationsmöglichkeiten Kenntnis von dem jeweils verwendeten Kenncode erlangen.

Eine entsprechende Eingabetastatur ist auch aus dem IBM Technical Disclosure Bulletin, Band 20, Nr. 4, September 1977 bekannt, wobei die den einzelnen Tasten vor dem Eingeben eines Kenncodes jeweils zugeordneten Zufallszahlen auf den Tasten selbst angezeigt werden. Nach Beendigung eines Eingabevorgangs werden den einzelnen Tasten wieder die einer herkömmlichen numerischen Tastaturbelegung entsprechenden Werte zugeordnet.

Eine Eingabetastatur mit zufälliger Tastaturbelegung erweist sich in der Praxis jedoch insbesondere für den unerfahrenen Benutzer als recht gewöhnungsbedürftig. Zudem ist das Eingeben eines Kenncodes bei einer zufälligen Tastaturbelegung infolge des damit verbundenen Suchvorgangs für die einzelnen Zeichenbestandteile des Kenncodes naturgemäß nicht nur mühsamer sondern auch zeitaufwendiger und fehleranfälliger als bei einer herkömmlichen statischen Tastaturbelegung. Außerdem sind auch solche Eingabetastaturen nicht frei von Mißbrauchsmöglichkeiten. So kann ein unbefugter Dritter beispielsweise durch Anzapfen der entsprechenden Leitungen Kenntnis von der darzustellenden aktuellen Tastaturbelegung und den Eingabeinformationen eines Benutzers erlangen, so daß er trotz aller Sicherheitsvorkehrungen auch im Besitz des jeweiligen Kenncodes ist.

Die Aufgabe der vorliegenden Erfindung besteht daher in der Schaffung eines anwendungsfreundlichen und sicheren Eingabeverfahrens für einen persönlichen Kenncode in eine Kontroll- oder Sicherungseinrichtung und einer zur Durchführung dieses Verfahrens geeigneten Eingabevorrichtung, mit der sich die oben beschriebenen Mißbrauchsmöglichkeiten bei der Eingabe mittels einer mit einer herkömmlichen statischen Tastaturbelegung versehenen Eingabetastatur vermeiden lassen. Durch eine Weiterbildung des gesuchten Verfahrens bzw. der gesuchten Vorrichtung soll insbesondere auch die letztgenannte Mißbrauchsmöglichkeit einer Kenntnisnahme durch Anzapfen einer entsprechenden Leitung ausgeschlossen sein, wie sie sich bei herkömmlichen Eingabetastaturen mit einer zeitlich veränderlichen zufälligen Tastaturbelegung bietet.

Eine weitere Aufgabe der vorliegenden Erfindung besteht in der Schaffung eines Eingabeverfahrens der genannten Art und einer entsprechenden Eingabevorrichtung, mit der sich das Sicherheitsrisiko eines Anzapfens auch bei solch herkömmlichen Eingabetastaturen mit einer dynamischen Tastaturbelegung vermeiden, läßt.

Die erstgenannte Aufgabe wird jeweils durch die Merkmale der Ansprüche 1 und 7 gelöst. Erfindungsgemäß wird durch eine Anzeigeeinrichtung eine zufällige Zeichenkombination angezeigt, die von dem Benutzer mittels einer der Anzeigeeinrichtung zugeordneten Eingabetastatur zu dem jeweiligen persönlichen Kenncode verändert wird. Um das Sicherheitsrisiko beim Eingeben so gering wie möglich zu halten, wird der Kenncode selbst hierbei entweder nicht direkt angezeigt oder aber nach erfolgter Eingabe unkenntlich gemacht, was beispielsweise durch einfaches Abblenden oder Ausschalten der Anzeigeeinrichtung oder aber durch Anzeigen einer neuen zufälligen Zeichenkombination bzw. einer beliebigen vorbestimmten Zeichenkombination, wie z. B. eine Folge von Sternchen, erfolgen kann.

Durch das erfindungsgemäße Eingabeverfahren werden nicht nur die obengenannten Sicherheitsrisiken bei Verwendung herkömmlicher Eingabetastaturen mit einer statischen Tastaturbelegung zuverlässig ausgeschlossen. Es bietet auch einen zusätzlichen Sicherheitsgewinn im Vergleich zu einer Eingabe mittels einer mit einer dynamischen Tastaturbelegung versehenen Eingabetastatur, da zum Anzeigen einer vollständigen Tastaturbelegung naturgemäß ein viel größerer Platzbedarf erforderlich ist als zum Anzeigen einer kurzen Zeichenkombination, die in ihrer Länge der Länge des einzugebenden Kenncodes entspricht und somit üblicherweise nur einen Bruchteil des Zeichenvorrates einer solch herkömmlichen Eingabetastatur umfaßt. Der geringere Platzbedarf ermöglicht aber durch einfache bauliche Maßnahmen einen besseren Schutz gegen Einblicke unbefugter Dritter, was gleichbedeutend ist mit einem geringeren Sicherheitsrisiko beim Eingeben.

Da der Kenncode selbst erfindungsgemäß entweder nicht direkt angezeigt oder aber nach erfolgter Eingabe unkenntlich gemacht wird, ist gewährleistet, daß unbefugte Dritte auch zwischen zwei Eingabevorgängen nicht durch eine Blick auf die Anzeigeeinrichtung in Besitz des Kenncodes gelangen können.

Um auch während des Eingabevorganges eine Einsichtnahme durch unbefugte Dritte weitestgehend auszuschließen, wird vorzugsweise eine versenkt angeordnete Anzeigeeinrichtung verwendet. Die einzelnen Zeichen der darzustellenden Zeichenkombination werden hierbei vorzugsweise durch jeweils ein Anzeigeelement angezeigt, wobei die einzelnen Anzeigeelemente in einem Anzeigefeld zusammengefaßt sind, so daß der Benutzer mit einem kurzen Blick die Zeichenkombination erfassen und seine Eingabe entsprechend vornehmen kann. Alternativ hierzu kann die Darstellung der Zeichenkombination jedoch auch mittels eines einzigen Anzeigeelementes erfolgen, auf dem die einzelnen Zeichen nacheinander dargestellt werden. Bei dieser Ausführungsform ist der erforderliche Platzbedarf zum Anzeigen einer zufälligen Zeichenkombination minimal, so daß sich eine größtmögliche Sicherheit gegenüber einer eventuellen Einsichtnahme durch unbefugte Dritte erreichen läßt.

Erfindungsgemäß wird der Kenncode vorzugsweise über zumindest 2 Eingabetasten zum Inkrementieren bzw. Dekrementieren der einzelnen Zeichen der dargestellten zufälligen Zeichenkombination eingegeben und über eine zugeordnete Bestätigungstaste bestätigt, wobei das Bestätigen entweder erst nach dem vollständigen Eingeben des Kenncodes oder aber auch jeweils bereits nach dem Eingeben der einzelnen Zeichenbestandteile erfolgen kann. Die letztgenannte Möglichkeit findet insbesondere dann Anwendung, wenn die einzelnen Zeichenbestandteile auf die oben beschriebene Art und Weise nacheinander mittels eines einzigen Anzeigeelementes angezeigt werden, während die erstgenannte Möglichkeit insbesondere bei der ebenfalls bereits erwähnten Verwendung eines jeweils eigenen Anzeigeelementes für die einzelnen Zeichenbestandteile eingesetzt wird. In diesem Fall können den einzelnen Anzeigeelementen jeweils 2 Eingabetasten zum Inkrementieren bzw. Dekrementieren zugeordnet sein. Alternativ hierzu können jedoch auch nur 2 Eingabetasten zum aufeinanderfolgenden Inkrementieren bzw. Dekrementieren der einzelnen Zeichenbestandteile verwendet werden, wobei die Eingabe jeweils zwischenzeitlich durch die Bestätigungstaste bestätigt wird.

Die Eingabetasten müssen hierbei nicht benachbart zu der Anzeigeeinrichtung bzw. den einzelnen Anzeigeelementen zugeordnet sein. Als Eingabetasten können beispielsweise auch die Cursor-Tasten einer PC-Tastatur verwendet werden, während die zufällige Zeichenkombination auf einem zugehörigen Bildschirm dargestellt wird. Zum Eingeben kann jedoch auch eine Folientastatur verwendet werden, die z. B. auf einem der Kommunikation mit dem Benutzer dienenden Bildschirm angebracht ist.

Die zufällige Zeichenkombination wird am einfachsten mittels eines Zufallsgenerators ermittelt.

Eine optimale Sicherheit läßt sich dadurch erreichen, daß die Anzeigeeinrichtung erst durch Eingeben einer Chipkarte oder Magnetstreifenkarte in eine die Gültigkeit der Karte überprüfende Kartenleseeinrichtung aktiviert wird. Da weder die Kenntnis, des Kenncodes noch der Besitz der Karte für sich betrachtet einen Zugang eröffnen, ist selbst bei einem etwaigen Verlust der Karte oder bei einem Ausspähen des Kenncodes noch eine ausreichende Sicherheit gegeben, so daß ein doppelter Schutz gegen einen eventuellen Mißbrauch vorliegt.

Um auch das Restrisiko eines Anzapfens noch ausschließen zu können, wird erfindungsgemäß vorgeschlagen, die dazustellende zufällige Zeichenkombination verschlüsselt zur Anzeigeeinrichtung zu übertragen und dort zum Anzeigen wieder zu entschlüsseln. Zudem wird erfindungsgemäß vorgeschlagen, daß auch die vom Benutzer veränderte, den persönlichen Kenncode darstellende Zeichenkombination verschlüsselt zur Kontroll- oder Sicherungseinrichtung übertragen wird, so daß ein unbefugter Dritter selbst durch Anzapfen der entsprechenden Verbindungsleitungen nicht in Besitz des Kenncodes gelangen kann. Eine solch kryptographisch abgesicherte Übertragung ist beispielsweise durch Verwendung eines symmetrischen oder asymmetrischen Verfahrens realisierbar. Die kryptographische Übertragung kann durch Einbringung einer Zufallskomponenten in die zu übertragende Information vor Wiedereinspielung geschützt werden.

Die entsprechenden technischen Merkmale einer zur Durchführung dieses erfindungsgemäßen Verfahrens geeigneten Eingabevorrichtung sind in den Ansprüchen 7 bis 12 angegeben.

Um das Sicherheitsrisiko eines Anzapfens auch bei dem Eingeben eines Kenncodes mittels einer mit einer zufälligen Tastaturbelegung versehenen herkömmlichen Eingabetastatur auszuschließen, wird unter Verallgemeinerung der oben beschriebenen erfindungsgemäßen Lehre zur Lösung der letztgenannten Aufgabe vorgeschlagen, daß bei diesem an sich bekannten Eingabeverfahren die Tastaturbelegung verschlüsselt zur Anzeigeeinrichtung übertragen und dort zum Anzeigen wieder entschlüsselt wird. Zudem wird erfindungsgemäß vorgeschlagen, daß der vom Benutzer eingegebene persönliche Kenncode verschlüsselt zur Kontroll- oder Sicherungseinrichtung übertragen wird.

Eine zur Durchführung dieses Verfahrens geeignete Eingabevorrichtung ist Anspruch 14 zu entnehmen.

Weitere Merkmale und Vorteile der vorliegenden Erfindung ergeben sich nicht nur aus den zugehörigen Ansprüchen - für sich und/oder in Kombination - sondern auch aus der nachfolgenden Beschreibung bevorzugter Ausführungsbeispiele in Verbindung mit den zugehörigen Zeichnungen. In den Zeichnungen zeigen:

Fig. 1 eine schematische Darstellung einer Eingabetastatur nach dem Stand der Technik mit einer herkömmlichen statischen Tastaturbelegung;

Fig. 2 eine schematische Darstellung einer Eingabevorrichtung nach dem Stand der Technik mit einer, Eingabetastatur und zugehörigen Anzeigeelementen zur Dastellung einer zeitlich veränderlichen Tastaturbelegung;

Fig. 3 eine schematische Darstellung einer erfindungsgemäßen Eingabevorrichtung mit Anzeigeelementen zur Dastellung einer zufälligen Zeichenkombination und jeweils zugeordneten Eingabetasten zum Inkrementieren bzw. Dekrementieren der einzelnen Zeichen der angezeigten Zeichenkombination;

Fig. 4 eine schematische Darstellung einer anderen Ausführungsform der erfindungsgemäßen Eingabevorrichtung mit lediglich 2 Eingabetasten zum Inkrementieren bzw. Dekrementieren der einzelnen Zeichen der angezeigten Zeichenkombination und einer zugehörigen Bestätigungstaste; und

Fig. 5 eine schematische Darstellung einer weiteren Ausführungsform der erfindungsgemäßen Eingabevorrichtung mit lediglich einem Anzeigeelement zum aufeinanderfolgenden Anzeigen der einzelnen Zeichen einer darzustellenden zufälligen Zeichenkombination.

Fig. 1 zeigt eine herkömmliche Tastatur 10 zur Eingabe eines aus einer Ziffernfolge bestehenden Kenncodes in eine die Gültigkeit des eingegebenen Kenncodes überprüfende (nicht dargestellte) Kontroll- oder Sicherungseinrichtung, wie sie üblicherweise z. B. bei Geldautomaten verwendet wird. Die Tastatur 10 besteht aus neun quadratisch angeordneten Drucktasten 12, die ausgehend von der linken oberen Drucktaste 12-1 zeilenweise mit den Zahlen 1 bis 9 durchnumeriert sind. Unterhalb dieser Anordnung ist zentral in der Mitte eine weitere Drucktaste 12-0 angebracht, die mit der noch fehlenden Ziffer 0 versehen ist, so daß Benutzer ihre aus einer mehrstelligen Ziffernfolge bestehenden Kenncodes oder PINs eingeben können. Die Tastaturbelegung ist hierbei fest vorgegeben und wird nach einmal erfolgter Installation der Tastatur 10 nicht mehr verändert.

Um Mißbrauchsmöglichkeiten weitestgehend auszuschließen, ist die dargestellte Tastatur 10 üblicherweise zusammen mit einer separat angeordneten Eingabetastatur zur Eingabe des gewünschten Geldbetrages, mit Funktionstasten zur Steuerung des ganzen Vorgangs und mit einem der Kommunikation mit dem Benutzer dienenden Bildschirm durch bauliche Maßnahmen vor einem direkten Einblick durch unbefugte Dritte geschützt. Da diese Einrichtungen für das Verständnis der vorliegenden Erfindung jedoch unerheblich sind, wurde zur besseren Übersichtlichkeit auf ihre Darstellung verzichtet. Zudem wird der Zugang zu der Tastatur üblicherweise auch erst nach Einführen einer Chipkarte oder einer Magnetstreifenkarte in eine zugehörige Kartenleseeinrichtung und einer Überprüfung der Karte auf ihre Gültigkeit durch eine Kontrolleinrichtung freigegeben, es sei denn, daß der Geldautomat erst unmittelbar zuvor benutzt wurde. Die Kontrolleinrichtung kann hierbei auch in die Kartenleseeinrichtung integriert sein. Wie oben bereits dargestellt wurde, lassen sich dieses Sicherheitsmaßnahmen jedoch beispielsweise durch Manipulation der Tastatur mittels eines Sprays relativ einfach umgehen, so daß bei der dargestellten Tastatur 10 nach dem Stand der Technik die Gefahr relativ hoch ist, daß unbefugte Dritte Kenntnis von der persönlichen Geheimzahl oder PIN erlangen.

Mißbrauchsmöglichkeiten dieser Art sind bei Verwendung der in Fig. 2 dargestellten Eingabevorrichtung 18 nach dem Stand der Technik ausgeschlossen. Die dargestellte Eingabevorrichtung 18 umfaßt eine Eingabetastatur 20, die die gleiche Anordnung von Drucktasten 22 aufweist, wie die in Fig. 1 dargestellte Tastatur 10. Der Unterschied besteht darin, daß die Tataturbelegung nicht fest vorgegeben ist, so daß einer Drucktaste 22 stets die gleiche Ziffer zugeordnet wäre, sondern daß den Drucktasten 22 nach jedem Eingabevorgang, ob erfolgreich verlaufen oder nicht, jeweils eine neue Ziffer zugeordnet wird. So ist die Ziffer "1" z. B. nicht, wie dies herkömmlicherweise der Fall ist, der linken oberen Taste zugeordnet, sondern einmal, wie dargestellt, der mittleren oberen Taste, beim nächsten Mal z. B. der rechten unteren Taste usw. Die Anzeige der Tastaturbelegung erfolgt hierbei nicht, wie bei der in Fig. 1 dargestellten Tastatur 10, auf den Drucktasten 22 selbst, sondern mittels Anzeigeelementen 24-0, 24-1, . . ., 24-9, die jeweils oberhalb der einzelnen Drucktasten 22-0, 22-1, . . ., 22-9 angeordnet sind. Diese Anzeigeelemente können hierbei jedoch auch in einem separaten Anzeigefeld zusammengefaßt sein.

Im Unterschied zu dieser bekannten Eingabevorrichtung 18 umfaßt die in Fig. 3 dargestellte erfindungsgemäße Eingabevorrichtung 28 weder eine mit einer gewissen Tastaturbelegung versehene Eingabetastatur 20 noch eine zur Darstellung dieser Tastaturbelegung dienende Anzeigeeinrichtung 24. Sie umfaßt statt dessen 4 in einem Anzeigefeld zusammengefaßte Anzeigeelemente 34-1, 34-2, . . ., 34-4 zur Darstellung einer vierstelligen Zufallszahl, die bei dem vorliegenden Ausführungsbeispiel 4813 beträgt. Die Anzahl der Anzeigeelemente entspricht hierbei jeweils der Stellenzahl des einzugebenden numerischen Kenncodes und damit auch der Stellenzahl der anzuzeigenden Zufallszahl, so daß je nach Anwendungszweck auch eine andere Anzahl von Anzeigeelementen vorhanden sein kann. Zum Eingeben eines aus einer alphabetischen oder alphanumerischen Zeichenkombination bestehenden Kenncodes kann auf den Anzeigeelementen auch eine zufällige Buchstabenkombination bzw. eine zufällige Zahlen-Buchstaben-Kombination angezeigt werden. Die einzelnen Zeichen der darzustellenden Zeichenkombination werden den Anzeigeelementen 34-1, . . ., 34-4 hierbei mittels eines (nicht dargestellten) Zufallsgenerators zugeordnet, wobei diese Zuordnung vor jedem Eingabevorgang erneut stattfindet.

Vor einem Eingabevorgang wird die Anzeigeeinrichtung durch eingeben einer Chipkarte oder Magnetstreifenkarte in eine zugeordnete Kartenleseeinrichtung aktiviert, während sie unmittelbar nach Beendigung eines Eingabevorgangs aus Sicherheitsgründen abgeschaltet wird. Denkbar ist jedoch auch, daß dieses Abschalten unterbleibt und statt dessen eine neue zufällige Zeichenkombination oder eine bestimmte Zeichenfolge, wie z. B. eine Folge von Sternchen, angezeigt wird, so daß unbefugte Dritte auch zwischen 2 Eingabevorgängen keine Kenntnis von dem eingegebenen Kenncode erlangen können.

Um eine Einsichtnahme durch unbefugte Dritte weitestgehend auszuschließen, sind die einzelnen Anzeigeelemente 34-1, . . ., 34-4 versenkt angeordnet, so daß sie nur von einem Standpunkt unmittelbar vor der Eingabevorrichtung 28 aus sichtbar sind und ein möglichst optimaler Sichtschutz gewährleistet ist.

Benachbart zu den Anzeigeelementen 34-1, . . ., 34-4 sind jeweils 2 Eingabetasten 32-1 und 32-2 zum Inkrementieren bzw. Dekrementieren der jeweils angezeigten Zahl bzw. des jeweils angezeigten Zeichens angeordnet, die in Fig. 3 mit "auf" bzw. "ab" gekennzeichnet sind. Ein Benutzer kann nun als Zeichen seiner Legitimation einfach durch passende Betätigung dieser Eingabetasten 34-1, . . ., 34-4 seinen persönlichen Kenncode einstellen und die Eingabe mittels einer (nicht dargestellten) Bestätigungstaste bestätigen, so daß im Unterschied zum Stand der Technik das relativ zeitaufwendige und fehleranfällige Suchen einer bestimmten Zahl bzw. eines bestimmten Zeichens aus einer angezeigten, dynamischen Tatstaturbelegung entfällt und man recht einfach und schnell seinen persönlichen Kenncode eingeben kann.

Bei der in Fig. 4 dargestellten erfindungsgemäßen Ausführungsform umfaßt die Eingabetastatur 30 der Eingabevorrichtung 28 lediglich 2 Eingabetasten 32-1 und 32-2 zum Inkrementieren bzw. Dekrementieren der einzelnen Zifferung der angezeigten Zufallszahl, während die Anzeigeeinrichtung unverändert ist. Mit diesen Tasten werden die auf den einzelnen Anzeigefeldern 34-1, . . ., 34-4 dargestellten Ziffern der Zufallszahl nun nacheinander zu der betreffenden Ziffer des einzugebenden Kenncodes verändert und jeweils durch Betätigung der zugehörigen Bestätigungstaste 36 bestätigt. Um das Sicherheitsrisiko beim Eingeben möglichst minimal zu halten, werden die einzelnen Ziffern unmittelbar nach Betätigung der Bestätigungstaste 36 ausgeblendet oder durch eine neue zufällig ermittelte Ziffer oder eventuell auch ein bestimmtes Sonderzeichen ersetzt, so daß zu keinem Zeitpunkt ein vollständiger Kenncode angezeigt wird.

Bei der in Fig. 5 dargestellten Ausführungsform umfaßt die Anzeigeeinrichtung 34 nur noch ein versenkt angeordnetes Anzeigeelement 34-1, auf dem die einzelnen Ziffern der darzustellenden Zufallszahl nacheinander angezeigt werden. Die Eingabe des Kenncodes erfolgt auch hier wiederum durch 2 Eingabetasten 32-1 und 32-2 zum Inkrementieren bzw. Dekrementieren der jeweils angezeigten Ziffer und durch anschließendes Drücken einer Bestätigungstaste 36.

Bei allen drei erfindungsgemäßen Ausführungsformen sollte die Eingabevorrichtung 28 eine (nicht dargestellte) kryptographische Einrichtung umfassen, welche zum Verschlüsseln des eingegebenen Kenncodes und zum Entschlüsseln einer darzustellenden zufälligen Zeichenkombination, die in verschlüsselter Form zur Anzeigeeinrichtung 34 übertragen wird, ausgebildet ist. Hierdurch können unbefugte Dritte - im Unterschied zum Stand der Technik - auch nicht durch Anzapfen der Verbindungsleitungen zwischen der Eingabevorrichtung 28 und der (nicht dargestellten) Kontroll- oder Sicherungseinrichtung bzw. dem (ebenfalls nicht dargestellten) Zufallsgenerator Kenntnis von dem Kenncode erlangen. Um diese Mißbrauchsmöglichkeit auch bei der in Fig. 2 dargestellten Eingabevorrichtung 18 auszuschließen, wird erfindungsgemäß vorgeschlagen, auch diese mit einer kryptographischen Einrichtung zum Verschlüsseln des eingegebenen Kenncodes und/oder zum Entschlüsseln einer darzustellenden Tastaturbelegung zu versehen, die dann, wie auch die zufällige Zeichenkombination, ebenfalls verschlüsselt übertragen wird.

Aufgrund des hohen Bekanntheitsgrades von Geldautomaten wurde die vorliegende Erfindung anhand dieses speziellen Anwendungsbeispiels beschrieben. Es sei jedoch bemerkt, daß das erfindungsgemäße Verfahren und die erfindungsgemäße Vorrichtung selbstverständlich nicht auf dieses Anwendungsbeispiel beschränkt sind, sondern überall da vorteilhaft eingesetzt werden können, wo es um die Eingabe persönlicher Kenncodes in eine die Zugangsberechtigung eines Benutzers überprüfende Kontrolleinrichtung oder ein Kontrollsystem geht. Die Eingabevorrichtung kann hierbei selbstverständlich auch von dem dargestellten Ausführungsbeispiel abweichen und beispielsweise auch eine andere Anordnung der Eingabetasten 32-1, 32-2, 36 oder der Anzeigeelemente 34-1, . . ., 34-4 aufweisen. So müssen die Inkrementierungs- und Dekrementierungstasten 32-1 bzw. 32-2 beispielsweise nicht direkt an der Anzeige angebracht sein, sondern können auch den Cursor-Tasten einer PC-Tastatur zugeordnet sein, während zu zugeordneten Anzeigeelemente auf einem der Kommunikation mit dem Benutzer dienenden zugehörigen Bildschirm, dargestellt werden. Wie oben bereits erwähnt wurde, können durch die Anzeigeelemente 34-1, . . ., 34-4 auch alphabetische oder alphanumerische Zeichenfolgen angezeigt werden, so daß die erfindungsgemäße Eingabevorrichtung für beliebige Kenncodes verwendbar ist und problemlos an spezielle Anwendungsgebiete angepaßt werden kann.

Claims

1. Verfahren zur Überprüfung der Zugangsberechtigung eines Benutzers für eine besonders geschützte Einrichtung oder ein besonders geschütztes System durch Eingeben eines eine numerische, alphanumerische oder alphabetische Zeichenkombination umfassenden persönlichen Kenncodes in eine Kontroll- oder Sicherungseinrichtung mittels einer Eingabevorrichtung (28) mit einer Eingabetastatur (30) und einer Anzeigeeinrichtung (34), dadurch gekennzeichnet, daß durch die Anzeigeeinrichtung (34) eine zufällige Zeichenkombination angezeigt wird, die von dem Benutzer mittels der Eingabetastatur (30) zu dem persönlichen Kenncode verändert wird, wobei der Kenncode selbst nicht angezeigt oder nach erfolgter Eingabe unkenntlich gemacht wird.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß eine versenkt angeordnete Anzeigeeinrichtung (34) verwendet wird.

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die einzelnen Zeichen der Zeichenkombination durch jeweils ein Anzeigeelement (34-1, . . ., 34-4) angezeigt werden, die in einem Anzeigefeld zusammengefaßt sind.

4. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Darstellung der Zeichenkombination mittels eines einzigen Anzeigeelementes (34-1) erfolgt, auf dem die einzelnen Zeichen nacheinander dargestellt werden.

5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß der Kenncode über zumindest 2 Eingabetasten (32-1, 32-2) zum Inkrementieren bzw. Dekrementieren der einzelnen Zeichen der dargestellten Zeichenkombination eingegeben und über eine Bestätigungstaste (36) bestätigt wird.

6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß die darzustellende zufällige Zeichenkombination verschlüsselt zur Anzeigeeinrichtung (34) übertragen und dort zum Anzeigen wieder entschlüsselt wird und/oder daß die vom Benutzer veränderte, den persönlichen Kenncode darstellende Zeichenkombination verschlüsselt zur Kontroll- oder Sicherungseinrichtung übertragen wird.

7. Eingabevorrichtung (28) zum Eingeben eines eine numerische, alphanumerische oder alphabetische Zeichenkombination umfassenden persönlichen Kenncodes in eine die Zugangsberechtigung eines Benutzers überprüfende Kontroll- oder Sicherungseinrichtung mit einer Eingabetastatur (30), dadurch gekennzeichnet, daß die Eingabevorrichtung (28) eine Anzeigeeinrichtung (34) zur Darstellung einer zufälligen Zeichenkombination umfaßt, die mittels der Eingabetastatur (30) zu dem persönlichen Kenncode veränderbar ist.

8. Eingabevorrichtung nach Anspruch 7, dadurch gekennzeichnet, daß die Anzeigeeinrichtung (34) versenkt angeordnet ist.

9. Eingabevorrichtung nach Anspruch 7 oder 8, dadurch gekennzeichnet, daß die Anzeigeeinrichtung (34) zur Dastellung der einzelnen Zeichen der zufälligen Zeichenkombination jeweils ein Anzeigeelement (34-1, . . ., 34-4) umfaßt, wobei die einzelnen Anzeigeelemente in einem Anzeigefeld zusammengefaßt sind.

10. Eingabevorrichtung nach Anspruch 7 oder 8, dadurch gekennzeichnet, daß die Anzeigeeinrichtung (34) ein Anzeigeelement (34-1) zur sukzessiven Darstellung der einzelnen Zeichen der zufälligen Zeichenkombination umfaßt.

11. Eingabevorrichtung nach einem der Ansprüche 7 bis 10, dadurch gekennzeichnet, daß die Eingabetastatur (30) zumindest 2 Eingabetasten (32-1, 32-2) zum Inkrementieren bzw. Dekrementieren der einzelnen Zeichen der dagestellten Zeichenkombination und einer Bestätigungstaste (36) zum Bestätigen der Eingabe umfaßt.

12. Eingabevorrichtung nach einem der Ansprüche 7 bis 11, dadurch gekennzeichnet, daß die Eingabevorrichtung (28) zumindest eine kryptographische Einrichtung zum Verschlüsseln des eingegebenen Kenncodes und/oder zum Entschlüsseln einer darzustellenden Zeichenkombination umfaßt.

13. Verfahren zur Überprüfung der Zugangsberechtigung eines Benutzers für eine besonders geschützte Einrichtung oder ein besonders geschütztes System durch Eingeben eines persönlichen Kenncodes in eine Kontroll- oder Sicherungseinrichtung mittels einer Eingabevorrichtung (18), die eine mit einer gewissen Tastaturbelegung versehene Eingabetastatur (20) umfaßt, wobei die Tastaturbelegung durch eine der Eingabetastatur (20) zugeordnete Anzeigeeinrichtung (24) angezeigt und nach jedem Eingabevorgang verändert wird, dadurch gekennzeichnet, daß die Tastaturbelegung verschlüsselt zur Anzeigeeinrichtung (24) übertragen und dort zum Anzeigen wieder entschlüsselt wird und/oder daß die vom Benutzer eingegebene persönliche Kennzahl verschlüsselt zur Kontroll- oder Sicherungseinrichtung übertragen wird.

14. Eingabevorrichtung (18) zum Eingeben eines Kenncodes in eine die Zugangsberechtigung eines Benutzers überprüfende Kontroll- oder Sicherungseinrichtung mit einer mit einer gewissen Tastaturbelegung versehene Eingabetastatur (20) und einer der Eingabetastatur (20) zugeordnete Anzeigeeinrichtung (24) zur Darstellung der aktuellen Tastaturbelegung, wobei die Tastaturbelegung nach jedem Eingabevorgang veränderbar ist, dadurch gekennzeichnet, daß die Eingabevorrichtung (18) zumindest eine kryptographische Einrichtung zum Verschlüsseln des eingegebenen Kenncodes und/oder zum Entschlüsseln einer darzustellenden Tastaturbelegung umfaßt.