WO2011069492A1 - Verfahren und computerprogrammprodukte zum authentisierten zugang zu online -accounts - Google Patents

Verfahren und computerprogrammprodukte zum authentisierten zugang zu online -accounts

Info

Publication number
WO2011069492A1
WO2011069492A1 PCT/DE2010/001435 DE2010001435W WO2011069492A1 WO 2011069492 A1 WO2011069492 A1 WO 2011069492A1 DE 2010001435 W DE2010001435 W DE 2010001435W WO 2011069492 A1 WO2011069492 A1 WO 2011069492A1
Authority
WO
Grant status
Application
Patent type
Prior art keywords
computer
server
information
client
user
Prior art date
Application number
PCT/DE2010/001435
Other languages
English (en)
French (fr)
Inventor
Bernd Borchert
Klaus Reinhardt
Original Assignee
Eberhard Karls Universität Tübingen
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or paths for security, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATIONS NETWORKS
    • H04W12/00Security arrangements, e.g. access security or fraud detection; Authentication, e.g. verifying user identity or authorisation; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

Die Erfindung betrifft ein Verfahren zum Bereitstellen eines sicheren Zugangs zu Online-Benutzerkonten. Es handelt sich dabei um zugangsbeschränkte Benutzerkonten, die eine Autorisierung benötigen. Für das Verfahren werden neben einem Server-Rechner und einem Klienten-Rechner noch zusätzlich ein mobiles Kommunikationsgerät mit einer Kamera benötigt. Das Verfahren beinhaltet folgende Schritte: der Server-Rechner (A) schickt nach Anfrage (1) des Klienten-Rechners (B) die Informationen (2) an den Klienten-Rechner (B), die am Klienten-Bildschirm als Informationen (3) dargestellt werden; die Informationen (3) werden vom mobilen Kommunikationsgerät (C) mittels der Kamera eingelesen und verarbeitet; das Ergebnis wird als Information (4) zum Server-Rechner (A) übertragen; nach positiver Prüfung der Daten werden die Informationen (5) zum Klienten-Rechner (B) geschickt, der dort den Zugang bereitstellt. Mit dem Verfahren wird es ermöglicht, Zugangsinformationen zu mehreren Benutzerkonten, wie z. B. Passwörter, Benutzernamen, Login -Adressen, bequem und sicher zu handhaben. Dabei werden keine Dauer- Passwörter verwendet werden, sondern nur noch Einmal-Passwörter, die nur wenige Sekunden gültig sind.

Description

VERFAHREN UND COMPUTERPROGRAMMPRODUKTE UM AUTHENTISIERTEN ZUGANG ZU ONLINE -ACCOUNTS

Die vorliegende Erfindung betrifft ein Verfahren zum Bereitstellen eines sicheren und komfortablen Zugangs zu einem Dokument in einem Rechnernetz, insbesondere zu Online-Benutzerkonten (Online-Accounts).

Viele Internet-Benutzer kennen das Problem der Passwort-Flut, die vielen Passwörter (und auch die Benutzer-Namen und Login-Adressen) für die Online-Benutzerkonten können sich viele Benutzer kaum merken.

Es gibt improvisierte Methoden, mit der Passwort-Flut zurecht zu kommen. Eine davon ist, sich die Passwörter auf dem eigenen Handy abzuspeichern. Entsprechende Handy- Programme gibt es schon für einige Handy-Typen. Es bleibt aber bei der manuellen Eingabe der Benutzerdaten auf dem Bildschirm. Auch das im Folgenden beschriebene Problem der Sicherheit bei der Passwort-Eingabe ist dadurch nicht gelöst, denn es handelt sich dabei weiterhin um Dauer-Passwörter.

Das Eintippen eines Passworts am Computerbildschirm ist unsicher gegenüber dem Abhören durch Trojaner („Identitäts-Diebstaht1 durch sog.„keylogger"): Der Trojaner beobachtet, welche Tasten bei der Passwort-Eingabe gedrückt werden. Auch wenn das Passwort per Mausklicks auf einer Tastaturanzeige am Bildschirm eingegeben wird, kann ein Trojaner es mittels Bildverarbeitung abhören. Wenn das Passwort auf dem Rechner abgespeichert ist und automatisch in das Passwort-Feld eingetragen wird, ist es sogar noch problematischer, denn der Trojaner kann es jederzeit aus dem

Rechnerspeicher herauslesen oder aber bei der Eingabe abhören (auch wenn auf dem Bildschirm nur Sternchen oder andere verdeckende Zeichen angezeigt werden, kann ein Trojaner das Passwort dennoch innerhalb des Softwaresystems finden).

BESTÄTIGUNGSKOPIE Abgelauschte Passwörter können vom Trojaner per Rechnetz heimlich verschickt werden, z.B. an Zentralen, in denen die gestohlenen Identitäten gesammelt werden, um sie dann für Missbrauch-Zwecke weiterzuverkaufen. Es gibt Methoden gegen den Identitätsdiebstahl durch Trojaner, z.B. das Foto-PIN- Verfahren mit dem Fotohandy, siehe Patentanmeldung DE-2007029759.

Es ist bislang jedoch kein Verfahren für eine sichere und gleichzeitig für den Benutzer bequeme Handhabung von Passwörtern für Online-Benutzerkonten bekannt.

Der vorliegenden Erfindung lag somit die Aufgabe zugrunde, ein Verfahren zum sicheren und gleichzeitig komfortablen Zugang zu Online-Dokumenten, z.B.

Benutzerkonten, bereit zu stellen, insbesondere für zugangsbeschränkte

Benutzerkonten, die eine Autorisierung benötigen. Mit dem Verfahren soll es außerdem möglich sein, Zugangsinformationen zu mehreren Benutzerkonten, wie z.B. Passwörter, Benutzernamen, Login-Adressen, bequem und sicher zu handhaben.

Diese Aufgabe wird erfindungsgemäß durch ein Verfahren gelöst, bei dem neben einem Server-Rechner und einem Klienten-Rechner, die sich im gleichen Rechnernetz befinden, noch zusätzlich ein mobiles Kommunikationsgerät mit einer Kamera, einem Prozessor mit Speicher und Mitteln zur Kommunikation mit einem Server-Rechner benötigt wird. Das mobile Kommunikationsgerät kann insbesondere ein Handy mit Internet-Zugang und eingebauter Kamera sein. Um sich den Zugang zu einem Dokument, z.B. ein Online-Benutzerkonto, auf dem Klienten-Rechner zu verschaffen, werden folgende Schritte ausgeführt (Abb.1 ).

Als erstes wird vom Benutzer eine Anfrage (Informationen 1 ) an den Server-Rechner übertragen. Das kann beispielsweise durch das Aufrufen einer sog. URL für ein

Dokument (eine Internetseite) durch ein sog. Browser-Programm, das auf dem Rechner des Benutzers (Klienten-Rechner) läuft, geschehen.

Nach dem Empfang dieser Anfrage durch den Server-Rechner wird von diesem eine Antwortnachricht (Informationen 2) generiert und auf den Klienten-Rechner übertragen. Diese Antwortnachricht enthält einen Teil der Autorisierungsdaten, die dazu benötigt werden, um den Zugang zum Dokument auf dem Server-Rechner bereit zu stellen. Die Antwortnachricht kann insbesondere kryptographisch verschlüsselt sein. Die

Antwortnachricht wird auf dem Bildschirm des Benutzers, z.B. in Form eines Barcodes, angezeigt (Informationen 3) und kann eine Identifizierung des Server-Rechners, der aufgerufenen Internetseite, und / oder eine Identifizierung des Klienten-Rechners beim Server-Rechner enthalten.

Die auf dem Bildschirm des Klienten-Rechners angezeigten Informationen 3 werden nun vom Benutzer mittels der Kamera des mobilen Kommunikationsgeräts eingelesen (aufgenommen) und in seinem Prozessor verarbeitet. Dabei werden die eingelesenen Informationen ggf. entschlüsselt und mit den vom Benutzer im Speicher abgelegten und für die Zuordnung von Identifizierungsdaten zu bestimmten Dokumenten (z.B.

Internetseiten) notwendigen Daten verglichen. Bei diesem Vorgang wird der vom Benutzer angefragte Server-Rechner identifiziert und Autorisierungsdaten

(Informationen 4) für den Zugang zum aufgerufenen Dokument auf dem Server- Rechner heu generiert. Bevorzugt stellen die neu generierten Autorisierungsdaten eine kryptographische Signatur dar. Die neu generierten Autorisierungsdaten werden vom mobilen Kommunikationsgerät auf den Server-Rechner übertragen und von diesem geprüft. Wenn die Prüfung der Autorisierungsdaten positiv ausfällt und der Server-Rechner den Klienten-Rechner anhand der Autorisierungsdaten identifiziert hat, überträgt der Server-Rechner die Zugangsdaten (Informationen 5) an den Klienten-Rechner. Nach dem Empfang der Zugangsdaten durch den Klienten-Rechner wird der Zugang zum Dokument gewährt. Dies kann z.B. dadurch erreicht werden, dass auf dem Bildschirm des Klienten- Rechners eine neue Seite mit dem entsprechenden Dokument (z.B. Benutzerkonto) angezeigt wird. Alternativ schickt der Server-Rechner an den Klienten-Rechner die URL des angefragten Dokuments, ggf. einschließlich Autorisierungsdaten, so dass der Benutzer anschließend vom Server-Rechner den Zugang zum Dokument erhält.

Alle Autorisierungsdaten, die im vorliegenden Verfahren generiert werden

(Informationen 2, 4, 5, 7, 8, 9 und 10), sind bevorzugt nur eine kurze Zeit, z.B. wenige Sekunden, gültig. Wenn nach Ablauf dieser festgelegten Zeit der Server-Rechner keine Autorisierungsdaten empfängt bzw. als übereinstimmend identifiziert, werden die späteren Anfragen vom Klienten-Server nicht beantwortet. Deswegen wird durch das erfindungsgemäße Verfahren ein Missbrauch von Autorisierungsdaten erschwert. Bei einem Rechnernetz-Protokoll wie dem World Wide Web (als Teil des Internets) sieht die Architektur nicht vor, dass ein Server-Rechner, der einem Klienten-Rechner ein Dokument geschickt hat, welches per sogenanntem Browser auf dem Bildschirm des Klienten-Rechners dargestellt wird, dieses Dokument auf dem Bildschirm des Klienten-Rechners direkt durch ein anderes ersetzen kann. Deshalb wird per sogenanntes "polling" dem Server die Möglichkeit gegeben, ein Dokument beim

Klienten-Rechner zu ersetzen: das neue Dokument wird als Rückantwort auf eine Anfrage des Klienten-Rechner beim Server-Rechner gesendet. Deshalb kann erfindungsgemäß der Übertragung der Zugangsdaten (Informationen 5) vom Server- Rechner an den Klienten-Rechner zusätzlich zumindest eine Übertragung von

Informationen 6 vom Klienten-Rechner an den Server-Rechner vorausgehen (Abb. 2). Die Informationen 5 sind in diesem Fall eine Rückantwort auf Informationen 6.

Gemäß einer weiteren Ausführungsform der Erfindung kann das mobile

Kommunikationsgerät mit mindestens einem weiteren Server-Rechner (hier als

Account-Rechner bezeichnet) kommunizieren (Abb. 3). Dabei werden Anfragen

(Informationen 7) vom mobilen Kommunikationsgerät erzeugt und an einen der

Account-Rechner übertragen. Der Account-Rechner generiert als Antwort Informationen 8 und überträgt sie an das mobile Kommunikationsgerät. Dort werden sie verarbeitet, wobei Informationen 4 erzeugt werden, die Autorisierungsdaten für den Zugang zu einem Dokument auf dem Account-Rechner enthalten. Nach dem Empfang der

Informationen 5 überträgt der Klienten-Rechner an den Account-Rechner Informationen 9, die bevorzugt auch Autorisierungsdaten enthalten. Der Account-Rechner prüft die Autorisierung und überträgt bei positivem Ergebnis die Informationen 10 an den

Klienten-Rechner, die bevorzugt das angefragte Dokument darstellen.

Gemäß einer weiteren Ausführungsform kann das Verfahren zum Schutz gegen die Folgen eines Diebstahls des mobilen Kommunikationsgeräts mit einer Passwort- Abfrage beim Server kombiniert werden, entweder via die übliche Login-Webseite mit Passwort-Abfrage, oder aber auch via trojanersichere Verfahren, z.B. das Foto-PIN- Verfahren, wie in DE-2007029759 beschrieben.

Die vorliegende Erfindung betrifft ferner Computerprogrammprodukt zur Durchführung des erfindungsgemäßen Verfahrens auf einem Prozessor im Server-Rechner.

Die vorliegende Erfindung betrifft ferner Computerprogrammprodukt zur Durchführung des erfindungsgemäßen Verfahrens auf einem Prozessor im weiteren Server-Rechner (Account-Rechner).

Die vorliegende Erfindung betrifft ferner Computerprogrammprodukt zur Durchführung des erfindungsgemäßen Verfahrens auf einem Prozessor im mobilen

Kommunikationsgerät. Mit dem erfindungsgemäßen Verfahren kann sich der Benutzer somit ohne Eintippen von Passwort und Benutzername in ein Online-Benutzerkonto am Computerbildschirm einloggen.

Ein weiterer Vorteil der Erfindung besteht darin, dass ein Identitäts-Diebstahl durch Trojaner auf dem Rechner des Benutzers praktisch ausgeschlossen wird, denn es werden dabei keine mehrfach benutzbaren Dauer-Passwörter verwendet, sondern nur noch Einmal-Passwörter, die nur wenige Sekunden gültig sind.

Weitere Vorteile, Merkmale und Anwendungsmöglichkeiten der Erfindung werden nachstehend anhand der Ausführungsbeispiele mit Bezug auf die Zeichnungen beschrieben. In den Zeichnungen zeigen:

Abb. 1 : Der Server-Rechner A schickt nach Anfrage 1 des Klienten-Rechners B die Informationen 2 an den Klienten-Rechner B, die am Klienten-Bildschirm als

Informationen 3 dargestellt werden. Die Informationen 3 werden vom mobilen

Kommunikationsgerät C eingelesen und verarbeitet. Das Ergebnis wird als Information 4 zum Server-Rechner A geschickt. Nach positiver Prüfung der Daten werden die Informationen 5 zum Klienten-Rechner B geschickt, der dort den Zugang bereitstellt. Abb. 2: Wenn, wie z.B. beim World Wide Web, der Server-Rechner A Informationen 5 nicht direkt an den Klienten-Rechner B schicken kann, wird dem Server-Rechner A durch eine vom Klienten-Rechner an den Server-Rechner geschickte Anfrage die Gelegenheit gegeben, die Information 5 als Rückantwort auf die Information 6 an den Klienten-Rechner B zu übertragen („polling").

Abb. 3: Beim mobilen Kommunikationsgerät C kann eine Kommunikations-Prozedur mit einem zweiten Server-Rechner (AccOunt-Rechner) D stattfinden, die mindestens aus dem Übertragen von zwei Informationen 7 (hin) und 8 (zurück) besteht. Die

Autorisierungsdaten zum Zugang auf diesen zweiten Server D kommen als Teil der Informationen 4 und 5 bei Klienten-Rechner B an, der diese Daten nutzt, um den Zugang beim zweiten Server D zu etablieren, indem er die Autorisierungsdaten als Informationen 9 an den zweiten Server D schickt, der dann den Zugang auf dem Bildschirm des Klienten-Rechners bereitstellt, indem er Information 10 an den Klienten- Rechner B überträgt.

Ausführungsbeispiele

, Das erfindungsgemäße Verfahren kann den Zugang zu Online-Benutze konten im

Wesentlichen auf zwei Wegen ermöglichen: entweder über eine direkte (Abb. 1 und 2) oder über eine indirekte Fern-Weiterleitung (Abb. 3).

Verfahren zum Bereitstellen des Zugangs zu Online-Benutzerkonten mittels einer direkten Fern-Weiterleitung

Für ein Online-Benutzerkonto, z.B. eine Download-Seite oder ein Forum, wird auf dem Fotohandy des Benutzers der Server-Name, der Konto-Name und ein geheimer krytographischer Schlüssel gespeichert. Wenn der Benutzer in das Benutzerkonto hinein will, geht er auf die Einlog-Internetseite des Benutzerkonto-Anbieters. Dort hat der Account-Server einen 2D-Code hingestellt, in dem der Server-Name und eine

Session-ID stehen. Diese Information wird vom Benutzer durch Abfotografieren in das Fotohandy eingelesen. Das Fotohandy macht dann - völlig selbständig - folgendes: es sucht den abgespeicherten Benutzernamen für diesen Server-Namen; dann berechnet es aus der Session-ID mit dem Schlüssel ein Codewort (Signatur); am Schluss geht das Handy per mobiles Internet auf eine Webseite des Account-Servers und übermittelt dem Account-Server den Benutzernamen, die Session-ID und das daraus berechnete Codewort. Der Account-Server prüft die Angaben: wenn das Codewort ok ist, schaltet der Account-Server das Benutzerkönto frei, d.h. auf dem Bildschirm des Benutzers wird die Situation wie nach dem Einloggen angezeigt.

Verfahren zum Bereitstellen des Zugangs zu Online-Benutzerkonten mittels einer indirekten Fern-Weiterleitung

Auf dem Fotohandy des Benutzers sind mehrere Benutzerkonten wie beim oben beschriebenen Beispiel gespeichert. Der Benutzer ruft mit seinem Browser eine feste Webseite für die indirekte Fern-Weiterleitung auf. Den auf der Seite stehenden 2D Code liest er mit einem Programm auf dem Fotohandy ein. Das Fotohandy zeigt ihm dann auf dem Display eine Liste seiner Benutzerkonten an. Der Benutzer wählt ein Benutzerkonto aus. Daraufhin setzt sich das Handy im Hintergrund mit dem

entsprechenden Account-Server in Verbindung, um eine neue Session-ID („nonce") zu erhalten, die nur wenige Sekunden gültig sein wird Die Session-ID wird auf dem Handy mit dem kryptographischen Schlüssel dieses Benutzerkontos signiert. Zusammen werden Servername, Benutzername, Session-ID und Sigpaturwert zum Fern-

Weiterleitungs-Server geschickt, und von dort aus zum Browser am Bildschirm des Benutzers. Der Browser ruft eine Login-Seite des Account-Servers auf und schickt dabei Servername. Benutzername, Session-ID und Signaturwert als Parameter mit. Nach positiver Prüfung der Autorisierungsdaten erscheint im Browserfenster beim Benutzer das geöffnete Benutzerkonto.

Claims

Patentansprüche
1. Verfahren zum Bereitstellen eines Zugangs auf einem Klienten-Rechner zu
einem Dokument in einem Rechnernetz von einem mobilen
Kommunikationsgerät aus, wobei das mobile Kommunikationsgerät eine
Kamera, einen Prozessor mit Speicher und Mittel zur Kommunikation mit einem Server-Rechner aufweist, und der Klienten-Rechner und der Server-Rechner sich im Rechnernetz befinden, gekennzeichnet durch folgende Schritte:
(a) Erzeugung von Informationen 1 als Anfrage durch den Klienten-Rechner und Übertragung von Informationen 1 an den Server-Rechner,
(b) Empfang von Informationen 1 durch den Server-Rechner, Erzeugung von Informationen 2 auf dem Server-Rechner, Übertragung von Informationen 2 vom Server-Rechner auf den Klienten-Rechner,
(c) Empfang von Informationen 2 und Darstellung von Informationen 3 auf dem Bildschirm des Klienten-Rechners,
(d) Einlesen der Informationen 3 vom Bildschirm des Klienten-Rechners
durch die Kamera des mobilen Kommunikationsgeräts,
(e) Verarbeitung der Informationen 3 auf dem mobilen Kommunikationsgerät, Erzeugung von Informationen 4 und Übertragung von Informationen 4 vom mobilen Kommunikationsgerät auf den Server-Rechner,
(f) Empfang und Prüfung von Informationen 4 durch den Server-Rechner, Erzeugung und Übertragung von Informationen 5 für den Zugang auf den Klienten-Rechner,
(g) Bereitstellen des Zugangs auf dem Klienten-Rechner.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass das Dokument zugangsbeschränkt ist und eine Autorisierung für das Bereitstellen des Zugangs benötigt, insbesondere Online-Benutzerkonten.
3. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass mindestens eine der Informationen 1 , 2, 3, 4 und 5 Autorisierungsdaten für den Zugang zu einem Dokument auf dem Server-Rechner enthalten.
4. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass die auf dem Bildschirm des Klienten-Rechners dargestellten Informationen 3 eine Identifizierung des Server-Rechners und / oder des Dokuments und / oder eine Identifizierung des Klienten-Rechners beim Server-Rechner beinhalten.
5. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass der Speicher des mobilen Kommunikationsgeräts Informationen für die Zuordnung von Identifizierungsdaten von Server-Rechnern zu bestimmten Dokumenten gespeichert hat.
6. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass der Übertragung der Informationen 5 zumindest eine Übertragung von Informationen 6 vom Klienten-Rechner an den Server-Rechner vorausgeht.
7. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass das mobile Kommunikationsgerät mit einem zweiten Server-Rechner kommuniziert, wobei Informationen 7 von dem mobilen Kommunikationsgerät erzeugt und an den zweiten Server-Rechner übertragen werden, die
Informationen 7 vom zweiten Server-Rechner empfangen werden, Informationen 8 vom zweiten Server-Rechner erzeugt und an das mobile Kommunikationsgerät übertragen werden, Informationen 8 vom mobilen Kommunikationsgerät empfangen und verarbeitet werden, wobei Informationen 4 erzeugt werden, und das Bereitstellen des Zugangs auf dem Klienten-Rechner dadurch zustande kommt, dass der Klienten-Rechner Informationen 9 ah den zweiten Server- Rechner überträgt, der zweiter Server-Rechner Informationen 10 erzeugt und an den Klienten-Rechner überträgt.
8. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass mindestens eine der Informationen 1 , 2, 4, 5, 7, 8, 9 und 10
Autorisierungsdaten für den Zugang zu einem Dokument auf dem zweiten Server-Rechner enthalten.
9. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass die Autorisierungsdaten für das Bereitstellen des Zugangs eine begrenzte Zeit nach ihrer Erzeugung durch den Server-Rechner und / oder durch den zweiten Server-Rechner und / oder durch das mobile Kommunikationsgerät gültig sind.
10. Computerprogrammprodukte zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 9, wenn die Computerprogramme auf einem Prozessor im Server-Rechner oder im zweiten Server-Rechner oder im mobilen
Kommunikationsgerät ausgeführt werden.
PCT/DE2010/001435 2009-12-10 2010-12-09 Verfahren und computerprogrammprodukte zum authentisierten zugang zu online -accounts WO2011069492A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102009057800.5 2009-12-10
DE200910057800 DE102009057800A1 (de) 2009-12-10 2009-12-10 Verfahren zum Bereitstellen eines sicheren und komfortablen Zugangs zu Online-Accounts via Fern-Weiterleitung

Publications (1)

Publication Number Publication Date
WO2011069492A1 true true WO2011069492A1 (de) 2011-06-16

Family

ID=43902641

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2010/001435 WO2011069492A1 (de) 2009-12-10 2010-12-09 Verfahren und computerprogrammprodukte zum authentisierten zugang zu online -accounts

Country Status (2)

Country Link
DE (1) DE102009057800A1 (de)
WO (1) WO2011069492A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2693687A1 (de) * 2012-08-02 2014-02-05 Banco Bilbao Vizcaya Argentaria, S.A. Verfahren zur Erzeugung eines Codes, Autorisierungsverfahren und Autorisierungssystem zur Autorisierung einer Operation
WO2014122614A3 (en) * 2013-02-08 2014-12-04 Kochhar Anant A secure user interaction method performing defined actions on web resources over a separate channel and a system thereof
US9729532B2 (en) 2012-09-12 2017-08-08 Zte Corporation User identity authenticating method and device for preventing malicious harassment

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2981815A1 (fr) * 2011-10-19 2013-04-26 Bertrand Labaye Procede securise d'authentification forte et de controle d'acces sans contact
FR3003671B1 (fr) * 2013-03-25 2016-12-23 Cassidian Cybersecurity Sas Procede de generation d'un code pour la securisation d'une transaction

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007193762A (ja) * 2005-12-23 2007-08-02 Toshiba Corp ユーザー認証システムと、このユーザー認証システムで使用される提供用サーバ装置、携帯通信装置、利用者用携帯通信装置、承認者用携帯通信装置および認証用サーバ装置と、これらの装置のためのプログラム
EP2166697A1 (de) * 2008-09-17 2010-03-24 GMV Soluciones Globales Internet S.A. Verfahren und System zur Authentifizierung eines Benutzers mit Hilfe eines Mobilfunkgeräts

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10138381B4 (de) * 2001-08-13 2005-04-07 Orga Systems Enabling Services Gmbh Computersystem und Verfahren zur Datenzugriffskontrolle
US7387250B2 (en) * 2003-12-04 2008-06-17 Scanbuy, Inc. System and method for on the spot purchasing by scanning barcodes from screens with a mobile device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007193762A (ja) * 2005-12-23 2007-08-02 Toshiba Corp ユーザー認証システムと、このユーザー認証システムで使用される提供用サーバ装置、携帯通信装置、利用者用携帯通信装置、承認者用携帯通信装置および認証用サーバ装置と、これらの装置のためのプログラム
EP2166697A1 (de) * 2008-09-17 2010-03-24 GMV Soluciones Globales Internet S.A. Verfahren und System zur Authentifizierung eines Benutzers mit Hilfe eines Mobilfunkgeräts

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MICHIRU TANAKA ET AL: "A Method and Its Usability for User Authentication by Utilizing a Matrix Code Reader on Mobile Phones", 28 August 2006, INFORMATION SECURITY APPLICATIONS; [LECTURE NOTES IN COMPUTER SCIENCE;;LNCS], SPRINGER BERLIN HEIDELBERG, BERLIN, HEIDELBERG, PAGE(S) 225 - 236, ISBN: 978-3-540-71092-9, XP019077665 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2693687A1 (de) * 2012-08-02 2014-02-05 Banco Bilbao Vizcaya Argentaria, S.A. Verfahren zur Erzeugung eines Codes, Autorisierungsverfahren und Autorisierungssystem zur Autorisierung einer Operation
WO2014020092A1 (en) * 2012-08-02 2014-02-06 Banco Bilbao Vizcaya Argentaria, S.A. Method for generating a code, authorization method and authorization system for authorizing an operation
US8930694B2 (en) 2012-08-02 2015-01-06 Banco Bilbao Vizcaya Argentaria, S.A. Method for the generation of a code, and method and system for the authorization of an operation
US9729532B2 (en) 2012-09-12 2017-08-08 Zte Corporation User identity authenticating method and device for preventing malicious harassment
WO2014122614A3 (en) * 2013-02-08 2014-12-04 Kochhar Anant A secure user interaction method performing defined actions on web resources over a separate channel and a system thereof

Also Published As

Publication number Publication date Type
DE102009057800A1 (de) 2011-06-16 application

Similar Documents

Publication Publication Date Title
US7562222B2 (en) System and method for authenticating entities to users
Ylonen et al. The secure shell (SSH) authentication protocol
US7310813B2 (en) System and method for strong access control to a network
US20130219479A1 (en) Login Using QR Code
EP0940960A1 (de) Authentifizierung zwischen Anbietern
US7409543B1 (en) Method and apparatus for using a third party authentication server
US20120297187A1 (en) Trusted Mobile Device Based Security
US20040003287A1 (en) Method for authenticating kerberos users from common web browsers
US20100017619A1 (en) Systems and methods for secure and authentic electronic collaboration
US7197568B2 (en) Secure cache of web session information using web browser cookies
US20090013063A1 (en) Method for enabling internet access to information hosted on csd
US20110264913A1 (en) Method and apparatus for interworking with single sign-on authentication architecture
US20100199086A1 (en) Network transaction verification and authentication
US20140033291A1 (en) Method and system for visiting a third party application via a cloud platform
US20100037046A1 (en) Credential Management System and Method
US20090006861A1 (en) Method and Apparatus for Preventing Internet Phishing Attacks
US7383570B2 (en) Secure authentication systems and methods
US20070300292A1 (en) Computer system authentication using security indicator
US20090007243A1 (en) Method for rendering password theft ineffective
US20090037725A1 (en) Client-server opaque token passing apparatus and method
US20080148057A1 (en) Security token
US20130205380A1 (en) Identity verification
US20120284506A1 (en) Methods and apparatus for preventing crimeware attacks
CN101237426A (zh) 好友添加装置及方法
US20120266224A1 (en) Method and system for user authentication

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 10810820

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 10810820

Country of ref document: EP

Kind code of ref document: A1