WO2015114160A1 - Verfahren zur sicheren übertragung von zeichen - Google Patents
Verfahren zur sicheren übertragung von zeichen Download PDFInfo
- Publication number
- WO2015114160A1 WO2015114160A1 PCT/EP2015/052158 EP2015052158W WO2015114160A1 WO 2015114160 A1 WO2015114160 A1 WO 2015114160A1 EP 2015052158 W EP2015052158 W EP 2015052158W WO 2015114160 A1 WO2015114160 A1 WO 2015114160A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- data processing
- processing device
- index key
- character
- data
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
Definitions
- the invention relates to a method and a system for securely transmitting at least one character to be selected over a data network.
- a password or PIN For example, in login, purchase and / or payment transactions on the Internet, it is often necessary to enter a password or PIN. In these there is the problem that this password or this PIN is then transmitted via a data connection, in particular via the Internet. In this way, there is a danger that the entered data, for example a password or PIN, will be intercepted. This can be done, for example, by a so-called "man-in-the-middle” attack or, for example, by malware applied to a computer, which reads the keyboard inputs and transmits them to third parties.
- the method is provided for transmitting at least one character to be selected or entered by a user, for example a letter or a number via a data network.
- a first data processing device and at least one second data processing device are provided between which the communication takes place via the data network, for example the Internet.
- the data processing devices have suitable network interfaces, be it wired or wireless.
- the second data processing device is designed to input the at least one character, the first data processing device to receive the character.
- the character to be entered may be an alphanumeric character.
- a character in the sense of the invention can also be any other data record, for example an image file, a scanned fingerprint, an iris scan or the like. Any data records can be coded once with the described index key in the manner described below.
- the character to be entered can be entered immediately before or during the encoding. However, it is also possible to code a previously stored in the second data processing device character or a stored character set with the index key described once.
- the index key or the character table with which the characters input at the second data processing device or the second data processing device which are to be transmitted via the data network are coded or encrypted are changed so that for each transmission a one-time key or a unique character assignment is used.
- Such a system has the advantage that practically a keyboard which is to be used only once is generated on the second data processing device, since with each data input a different index key or a different table is used for coding the inputted characters and thus a differently coded keyboard. In this respect, it is no longer possible to intercept characters in a simple way or cut, as each time a new index key would have to be known to read the entered character can.
- an index key to be used once or a character table to be used once for the single-coding of at least one character to be input at the second data processing device are generated.
- the same index key or table is preferably used for this input.
- the index key is preferably generated in an index key generation module, which can be implemented, for example, as a software application and preferably can be integrated into the first data processing device.
- the index key is preferably generated in the first data processing device, which may include, for example, a standard personal computer or server.
- the generated index key is sent from the first data processing device to the second data processing device via the communication connection. That is, the first data processing device, which is to receive the character to be input to the second data processing device, first informs the second data processing device of the index key with which the characters are to be coded. Subsequently can after z. For example, upon receipt of a prompt at the second data processing device, the at least one character or preferably a plurality of characters are input, the input characters then being preferably directly and immediately encoded with the received index key.
- the character need not be an alphanumeric character, but may be, for example, an image, a scanned fingerprint, or the like.
- the thus coded characters are then sent via the communication link from the second data processing device to the first data processing device.
- this procedure would preferably be started again, that is again a new index key would be generated and transmitted to the second data processing device, so that each index key always only for an input operation to the transmission the first data processing device is used.
- other index keys or codings of the characters to be entered can be used continuously, so that a readout of the keyboard input is no longer readily possible.
- a new keypad with an individual one-time character encoding or an index key for the character coding is provided. The transmission of the index key from the first data processing device to the second data processing device can take place in a separate data transmission process.
- the index key is sent from the first data processing device to the second data processing device before the second data processing device identifies itself to the first data processing device. Ie. the index key becomes anonymous to the second data processing device transfer. This provides additional security since the index key can not be assigned to a user or to any special data processing device.
- the index key is not linked to user-specific information until it is actually required, namely when entering the characters to be coded.
- a further advantage of the anonymous transmission of the index key is that it is thus possible, without compromising the security, not to transmit the index key directly to the second data transmission device, but, for example, via an interposed third data transmission device, for example a foreign server or computer system can be.
- the index key can be offered there to the user for download to a second data processing device.
- the transmission takes place during a registration request from the first data processing device to the second data processing device, with which the second data processing device is requested to identify itself and to log on to the first data processing device.
- the first data processing device is known or identified by the second data processing device, so that preferably in the next step, a command prompt is sent to the second data processing device with which it is prompted to input a user for selection of the second data processing device. least to request a sign.
- a command prompt is sent to the second data processing device with which it is prompted to input a user for selection of the second data processing device. least to request a sign.
- the logon and the input process can be combined, ie it can be a for the registration required identification feature is simultaneously transmitted with the input characters from the second data processing device to the first data processing device.
- the prompt and logon request could be a combined command.
- the identification feature and the entered characters are particularly preferably transmitted jointly encrypted in a uniform data record to the second data processing device. If the index key is transferred anonymously to the second data processing device as described above, the user or the identification feature of the second data processing device is thus not known to the second data processing device until it receives the identification features and the inputted characters.
- the index key is transmitted from the first data processing device to the second data processing device in at least one section of the transmission path in the form of an optical code which can be read by the second data processing device.
- a code may be, for example, a QR or bar code.
- Such a code may contain the index key and, for example, at the same time a login request, which could also be formed by the index key itself.
- the second data processing device is preferably a mobile communication device
- such optically readable code can be displayed on the screen of a computer system that is connected to the first data processing device via the Internet and then via a camera the mobile communication device, for example a mobile phone, and so on the mobile communication device, which the two- ⁇ e Data processing unit is transferred.
- This has the advantage of ease of use for the user.
- the transmission path via such an optical interface provides additional security, since the data transmitted there is difficult to intercept from the outside.
- the index key is first transmitted from the first data processing device to a third data processing device and then transmitted from the third data processing device to the second data processing device.
- the third data transmission device can be, for example, a server system of a service provider in the Internet, which accesses the services of the first data processing device for the purpose of authentication of the second data processing device.
- the third data processing device in the first data processing device request an authentication process, whereupon the first data processing device of the third data processing device sends the index key and optionally a registration request as a coded signal, which can then be transmitted from the third data processing device to the second data processing device.
- the third data processing device visually displays the code to be transmitted on a monitor or another suitable display device of a computer system available to the user, and the user then uses the code with the second data processing device available to him; For example, a mobile communication device scans. For this purpose, for example, a camera present in the second data processing device can be used.
- a mobile communication device scans.
- a camera present in the second data processing device can be used.
- the at least one character encoded with the index key is transmitted from the second data processing device to the first data processing device without contact with the third data processing device or independently thereof.
- the communication path for transmitting the character encoded with the index key does not pass through the third data processing device but directly from the first data processing device to the second data processing device. This ensures that personal data or identification features of the second data processing device are not known to the third data processing device at this time.
- the at least one character is input to the second data processing device via a keyboard and encoded directly upon input with the previously received index key.
- the keyboard is preferably a virtual keyboard which is displayed, for example, on a screen, in particular a touch-sensitive screen.
- a keyboard module in particular in the form of a corresponding software program, integrated, which this keyboard for display, keypad entries and encoded directly with the previously received index key.
- a standard keyboard of the data processing device such as a fixed mechanical keyboard or a standard software keyboard.
- keyboard means any input device via which at least one character can be input or selected from given characters.
- This need not be an arrangement in the sense of a conventional typewriter keyboard, but characters to be selected can also be displayed differently, for example in the form of scroll wheels.
- the characters to be entered via the keyboard need not be alphanumeric characters.
- any desired images can also be selected.
- a character could, for example, also be an image to be scanned, in particular a fingerprint or an iris scan, which are coded with the index key after detection.
- the index key is generated at random.
- the index key generation module may include a random generator. This ensures that a random, only once-to-use index key is generated at random.
- the character received by the second data processing device is decoded with the one-time index key previously sent to the second data processing device with the input request.
- the character can then be read out again and further processed, for example in order to compare it with a previously stored password or identification element or a part of a previously stored password for correctness.
- the first data processing device contains preferably a decryption module which decrypts the received character accordingly.
- the character can then be further processed in the first data processing device, for example, be compared in the case of a password with the password stored there.
- a code can first be generated in the first data processing device using the index key with the predetermined known characters or access data to be queried.
- the credentials do not have to be alphanumeric characters. Rather, it can be any record.
- Such a data record is also understood as a character in the sense of the preceding and following description.
- a code is then likewise generated with the aid of the previously received index key, which code is transmitted to the first data processing device. This then compares this code with the previously generated code. In this respect, a decryption of the transmitted data set in the first data processing device is no longer required.
- the character entered in the second data processing device can be coded not only alone but simultaneously with a plurality of inputted characters, so that only one total code is transmitted, which can then be compared in its entirety of the first data processing device with a previously generated code ,
- a preselection of selectable time lines is provided in the first data processing device. Chen and transferred to the second data processing device, wherein the second data processing device brings the preselection on a keyboard for display.
- the first data processing device has a character pre-selection generation module, which is preferably designed such that it can selectively insert predetermined characters in the pre-selection and / or generate random characters and record them in the preselection. If, for example, a password or user secret is to be entered, then the preselection in any case contains the correct character to be entered, which is stored in the first data processing device, and additionally a number of randomly selected other characters.
- the number of characters from which the user has to select can be reduced because, for example, not the entire alphabet and all ten digits must be offered for selection. This simplifies the input of the character to the user. If other characters are to be entered for other purposes, then in the preselection only those characters can be suitably contained which in principle can be entered, for example only numbers, only capital letters etc.
- the pre-selection of characters is preferred with the above-mentioned command prompt from the first data processing device to the second data processing device, while the index key has preferably already been transmitted previously, for example with a registration request. This has the advantage that the transfer of the index key, as described above, can take place anonymously, without the user being aware of the system at this time.
- the index key with which the characters are encrypted is preferably transmitted in advance independently of the prompt.
- the prompt and, if necessary, the named preselection of selectable characters are preferably encrypted, transmitted from the first data processing device to the second data processing device, for which purpose the first data transmission device has an encryption device and the second data processing device has a decryption device.
- the encryption device in the first data processing device preferably encrypts the input request and / or preselection of characters on the basis of at least one identification feature of the second data processing device, which are stored in the first data processing device or received by the second data processing device, so that only this second data processing device is capable to decrypt the prompt and the data contained in it, in particular the pre-selection of characters.
- the preselection of characters is preferably based on the same index key, which has previously or simultaneously been transmitted to the first data processing device.
- the characters on the keyboard of the second data processing device can be displayed and offered for selection on the basis of the index key.
- the coding of the preselection of characters is thus also carried out in the first data processing device with the previously generated unique index key.
- the second data processing device can be, for example, a personal computer or preferably a mobile terminal, such as a mobile phone, smartphone or tablet PC.
- the method furthermore preferably provides for the second data processing device to be identified in the first data processing device, whereby preferably also an identification of the user takes place can.
- the data processing device is a smartphone or mobile phone
- the user can be identified by the smartphone associated with it.
- the identification of the second data processing device preferably takes place in that an identification feature is transmitted from the second data processing device to the first data processing device.
- This can further preferably take place together with the coded character (s), wherein from the input coded characters and the identification feature a uniform code or data set is generated which, as described above, can be decoded in the first data processing device or with a previously formed accordingly there Record can be checked for identity.
- the at least one identification feature of the second data processing device may preferably be the IMEI of the mobile terminal, a telephone number and / or the identification number of a SIM type of the mobile terminal.
- the identification feature particularly preferably forms a combination of several or all of these features, for example a combination of the IMEI, the SIM card identification number and / or the telephone number assigned to the SIM card and thus to the mobile terminal.
- this identification feature is also preferably based on encryption of the data to be transmitted to the terminal, in particular the prompt with a preselection of characters to be entered.
- a multi-digit user identification key is stored in the first data processing device for at least one user and the input request contains the request to input at least one selected location of this user identification key, wherein the second data processing device is assigned to characters of this selected location of the multi-digit user identification key.
- the first data processing device has a selection module, which selects one or more locations for querying or input at the second data processing device from a user identification key with a predetermined number of digits.
- the first data processing device then generates the prompt in such a way that it contains a request to enter these selected locations of the user identification key.
- the individual bodies are preferably assigned preselections of characters, as described above.
- the character pre-selection generation module preferably adds to the character pre-selection the character of the respective location of the stored user identification key and a number of further, randomly selected characters.
- the character pre-selection thus formed thus contains, on the one hand, the correct character to be entered and, on the other hand, a plurality of randomly selected other characters, which, preferably as described above, are transmitted encrypted to the second data processing device together with the prompt.
- the second data processing device decrypts the prompt with the character pre-selection in its decryption module and displays it as a keyboard, for example on a touch-sensitive screen, and the user can then select one of the pre-selection characters for character input.
- the selection of the digits of a multi-digit user identification key could, according to a specific embodiment of the invention, be transferred from the first data processing device to the second data processing device be transmitted anonymously together with the index key.
- the locations of the user identification key can be selected and specified without knowledge of the user or his user identification key. If at the same time a character preselection is to be made, then this can preferably be transmitted independently, for example together with a later transmitted input request.
- the character received by the second data processing device and previously input at the second data processing device is also preferably compared with the selected location of the stored user identification key. If the input character does not match the user identification key character stored at the predetermined location, a transaction or access may be subsequently refused, for example. Alternatively, as stated above, the comparison of a total code may be made.
- the at least one selected location of the user identification key is preferably selected randomly by the first data processing device. More preferably, several of the digits of the user identification key are randomly selected. For example, an eight-digit user identification key may be provided and it may be randomly selected by the first data processing device e.g. B. three digits of this eight-digit key are selected, which are then to be entered at the second data processing device. Particularly preferably, the first data processing device is designed so that each combination of selected locations of the user identification key is used only a predetermined number of times. Thereafter, for example, the user may be requested to deposit a new user identification key.
- the first data processing device has at least two data processing devices connected to one another via a secure data connection, wherein a first data processing device is used for communication with the at least one second data processing device and for this purpose is connected to the second data processing device via the at least one communication link the second data processing device is connected exclusively to the first data processing device for communication and serves for the storage and processing of user data.
- a data processing device for example a server
- the second data processing device thus has no connection to the Internet, but data access is only possible via the first data processing device. This protects the user data against attacks from outside.
- user data and in particular a user identification key, as described above, stored in the second data processing device and processing of this data and in particular a comparison of the user identification key with at least one input to the second data processing device characters can also take place in the second data processing device.
- the first data processing apparatus receives the coded characters input to the second data processing device and decodes them. To check the first data processing device can pass these characters to the second data processing device, which then compares the characters with the stored user identification key or individual points of this key.
- the first data processing device selectively queries individual points of a user identification key which is stored on the second data processing device from the second data processing device and the second data processing device transfers these individual points or the values or characters assigned to these points to the first data processing device.
- This is particularly useful when the first data processing device based on these characters creates a preselection of input characters, as described above. Such is the case in which a previously stored in the first data processing device and in particular their second data processing device password or individual characters of this password is required, because otherwise it can not be ensured that the relevant character is also included in the preselection ,
- the second data processing device and the first data processing device are connected to one another via two separate communication connections.
- This embodiment allows z. B. that the first data processing device sends a registration request to the second data processing device via a first communication link, wherein the second data processing device sends a registration confirmation back to the first data processing device via the second communication link.
- the first communication connection may, for example, be a connection via the Internet, while the second communication connection is a connection via a mobile radio network.
- the registration request which is generated by the first data processing device, may further preferably include the specification of an address to which the second data processing device sends the confirmation back to the first data processing device. This address can be one of several possible addresses.
- lig selected address for example, one of several possible mobile numbers or Internet addresses.
- the selection of several possible addresses can also be used if the first and the second data processing device are connected to each other only via a communication link.
- one of the communication links via a third data processing device, such as an application server, and moreover in this communication path more preferably also be provided an optical data transmission, as described above.
- a second communication connection can be established directly between the first data processing device and the second data processing device, for example via an Internet connection. In this way it is ensured that the registration confirmation can only be sent if the registration request with the address has been previously received.
- the first data processing device is preferably configured such that it only sends the abovementioned input request to the second data processing device when it has received the confirmation of the logon request in the manner described above.
- the login prompt and / or the prompt may be sent directly to the data processing device electronically.
- the logon request may be sent to a PC which displays the logon request in the form of a QR code, which is then scanned by a terminal constituting the second data processing device and further processed in the second data processing device in the manner described above.
- the second data processing ⁇ ungseinrich ⁇ ung is also additionally preferred either via the Internet and / or via another communication link, such.
- an optical scanner such as a camera for detecting a QR code and on the other side a direct Internet and / or or 10 mobile connections.
- the invention further provides a system for securely transmitting at least one character to be selected via a data network.
- the system preferably executes the above-described Verl s drive.
- Verl s drive In this respect, reference is made to the above description with regard to the details of the system.
- the system according to the invention has a data network via which at least a first data processing
- processing device such as a server or a server arrangement
- at least one second data processing device such as at least one mobile terminal are connected to each other.
- a mobile terminal is preferably a smartphone or a personal computer.
- the data network provides a communication
- the first data transmission device has a keyboard module, which is designed to generate a virtual keyboard on a screen of the data processing device.
- the keyboard module may be part of a software program that is executable on the second
- the keyboard module is simultaneously capable of detecting an input or a selection of at least one He is trained on this keyboard. This can be done for example via a touch-sensitive screen or a separate input means, such as a computer mouse or a touchpad.
- the keyboard module is adapted to receive signals from the touch-sensitive screen or other input means and, based on these signals, encodes the inputted character based on a variable index key. For this purpose, the keyboard module is designed to receive such an index key via the communication link.
- the first data processing device has an index key generation module, which is designed to randomly generate a unique index key.
- the index key generation module uses a random number generator, generates an index key for single use in the keyboard module.
- the first data processing device is designed to transmit the index key generated in this way via the communication connection to the second data processing device and in particular to the keyboard module provided there.
- the keyboard module is designed to receive this index key and to use this index key in a subsequent input.
- the keyboard module is preferably designed for sending a character coded with the index key to the first data processing device.
- the first data processing device further preferably has a decryption module for decoding the character on the basis of the previously generated index key.
- the first data processing device is designed and connected to the second data processing device such that it generates an index key without prior identification of the second data processing device and sends it to the second data processing device. This can be done in the manner described above with reference to the method. Further details of the system will become apparent from the above description of the method.
- Fig. 1 shows schematically a data transmission system according to the invention.
- Fig. 2 shows schematically the representation of a keyboard 30 on the screen 32 of a smartphone, and
- Fig. 3 shows schematically the procedure of a method according to the invention for data transmission.
- the system has as central components a first data processing device in the form of an authentication server 2 and a second data processing device in the form of a smartphone 4. According to the invention, these can communicate with one another in order to transmit at least one character entered on the smartphone 4 to the authentication server 2 in a secure manner.
- the system described here is used to query a password.
- the authentication server 2 consists of two data processing devices, the first data processing device is a security server 6, the second data processing device is a confidentiality server 8.
- the confidentiality server 8 serves to store user-specific data, in particular access data, addresses, account numbers, etc.
- the confidentiality server 8 can exclusively use the security server 6 communicate over a secure connection and has no connection to external Networks so that unauthorized access to the data stored on it is not possible.
- the security server 6 is in this example connected to one or more application servers 10 via a data connection 9, which can be established, for example, via a VPN connection on the Internet, in which example only one application server 10 is shown.
- the application server 10 can in turn communicate with a personal computer 14 of a user via a communication link, which in this example is formed by the Internet 12.
- the application server 10 may be, for example, the server of a bank, an Internet shop or the like, in which the user 16 wants to log in via his personal computer 14.
- the mobile telephone or smartphone 4 of the user 1 6 is used in the system according to the invention, on which a corresponding software program, that is, an authentication app is installed.
- the smartphone 4 communicates in this example via a first data connection or communication connection 18 also via the Internet 12 with the security server 6 via a suitable communication interface 20.
- the communication interface 20 may be integrated into the security server 6.
- the system thus formed enables a secure authentication method, as will be described in more detail below with reference to FIG. 3.
- the user data of the user 1 6 are stored on the confidentiality server 8.
- personal data such as name, address, contact details, banking data or the like are stored, but also identification features of the smartphone 4, such as its IMEI, the identification number of the SIM card in the smartphone 4 and / or the telephone number.
- the user calls the page of an online store, for example, on the Internet, he gets to the application server 10.
- the user 16 is displayed a login field, which he in the first step Sl of FIG 3 clicks on the sequence shown.
- the application server 10 then sends a request via the data connection 9 to the authentication server 2, which then starts an authentication session and, in step S2, generates an index key or a character table for the logon process in an index key generation module. This is done according to a random principle, so that a one-time, randomly generated index key or a randomly generated character table, with which characters 4 to be entered later on the smartphone are encrypted, is generated.
- This index key is embedded in a login request S3 generated by the security server 6, which is transmitted via the data connection 9 to the application server 10 and from there via the Internet 12 to the personal computer 14 of the user 16. There it is displayed on the screen 22 of the personal computer 14 as a QR code 24.
- step S4 the user 16 now scans the displayed QR code 24 with the camera 26 of the smartphone 4.
- the QR code 24 with the camera 26 thus provides an optical interface in the communication link between the smartphone 4 via the personal computer 14 Security server 6 dar.
- the registration request S3 could also be sent directly via the Internet 12 to the smartphone 4 and there passed over an electronic interface to the Authentaimssapp.
- Scanning S4 is done from the authentication app.
- the Authentikationsapp thus reads in step S4 the generated index key for the character encoding with the registration request S3 and sends the registration request S3 out a registration confirmation in step S5 via the first communication link 18 to the security server 6.
- the confirmation S5 is an identifier or more Identification features of the smartphone 4 embedded, which as described above, the IMEI, the identification numbers of the SIM card and / or the phone number may be.
- the user 16 or his smartphone 4 is made known to the authentication server 2 only in this step, ie the user is identified, with the user 16 initially remaining anonymous to the application server 10.
- the security server 6 inquires, on the basis of the data now received, at the confidentiality server 8 whether these user identification data and identification features of the smartphone 4 are stored on the confidentiality server 8. If so, it outputs the user data via the data connection 9 to the application server 10 and confirms the login and authentication of the user, which in this case has taken place via the identification features of the smartphone 4.
- the authentication request on the smartphone 4 can be requested with the login request S3 to send the registration confirmation via one of a plurality of randomly selected receive addresses.
- the selection of the receive addresses happens at random in the security server 6 when creating the login request S3.
- the receiving addresses can either be Internet addresses or, for example, different ones Mobile numbers, in which case the registration confirmation S5 would not be sent via the first communication link 18 via the Internet 12, but via a second communication link 28, which takes place via the mobile network, for example as SMS.
- the security server 6 would then additionally check on receipt of the registration confirmation S5 whether it was sent from the smartphone 4 to the previously randomly selected receiving address. If not, the security server 6 would reject the login.
- the user 1 6 is anonymous for the application server 10. Only with the confirmation of registration S5 identifies the user 16.
- the application server 10 opposite the user 16 is only identified when the authentication by the authentication server 2 is done. This ensures that personal data is not output until the user 16 is clearly identified.
- the input of a user identification key, ie user secret or password can be required. This user secret is stored with the personal data of the user 16 on the confidentiality server 8.
- the security server 6 After successful confirmation of registration S5, the security server 6 generates a prompt, for which it first in a first step, one or more, in this case, three randomly selected points of user secret, which in this example has eight digits, queries from the confidentiality server 8. This is done in step S6. By means of this query, the security server 6 becomes aware of the characters of the user secret belonging to the randomly selected locations. On this basis, the security server 6 generates in a pre-selection generation module in step S7, a character preselection for each of the digits. The character preselection contains the character obtained in the query S6 and additionally a number of randomly selected characters. From this generated preselection, the user 16 can later select the character to be entered.
- the preselection generation could also be dispensed with, then entering the user secret would be somewhat less convenient for the user 1 6 since he would have to select from all possible characters, for example all letters and all characters and special characters.
- the preselection is coded with the index key, which was generated in step S2.
- the security server 6 performs encryption of the characters obtained in the query S6 in step S8.
- the encryption of the characters is carried out with the unique index key generated in step S2.
- the security server 6 thus generates a code which has been generated on the basis of the characters requested at the randomly selected positions with the index key.
- This code generated in step S8 by the encryption is first stored on the security server 6.
- an input request which was generated on the security server 6 and into which the preselection of characters generated in step S7 has now been sent, is sent via the communication link 18 to the smartphone 4 or the authentication device activated there.
- the prompt S9 contains the request to enter the previously randomly selected digits of the user secret on the smartphone 4.
- the prompt S9 is preferably encrypted on the basis of the identification feature of the smartphone 4, which the security server 6 has received from the registration confirmation S5 or the query S6, so that only the associated smartphone 4 can decrypt the prompt.
- the Authentaimssapp on the smartphone 4 includes a keyboard module, which represents a virtual keyboard 30 on the touch-sensitive screen 32 of the smartphone 4 in this case. Such a representation is shown by way of example in FIG. 2.
- FIG. 34 There is a schematic representation 34 of the user secret, in which the places to be entered are marked with "?" These are the locations which were selected by the security server 6 at random and with the prompt S9 as a request for input to the smartphone 4
- the virtual keyboard 30 the preselections of characters generated by the security server 6 and transmitted with the prompt S9 are displayed in the form of three scroll fields 36 for each of the positions 38 to be entered, whereby the keyboard module decodes the characters from the displayed preselection of characters, the user selects the character of his user secret corresponding to the digits 38.
- the illustrated keyboard 30 represents a unique keyboard formed by this preselection , where the entered characters m it is directly coded and encrypted with the character table or the index key sent previously in the login request S3.
- the keyboard module encrypts the three selected characters together with this index key so that a one-piece code representing the three characters in the form encrypted with the index key is formed.
- This input which takes place in step S10, is then sent by the Authentactusapp on the smartphone 4 via the communication link 18 to the security server 6.
- the security server 6 compares the code thus received in step Sl 1 with the code generated in the encryption S8. If both agree, the security server 6 issues in step S12 via the data connection 9 a release to the application server 10, via which then, for example, a purchase, a transfer or the like can be released. Ie. Only at this point are then the application server 10, the personal data of the user 1 6 made accessible, ie the user 16 identified the application server 10 against.
- step S8 it would also be possible to individually encrypt the characters entered in the input S10 with the index key and transmit them to the security server S6, where they are then decrypted with the index key and again could be compared with the characters previously interrogated in the query S6, in which case then the release S12 would take place if they match.
- index key S2 is generated once for an entry process and is not used several times. This ensures that the keyboard module that generates the keyboard 30 generates a unique, single-use keyboard, which keyboard makes use of the special character map or index key formed randomly by the security server S6. That is, the encoding of the inputted characters for further processing and transmission is based on this previously randomized key. That is, each entry changes that key, preventing users from logging in via keyloggers or the like. Moreover, in the system proposed here, only individual selected points of an entire user secret are queried, so that the entire user secret would never be transmitted in encrypted form.
- the system is preferably arranged so that the security server 6 only uses a limited number of times each of the possible combinations of locations which are randomly selected for the query and upon reaching this number requests the user to enter a new user secret. This also allows increased security can be achieved. It should be understood, however, that the core idea of the invention to provide a unique keyboard through a randomly-formed index key would also work with the input of all user secret or even with the input of other characters or texts. In this way, for example, texts, such as emails or the like could be transmitted encrypted on the basis of a once generated keyboard with a unique random keyboard table. In principle, the method for the input and transmission of any characters can be used in a secure manner, whereby a key or index key or keyboard table is initially randomly generated by the receiver for transmission and makes this available to the sender for subsequent encryption of the entered characters is provided.
- the identity of the user 16 is kept secret from the application server 10 until the authentication of the user 1 6 has been carried out by the security server 2.
- no personal data of the user 1 6 are issued to issue the registration request. Ie. at this stage of the process, the user 1 6 remains anonymous.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Input From Keyboards Or The Like (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zum sicheren Übertragen zumindest eines auszuwählenden Zeichens über ein Datennetzwerk, welches zumindest eine erste (2) und zumindest eine zweite (4) Datenverarbeitungseinrichtung aufweist, welche über zumindest eine Kommunikationsverbindung (12) miteinander verbunden sind, wobei das Verfahren folgenden Schritte aufweist: Generieren eines einmaligen Indexschlüssels (S2) zum einmaligen Codieren zumindest eines an der zweiten Datenverarbeitungseinrichtung (4) einzugebenden Zeichens, Senden des Indexschlüssels (S2) über die Kommunikationsverbindung (12, 18) von der ersten Datenverarbeitungseinrichtung (2) an die zweite Datenverarbeitungseinrichtung (4), Codieren (S10) eines an der zweiten Datenverarbeitungseinrichtung (4) eingegebenen Zeichens mit dem zuvor empfangenen Indexschlüssel und Senden des mit dem Indexschlüssel codierten Zeichens über die Kommunikationsverbindung (12, 18) von der zweiten Datenverarbeitungseinrichtung (4) an die erste Datenverarbeitungseinrichtung (2) sowie ein zugehöriges System zur Datenübertragung.
Description
Beschreibung
Die Erfindung betrifft ein Verfahren und ein System zum sicheren Übertragen zumindest eines auszuwählenden Zeichens über ein Datennetzwerk. Beispielsweise bei Anmeldevorgängen, Kauf- und/oder Zahlungsvorgängen im Internet ist es häufig erforderlich, ein Passwort oder eine PIN einzugeben. Bei diesen besteht das Problem, dass dieses Passwort bzw. diese PIN dann über eine Datenverbindung, insbesondere über das Internet übertragen wird. Auf diesem Wege besteht prinzipiell die Ge- fahr, dass die eingegebenen Daten, beispielsweise ein Passwort oder PIN, abgefangen werden. Dies kann beispielsweise durch einen sogenannten „Man-in-the-middle"-Angriff oder aber beispielsweise durch auf einen Computer aufgebrachte Schadsoftware, welche die Tastatureingaben mitliest und an Dritte überträgt, geschehen.
Im Hinblick auf diese Problematik ist es Aufgabe der Erfindung, ein Verfahren bereitzustellen, welches eine sichere Übertragung zumindest eines auszuwählenden Zeichens über ein Datennetzwerk ermöglicht, sodass die Gefahr des Mitlesens oder Abfangens des eingegebenen Zei- chens verhindert wird.
Diese Aufgabe wird durch ein Verfahren mit den in Anspruch 1 sowie ein System mit den in Anspruch 21 angegebenen Merkmalen gelöst. Bevorzugte Ausführungsformen ergeben sich aus den Unteransprüchen, der nachfolgenden Beschreibung sowie den beigefügten Figuren. Dabei ist zu verstehen, dass die nachfolgend beschriebenen Merkmale
sowohl für sich allein als auch in Kombination Verwendung finden können.
Das Verfahren ist vorgesehen zur Übertragung zumindest eines auszu- wählenden bzw. von einem Benutzer einzugebenden Zeichens, beispielsweise eines Buchstabens oder einer Zahl über ein Datennetzwerk. Dabei sind erfindungsgemäß eine erste Datenverarbeitungseinrichtung und zumindest eine zweite Datenverarbeitungseinrichtung vorgesehen, zwischen welchen die Kommunikation über das Datennetzwerk, bei- spielsweise das Internet, erfolgt. Die Datenverarbeitungseinrichtungen weisen dazu geeignete Netzwerkschnittstellen, sei es drahtgebunden oder drahtlos, auf. Die zweite Datenverarbeitungseinrichtung ist zur Eingabe des zumindest einen Zeichens, die erste Datenverarbeitungseinrichtung zum Empfang des Zeichens ausgebildet.
Wie beschrieben, kann das einzugebende Zeichen ein alphanumerisches Zeichen sein. Ein Zeichen im Sinne der Erfindung kann jedoch auch ein beliebiger anderer Datensatz sein, beispielsweise eine Bilddatei, ein eingescannter Fingerabdruck, ein Irisscan oder ähnliches. Es las- sen sich beliebige Datensätze in der nachfolgend beschriebenen Weise mit dem beschriebenen Indexschlüssel einmalig codieren. Das einzugebende Zeichen kann unmittelbar vor der bzw. während der Codierung eingegeben werden. Es ist jedoch auch möglich, ein zuvor in der zweiten Datenverarbeitungseinrichtung gespeichertes Zeichen bzw. einen gespeicherten Zeichensatz mit dem beschriebenen Indexschlüssel einmalig zu codieren.
Erfindungsgemäß ist es vorgesehen, den Indexschlüssel bzw. die Zeichentabelle, mit welchen die an dem zweiten Datenverarbeitungsge- rät bzw. der zweiten Datenverarbeitungseinrichtung eingegebenen Zeichen, welche über das Datennetzwerk übertragen werden sollen, codiert bzw. verschlüsselt werden, so zu ändern, dass für jede Übertra-
gung ein einmaliger Schlüssel bzw. eine einmalige Zeichenzuordnung Verwendung findet. Ein solches System hat den Vorteil, dass praktisch eine lediglich einmalig zu gebrauchende Tastatur auf der zweiten Datenverarbeitungseinrichtung erzeugt wird, da bei jeder Dateneingabe ein anderer Indexschlüssel bzw. eine andere Tabelle zur Codierung der eingegebenen Zeichen und damit eine anders codierte Tastatur verwendet wird. Insofern ist es nicht mehr möglich, Zeichen auf einfache Weise abzufangen oder mitzuschneiden, da jedes Mal ein neuer Indexschlüssel bekannt sein müsste, um das eingegebene Zeichen auslesen zu können.
Zur Durchführung des Verfahrens wird ein einmal zu verwendender Indexschlüssel bzw. eine einmal zu verwendende Zeichentabelle zum einmaligen Codieren zumindest eines an der zweiten Datenverarbei- tungseinrichtung einzugebenden Zeichens generiert. Für den Fall, dass mehrere Zeichen gleichzeitig oder in einem Eingabevorgang eingegeben werden sollen, wird vorzugsweise für diese Eingabe derselbe Indexschlüssel bzw. dieselbe Tabelle verwendet. Das Generieren des Indexschlüssels erfolgt vorzugsweise in einem Indexschlüsselerzeugungs- modul, welches beispielsweise als Softwareapplikation realisiert werden kann und bevorzugt in die erste Datenverarbeitungseinrichtung integriert sein kann. So wird der Indexschlüssel bevorzugt in der ersten Datenverarbeitungseinrichtung, welche beispielsweise einen Standard Personal Computer oder Server umfassen kann, generiert.
Im nächsten Schritt wird über die Kommunikationsverbindung der erzeugte Indexschlüssel von der ersten Datenverarbeitungseinrichtung an die zweite Datenverarbeitungseinrichtung gesendet. Das heißt, die erste Datenverarbeitungseinrichtung, welche das an der zweiten Daten- Verarbeitungseinrichtung einzugebende Zeichen empfangen soll, teilt der zweiten Datenverarbeitungseinrichtung zunächst den Indexschlüssel mit, mit welchem die Zeichen codiert werden sollen. Anschließend
kann nach z. B. bei Empfang einer Eingabeaufforderung an der zweiten Datenverarbeitungseinrichtung das zumindest eine Zeichen oder vorzugsweise mehrere Zeichen eingegeben werden, wobei die eingegebenen Zeichen dann vorzugsweise direkt und unmittelbar mit dem empfangenen Indexschlüssel codiert werden. Wie vorangehend beschrieben, muss es sich bei dem Zeichen nicht um ein alphanumerisches Zeichen handeln, sondern es kann sich beispielsweise auch um ein Bild, einen eingescannten Fingerabdruck oder ähnliches handeln. Anschließend werden die so codierten Zeichen dann über die ommu- nikationsverbindung von der zweiten Datenverarbeitungseinrichtung an die erste Datenverarbeitungseinrichtung übersandt. Für eine erneute Eingabe von Daten bzw. Zeichen an der zweiten Datenverarbeitungseinrichtung wäre dann diese Prozedur vorzugsweise erneut zu beginnen, das heißt es würde wiederum ein neuer Indexschlüssel generiert und an die zweite Datenverarbeitungseinrichtung übertragen, sodass jeder Indexschlüssel stets nur für einen Eingabevorgang bis zur Übertragung an die erste Datenverarbeitungseinrichtung genutzt wird. So können laufend andere Indexschlüssel bzw. Codierungen der einzugebenden Zeichen verwendet werden, sodass ein Auslesen der Tastaturein- gaben nicht mehr ohne weiteres möglich ist. Es wird somit praktisch für jede Eingabe bzw. Übertragung eine neue Tastatur bzw. ein Schlüssel mit einer individuellen einmaligen Zeichencodierung bzw. ein Indexschlüssel für die Zeichencodierung bereitgestellt. Die Übertragung des Indexschlüssels von der ersten Datenverarbeitungseinrichtung an die zweite Datenverarbeitungseinrichtung kann in einem separaten Datenübertragungsvorgang erfolgen.
Vorzugsweise erfolgt das Senden des Indexschlüssels von der ersten Datenverarbeitungseinrichtung an die zweite Datenverarbeitungseinrich- tung, bevor sich die zweite Datenverarbeitungseinrichtung gegenüber der ersten Datenverarbeitungseinrichtung identifiziert. D. h. der Indexschlüssel wird anonym an die zweite Datenverarbeitungseinrichtung
übertragen. Dies bietet eine zusätzliche Sicherheit, da so der Indexschlüssel keinem Nutzer und keiner speziellen Datenverarbeitungseinrichtung zugeordnet werden kann. Bevorzugt wird der Indexschlüssel erst dann mit benutzerspezifischen Informationen verknüpft, wenn es tatsächlich erforderlich ist, nämlich bei der Eingabe der zu kodierenden Zeichen. Ein weiterer Vorteil der anonymen Übertragung des Indexschlüssels ist der, dass es so ohne Beeinträchtigung der Sicherheit möglich ist, den Indexschlüssel nicht direkt an die zweite Datenübertragungseinrichtung zu übertragen, sondern beispielsweise über eine zwi- schengeschaltete dritte Datenübertragungseinrichtung, welche beispielsweise ein fremdes Server- oder Rechnersystem sein kann. So kann der Indexschlüssel dort beispielsweise dem Nutzer zum Download auf eine zweite Datenverarbeitungseinrichtung angeboten werden. Bevorzugt erfolgt die Übertragung während einer Anmeldeaufforderung von der ersten Datenverarbeitungseinrichtung an die zweite Datenverarbeitungseinrichtung, mit welcher die zweite Datenverarbeitungseinrichtung aufgefordert wird, sich zu identifizieren und bei der ersten Datenverarbeitungseinrichtung anzumelden. Durch diese An- meidung wird der ersten Datenverarbeitungseinrichtung die zweite Datenverarbeitungseinrichtung bekannt bzw. diese identifiziert, sodass dann bevorzugt im nächsten Schritt eine Eingabeaufforderung an die zweite Datenverarbeitungseinrichtung gesendet wird, mit welcher diese veranlasst wird, einen Nutzer zur Eingabe bzw. zur Auswahl des zumin- dest einen Zeichens aufzufordern. Anstatt den Indexschlüssel separat oder mit der Anmeldeaufforderung zu übertragen, wäre auch eine Übertragung direkt mit der Eingabeaufforderung möglich. Bevorzugt wird er jedoch zuvor übertragen, da so mit Hilfe des zuvor übertragenen Indexschlüssels auch Zeichen, welche mit der Eingabeaufforderung an die zweite Datenverarbeitungseinrichtung gesendet werden, von letzterer dekodiert werden können. Besonders bevorzugt kann der Anmelde- und der Eingabevorgang kombiniert werden, d. h. es kann ein für
die Anmeldung erforderliches Idenfifizierungsmerkmal gleichzeitig mit den eingegebenen Zeichen von der zweiten Datenverarbeitungseinrichtung an die erste Datenverarbeitungseinrichtung übertragen werden. Ferner könnten auch die Eingabeaufforderung und die Anmelde- aufforderung ein kombinierter Befehl sein. Das Identifizierungsmerkmal und die eingegebenen Zeichen werden besonders bevorzugt gemeinsam verschlüsselt in einem einheitlichen Datensatz an die zweite Datenverarbeitungseinrichtung übertragen. Wenn der Indexschlüssel, wie vorangehend beschrieben, anonym an die zweite Datenverarbeitungseinrichtung übertragen wird, ist somit der zweiten Datenverarbeitungseinrichtung der Nutzer bzw. das Identifizierungsmerkmal der zweiten Datenverarbeitungseinrichtung nicht bekannt, bis es die Identifizierungsmerkmale und die eingegebenen Zei- chen empfängt.
Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung erfolgt die Übertragung des Indexschlüssels von der ersten Datenverarbeitungseinrichtung zu der zweiten Datenverarbeitungseinrichtung in zu- mindest einem Abschnitt des Übertragungsweges in Form eines von der zweiten Datenverarbeitungseinrichtung auslesbaren optischen Codes. Ein solcher Code kann beispielsweise ein QR- oder Strichcode sein. Ein solcher Code kann den Indexschlüssel und beispielsweise gleichzeitig eine Anmeldeaufforderung enthalten, wobei diese auch durch den Indexschlüssel selber gebildet werden könnte. Wenn die zweite Datenverarbeitungseinrichtung, wie unten ausgeführt, vorzugsweise ein mobiles Kommunikationsgerät ist, kann ein solcher optisch auslesbarer Code auf dem Bildschirm eines Computersystems, welches über das Internet mit der ersten Datenverarbeitungseinrichtung verbunden ist, zur Anzei- ge gebracht werden und dann über eine Kamera an dem mobilen Kommunikationsgerät, beispielsweise einem Mobiltelefon, ausgelesen werden und so auf das mobile Kommunikationsgerät, welches die zwei-
†e Da†enverarbei†ungseinrich†ung bildet, übertragen werden. Dies hat den Vorteil der einfachen Handhabung für den Nutzer. Darüber hinaus bildet der Übertragungsweg über eine solche optische Schnittstelle eine zusätzliche Sicherheit, da die dort übertragenen Daten schwer von au- ßen abzufangen sind.
Gemäß einer weiteren bevorzugten Ausführungsform wird der Indexschlüssel von der ersten Datenverarbeitungseinrichtung zunächst an eine dritte Datenverarbeitungseinrichtung übertragen und anschlie- ßend von der dritten Datenverarbeitungseinrichtung an die zweite Datenverarbeitungseinrichtung übertragen. Die dritte Datenübertragungseinrichtung kann beispielsweise ein Serversystem eines Dienstanbieters im Internet sein, welcher zum Zwecke der Authentifizierung der zweiten Datenverarbeitungseinrichtung auf die Dienste der ersten Da- tenverarbeitungseinrichtung zugreift. Hierzu kann die dritte Datenverarbeitungseinrichtung bei der ersten Datenverarbeitungseinrichtung einen Authentifizierungsvorgang anfordern, woraufhin die erste Datenverarbeitungseinrichtung der dritten Datenverarbeitungseinrichtung den Indexschlüssel und gegebenenfalls eine Anmeldeaufforderung als codiertes Signal sendet, welches dann von der dritten Datenverarbeitungseinrichtung an die zweite Datenverarbeitungseinrichtung übertragen werden kann. Dies kann beispielsweise dadurch geschehen, dass die dritte Datenverarbeitungseinrichtung den zu übertragenden Code auf einem Monitor bzw. einer anderen geeigneten Anzeigeeinrichtung eines dem Nutzer zur Verfügung stehenden Computersystems optisch zur Anzeige bringt und der Nutzer dort den Code dann mit der ihm zur Verfügung stehenden zweiten Datenverarbeitungseinrichtung, beispielsweise einem mobilen Kommunikationsgerät einscannt. Dazu kann beispielsweise eine in der zweiten Datenverarbeitungseinrichtung vor- handene Kamera genutzt werden. Wenn, wie oben beschrieben, die Übertragung des Indexschlüssels anonym erfolgt, hat dies den Vorteil, dass der dritten Datenverarbeitungseinrichtung für diesen Anmeldevor-
gang keine Identifizierungsmerkmale des Nutzers oder der zweiten Datenverarbeitungseinrichtung zur Verfügung stehen müssen, sodass eine zusätzliche Sicherheit gegen unerwünschtes Abgreifen dieser Merkmale besteht. Der dritten Datenverarbeitungseinrichtung werden die erfor- derlichen Identifizierungsmerkmale des Nutzers bevorzugt erst dann von der ersten Datenverarbeitungseinrichtung zur Verfügung gestellt, wenn die erste Datenverarbeitungseinrichtung den Nutzer erfolgreich authentifiziert hat. Weiter bevorzugt wird das zumindest eine mit dem Indexschlüssel kodierte Zeichen von der zweiten Datenverarbeitungseinrichtung an die erste Datenverarbeitungseinrichtung ohne Kontakt zu der dritten Datenverarbeitungseinrichtung bzw. unabhängig von dieser übertragen. D. h. der Kommunikationsweg zur Übertragung des mit dem Index- Schlüssel kodierten Zeichens läuft nicht über die dritte Datenverarbeitungseinrichtung, sondern direkt von der ersten Datenverarbeitungseinrichtung zu der zweiten Datenverarbeitungseinrichtung. So wird sichergestellt, dass personenbezogene Daten oder Identifizierungsmerkmale der zweiten Datenverarbeitungseinrichtung zu diesem Zeitpunkt der dritten Datenverarbeitungseinrichtung nicht bekannt werden.
Vorzugsweise wird das zumindest eine Zeichen an der zweiten Datenverarbeitungseinrichtung über eine Tastatur eingegeben und direkt bei der Eingabe mit dem zuvor empfangenen Indexschlüssel codiert. Auf diese Weise wird sichergestellt, dass mit der zweiten Datenverarbeitungseinrichtung nicht zwischen der Eingabe des Zeichens und der Codierung ein Auslesen des Zeichens möglich ist. Bei der Tastatur handelt es sich bevorzugt um eine virtuelle Tastatur, welche beispielsweise auf einem Bildschirm, insbesondere einem berührungsempfindlichen Bild- schirm dargestellt wird. Dazu ist in der zweiten Datenverarbeitungseinrichtung bevorzugt ein Tastaturmodul, insbesondere in Form eines entsprechenden Softwareprogrammes, integriert, welches diese Tastatur
zur Darstellung bringt, Eingaben an der Tastatur erfasst und direkt mit dem zuvor empfangenen Indexschlüssel codiert. Es wird somit bevorzugt keine Standardtastatur der Datenverarbeitungseinrichtung, wie eine feste mechanische Tastatur oder eine Standardsoftwaretastatur verwendet. Unter Tastatur im Sinne der Erfindung wird jede Eingabeeinrichtung verstanden, über welche zumindest ein Zeichen eingegeben oder aus vorgegebenen Zeichen ausgewählt werden kann. Dies muss keine Anordnung im Sinne einer herkömmlichen Schreibmaschinentastatur sein, vielmehr können auszuwählende Zeichen auch anders, bei- spielsweise in Form von Scroll-Rädern dargestellt werden. Darüber hinaus muss es sich bei den über die Tastatur einzugebenden Zeichen wie beschrieben nicht um alphanumerische Zeichen handeln. Es können beispielsweise auch beliebige Bilder ausgewählt werden. Darüber hinaus könnte ein Zeichen beispielsweise auch ein einzuscannendes Bild, insbesondere eines Fingerabdruckes oder ein Irisscan sein, welche nach der Erfassung mit dem Indexschlüssel codiert werden.
Besonders bevorzugt wird der Indexschlüssel nach einem Zufallsprinzip generiert. Dazu kann das Indexschlüsselerzeugungsmodul einen Zufalls- generator beinhalten. So wird sichergestellt, dass zufällig stets ein einmaliger, nur einmal zu gebrauchender Indexschlüssel erzeugt wird.
Gemäß einer weiteren bevorzugten Ausgestaltung des Verfahrens wird in der ersten Datenverarbeitungseinrichtung das von der zweiten Da- tenverarbeitungseinrichtung empfangene Zeichen mit dem einmaligen, zuvor mit der Eingabeaufforderung an die zweite Datenverarbeitungseinrichtung gesendeten Indexschlüssel decodiert. So kann in der ersten Datenverarbeitungseinrichtung dann das Zeichen wieder ausgelesen werden und weiterverarbeitet werden, beispielsweise um es mit einem zuvor gespeicherten Passwort oder Identifikationselement oder einen Teil eines zuvor gespeicherten Passwortes auf Richtigkeit zu vergleichen. Die erste Datenverarbeitungseinrichtung enthält dazu vor-
zugsweise ein Entschlüsselungsmodul, welches das empfangene Zeichen entsprechend entschlüsselt. So kann das Zeichen dann in der ersten Datenverarbeitungseinrichtung weiter verarbeitet werden, beispielsweise im Falle eines Passwortes mit dem dort hinterlegten Passwort verglichen werden.
Für den Fall, dass die Zeicheneingabe als Passworteingabe oder als Eingabe von zu überprüfenden Zugangsdaten vorgesehen ist, kann in der ersten Datenverarbeitungseinrichtung vorzugsweise unter Verwen- dung des Indexschlüssels mit den vorgegebenen bekannten abzufragenden Zeichen bzw. Zugangsdaten zunächst ein Code generiert werden. Wie vorangehend beschrieben, muss es sich bei den Zugangsdaten nicht um alphanumerische Zeichen handeln. Vielmehr kann es sich um einen beliebigen Datensatz handeln. Auch ein solcher Datensatz wird als Zeichen im Sinne der vorangehenden und nachfolgenden Beschreibung verstanden. In der zweiten Datenverarbeitungseinrichtung wird dann basierend auf dem oder den vom Nutzer eingegebenen Zeichen unter Zuhilfenahme des zuvor empfangenen Indexschlüssels ebenfalls ein Code generiert, welcher an die erste Datenverarbei- tungseinrichtung übertragen wird. In dieser wird dann dieser Code mit dem zuvor generierten Code verglichen. Insofern ist eine Entschlüsselung des übertragenen Datensatzes in der ersten Datenverarbeitungseinrichtung nicht mehr erforderlich. Das heißt, erfindungsgemäß kann das in der zweiten Datenverarbeitungseinrichtung eingegebene Zei- chen nicht nur alleine, sondern gleichzeitig mit mehreren eingegebenen Zeichen codiert werden, sodass nur ein Gesamtcode übertragen wird, welcher dann in seiner Gesamtheit der ersten Datenverarbeitungseinrichtung mit einem zuvor generierten Code verglichen werden kann.
Gemäß einer weiteren bevorzugten Verfahrensvariante wird in der ersten Datenverarbeitungseinrichtung eine Vorauswahl auswählbarer Zei-
chen getroffen und an die zweite Datenverarbeitungseinrichtung übertragen, wobei die zweite Datenverarbeitungseinrichtung die Vorauswahl auf einer Tastatur zur Anzeige bringt. Die erste Datenverarbeitungseinrichtung hat dazu ein Zeichenvorauswahlerzeugungsmodul, welches bevorzugt so ausgebildet ist, dass es in der Vorauswahl zum einen gezielt vorbestimmte Zeichen einfügen kann und/oder zum anderen Zeichen zufällig generieren kann und in die Vorauswahl aufnehmen kann. Soll beispielsweise ein Passwort bzw. Nutzergeheimnis eingegeben werden, so enthält die Vorauswahl auf jeden Fall das richtige einzugebende Zeichen, welches in der ersten Datenverarbeitungseinrichtung hinterlegt ist, und zusätzlich eine Anzahl zufällig ausgewählter anderer Zeichen. Durch eine solche Vorauswahl von Zeichen kann die Zahl von Zeichen, aus welchen der Nutzer auszuwählen hat, reduziert werden, da beispielsweise nicht das gesamte Alphabet und alle zehn Ziffern zur Auswahl angeboten werden müssen. Dadurch wird die Eingabe des Zeichens für den Nutzer vereinfacht. Sollen andere Zeichen zu anderen Zwecken eingegeben werden, können in geeigneter Weise in der Vorauswahl nur solche Zeichen enthalten sein, welche prinzipiell eingegeben werden können, beispielsweise nur Ziffern, nur Großbuch- staben etc. Die getroffene Vorauswahl von Zeichen wird bevorzugt mit der oben genannten Eingabeaufforderung von der ersten Datenverarbeitungseinrichtung an die zweite Datenverarbeitungseinrichtung gesendet, während der Indexschlüssel bevorzugt bereits zuvor übertragen wurde, beispielsweise mit einer Anmeldeaufforderung. Dies hat den Vorteil, dass die Übertragung des Indexschlüssels, wie oben beschrieben, anonym erfolgen kann, ohne dass dem System zu diesem Zeitpunkt der Nutzer bekannt ist.
Wie oben beschrieben, wird der Indexschlüssel, mit welchem die Zei- chen verschlüsselt werden, bevorzugt vorab unabhängig von der Eingabeaufforderung übertragen. Die Eingabeaufforderung und gegebenenfalls die genannte Vorauswahl auswählbarer Zeichen werden vor-
zugsweise verschlüsselt von der ersten Datenverarbeitungseinrichtung an die zweite Datenverarbeitungseinrichtung übertragen, wozu die erste Datenübertragungseinrichtung eine Verschlüsselungseinrichtung und die zweite Datenverarbeitungseinrichtung eine Entschlüsselungseinrich- tung aufweisen. Die Verschlüsselungseinrichtung in der ersten Datenverarbeitungseinrichtung verschlüsselt die Eingabeaufforderung und/oder Vorauswahl von Zeichen vorzugsweise auf Grundlage zumindest eines Identifikationsmerkmales der zweiten Datenverarbeitungseinrichtung, welche in der ersten Datenverarbeitungseinrichtung hinterlegt sind oder von der zweiten Datenverarbeitungseinrichtung empfangen werden, sodass nur genau diese zweite Datenverarbeitungseinrichtung in der Lage ist, die Eingabeaufforderung und die in dieser enthaltenen Daten, insbesondere die Vorauswahl von Zeichen zu entschlüsseln. Der Vorauswahl von Zeichen ist darüber hinaus vorzugsweise derselbe In- dexschlüssel zugrunde gelegt, welcher zuvor oder gleichzeitig an die erste Datenverarbeitungseinrichtung übertragen worden ist. So können basierend auf einem mit der Eingabeaufforderung übertragenen Datensatz, welcher die Vorauswahl der Zeichen in codierter Form enthält, unter Zugrundelegung des Indexschlüssels die Zeichen auf der Tastatur der zweiten Datenverarbeitungseinrichtung zur Anzeige gebracht und zur Auswahl angeboten werden. Die Codierung der Vorauswahl von Zeichen erfolgt somit in der ersten Datenverarbeitungseinrichtung ebenfalls mit dem zuvor generierten einmaligen Indexschlüssel. Die zweite Datenverarbeitungseinrichtung kann beispielsweise ein Personal Computer oder vorzugsweise ein mobiles Endgerät, wie beispielsweise ein Handy, Smartphone oder Tablet-PC sein.
Neben der Kodierung eines einzugebenden Zeichens sieht das Verfah- ren weiter bevorzugt vor, dass die zweite Datenverarbeitungseinrichtung sich bei der ersten Datenverarbeitungseinrichtung identifiziert, wodurch vorzugsweise auch eine Identifizierung des Nutzers erfolgen
kann. Wenn beispielsweise die Da†enverarbei†ungseinrich†ung ein Smartphone oder Handy ist, kann der Nutzer über dieses ihm zugeordnete Smartphone identifiziert werden. Die Identifizierung der zweiten Datenverarbeitungseinrichtung erfolgt bevorzugt dadurch, dass ein Identifizierungsmerkmal von der zweiten Datenverarbeitungseinrichtung an die erste Datenverarbeitungseinrichtung übertragen wird. Dies kann weiter bevorzugt gemeinsam mit dem oder den kodierten Zeichen geschehen, wobei aus den eingegebenen kodierten Zeichen und dem Identifizierungsmerkmal ein einheitlicher Code oder Datensatz generiert wird, welcher, wie oben beschrieben, in der ersten Datenverarbeitungseinrichtung dekodiert werden kann oder mit einem dort zuvor entsprechend gebildeten Datensatz auf Identität geprüft werden kann.
Das zumindest eine Identifizierungsmerkmal der zweiten Datenverarbei- tungseinrichtung kann vorzugsweise die IMEI des mobilen Endgerätes, eine Telefonnummer und/oder die Identifikationsnummer einer SIM- arte des mobilen Endgerätes sein. Besonders bevorzugt bildet das Identifizierungsmerkmal eine Kombination mehrerer oder aller dieser Merkmale, beispielsweise eine Kombination der IMEI, der SIM-Karten Identifikationsnummer und/oder der Telefonnummer, welche der SIM- Karte und damit dem mobilen Endgerät zugeordnet ist. So kann das mobile Endgerät eindeutig identifiziert werden. Vorzugsweise wird dieses Identifizierungsmerkmal, wie oben dargelegt, darüber hinaus einer Verschlüsselung der an das Endgerät zu übertragenden Daten, insbe- sondere der Eingabeaufforderung mit einer Vorauswahl einzugebender Zeichen zugrunde gelegt.
Gemäß einer weiteren bevorzugten Ausgestaltung des Verfahrens ist in der ersten Datenverarbeitungseinrichtung für zumindest einen Nutzer ein mehrstelliger Nutzeridentifikationsschlüssel hinterlegt und die Eingabeaufforderung enthält die Aufforderung zur Eingabe zumindest einer ausgewählten Stelle dieses Nutzeridentifikationsschlüssels, wobei das an
der zweiten Datenverarbeitungseinrichtung eingegebene Zeichen dieser ausgewählten Stelle des mehrstelligen Nutzeridentifikationsschlüssels zugeordnet wird. Das heißt, die erste Datenverarbeitungseinrichtung weist ein Auswahlmodul auf, welches aus einem Nutzeridentifikations- Schlüssel mit vorgegebener Stellenzahl eine oder mehrere Stellen zur Abfrage bzw. Eingabe an der zweiten Datenverarbeitungseinrichtung auswählt. Anschließend generiert die erste Datenverarbeitungseinrichtung die Eingabeaufforderung in der Weise, dass sie eine Aufforderung zur Eingabe dieser ausgewählten Stellen des Nutzeridentifikationsschlüs- sels enthält. Dabei werden den einzelnen Stellen vorzugweise Vorauswahlen von Zeichen zugeordnet, wie sie oben beschrieben wurden. Dazu fügt das Zeichenvorauswahlerzeugungsmodul vorzugsweise der Zeichenvorauswahl das Zeichen der jeweiligen Stelle des hinterlegten Nutzeridentifikationsschlüssels und eine Anzahl weiterer, zufällig ausge- wählter Zeichen hinzu. Die so gebildete Zeichenvorauswahl enthält somit zum einen das richtige einzugebende Zeichen, zum anderen eine Mehrzahl zufällig ausgewählter anderer Zeichen, welche, vorzugsweise wie oben dargelegt, verschlüsselt an die zweite Datenverarbeitungseinrichtung zusammen mit der Eingabeaufforderung übertragen werden. Die zweite Datenverarbeitungseinrichtung entschlüsselt die Eingabeaufforderung mit der Zeichenvorauswahl in ihrem Entschlüsselungsmodul und bringt sie als Tastatur, beispielsweise auf einem berührungsempfindlichen Bildschirm, zur Anzeige und der Nutzer kann zur Zeicheneingabe dann eines der Zeichen aus der Vorauswahl auswählen. Dieses wird dann, wie oben beschrieben, mit dem einmaligen Indexschlüssel codiert von der zweiten Datenverarbeitungseinrichtung zurück an die erste Eingabeeinrichtung übersandt. Dabei kann zusätzlich wiederum eine Verschlüsselung mit den Identifikationsmerkmalen der zweiten Datenverarbeitungseinrichtung erfolgen. Die Auswahl der einzugebenden Stellen eines mehrstelligen Nutzeridentifikationsschlüssels könnte gemäß einer speziellen Ausführungsform der Erfindung von der ersten Datenverarbeitungseinrichtung an die zweite Datenverarbeitungseinrichtung
gemeinsam mit dem Indexschlüssel anonym übertragen werden. Die Stellen des Nutzeridentifikationsschlüssels können ohne Kenntnis des Nutzers bzw. dessen Nutzeridentifikationsschlüssels ausgewählt und vorgegeben werden. Soll gleichzeitig eine Zeichenvorauswahl getroffen werden, so kann diese bevorzugt unabhängig übertragen werden, beispielsweise gemeinsam mit einer später übertragenen Eingabeaufforderung.
In der ersten Datenverarbeitungseinrichtung wird weiter bevorzugt das von der zweiten Datenverarbeitungseinrichtung empfangene, zuvor an der zweiten Datenverarbeitungseinrichtung eingegebene Zeichen mit der ausgewählten Stelle des hinterlegten Nutzeridentifikationsschlüssels verglichen. Wenn das eingegebene Zeichen mit dem an der vorgegebenen Stelle hinterlegten Zeichen des Nutzeridentifikationsschlüssels nicht übereinstimmt, kann beispielsweise nachfolgend eine Transaktion oder ein Zugang verweigert werden. Alternativ kann, wie oben ausgeführt, der Vergleich eines Gesamtcodes erfolgen.
Die zumindest eine ausgewählte Stelle des Nutzeridentifikationsschlüs- sels wird von der ersten Datenverarbeitungseinrichtung bevorzugt nach einem Zufallsprinzip ausgewählt. Besonders bevorzugt werden mehrere der Stellen des Nutzeridentifikationsschlüssels zufällig ausgewählt. Beispielsweise kann ein achtstelliger Nutzeridentifikationsschlüssel vorgesehen sein und es können nach dem Zufallsprinzip von der ersten Daten- Verarbeitungseinrichtung z. B. drei Stellen dieses achtstelligen Schlüssels ausgewählt werden, welche dann an der zweiten Datenverarbeitungseinrichtung einzugeben sind. Besonders bevorzugt ist die erste Datenverarbeitungseinrichtung dabei so ausgebildet, dass jede Kombination ausgewählter Stellen des Nutzeridentifikationsschlüssels nur eine vorbe- stimmte Anzahl von Malen verwendet wird. Danach kann beispielsweise der Nutzer zur Hinterlegung eines neuen Nutzeridentifikationsschlüssels aufgefordert werden.
Gemäß einer weiteren bevorzugten Verfahrensvariante weist die erste Datenverarbeitungseinrichtung zumindest zwei über eine sichere Datenverbindung miteinander verbundene Datenverarbeitungsgeräte auf, wobei ein erstes Datenverarbeitungsgerät zur Kommunikation mit der zumindest einen zweiten Datenverarbeitungseinrichtung dient und zu diesem Zweck über die zumindest eine Kommunikationsverbindung mit der zweiten Datenverarbeitungseinrichtung verbunden ist, während das zweite Datenverarbeitungsgerät ausschließlich mit dem ersten Datenverarbeitungsgerät zur Kommunikation verbunden ist und der Spei- cherung und Verarbeitung von Nutzerdaten dient. Diese technische Ausgestaltung hat den Vorteil, dass die Nutzerdaten nicht auf einem Datenverarbeitungsgerät, beispielsweise einem Server, gespeichert sind, welcher Zugang zu einer Kommunikationsverbindung zu weiteren, insbesondere beliebigen Datenverarbeitungseinrichtungen aufweist. Insbesondere weist das zweite Datenverarbeitungsgerät somit keinerlei Verbindung zum Internet auf, vielmehr ist ein Datenzugriff nur über das erste Datenverarbeitungsgerät möglich. So sind die Nutzerdaten gegen Angriffe von außen gesichert. Bevorzugt sind Nutzerdaten und insbesondere ein Nutzeridentifikationsschlüssel, wie er beispielsweise oben beschrieben wurde, in dem zweiten Datenverarbeitungsgerät gespeichert und eine Verarbeitung dieser Daten und insbesondere ein Vergleich des Nutzeridentifikationsschlüssels mit zumindest einem an der zweiten Datenverarbeitungseinrichtung eingegebenen Zeichen kann ebenfalls in dem zweiten Datenverarbeitungsgerät stattfinden. Das erste Datenverarbeitungsgerät empfängt dazu, wie oben beschrieben, die codierten, an der zweiten Datenverarbeitungseinrichtung eingegebenen Zeichen und decodiert diese. Zur Überprüfung kann das erste Datenverarbeitungsgerät diese Zeichen an das zweite Datenverarbeitungsgerät übergeben, welches die Zeichen dann mit dem hinterlegten Nutzeridentifikationsschlüssel bzw. einzelnen Stellen dieses Schlüssels vergleicht. Alternativ ist es besonders bevorzug,
dass das erste Datenverarbeitungsgerät gezielt einzelne Stellen eines Nutzeridentifikationsschlüssels, welcher auf dem zweiten Datenverarbeitungsgerät gespeichert ist, von dem zweiten Datenverarbeitungsgerät abfragt und das zweite Datenverarbeitungsgerät diese einzelnen Stel- len bzw. die diesen Stellen zugeordneten Werte oder Zeichen an das erste Datenverarbeitungsgerät übergibt. Dies ist insbesondere dann sinnvoll, wenn das erste Datenverarbeitungsgerät auf Grundlage dieser Zeichen eine Vorauswahl eingebbarer Zeichen erstellt, wie es oben beschrieben wurde. Eine solche ist im Fall, dass ein zuvor in der ersten Da- tenverarbeitungseinrichtung und insbesondere deren zweiten Datenverarbeitungsgerät hinterlegtes Passwort oder einzelne Zeichen dieses Passwortes eingegeben werden soll, erforderlich, da andernfalls nicht sichergestellt werden kann, dass in der Vorauswahl das betreffende Zeichen auch enthalten ist.
Gemäß einer besonders bevorzugten Variante des erfindungsgemäßen Verfahrens sind die zweite Datenverarbeitungseinrichtung und die erste Datenverarbeitungseinrichtung über zwei getrennte Kommunikationsverbindungen miteinander verbunden. Diese Ausgestaltung ermöglicht es z. B., dass die erste Datenverarbeitungseinrichtung eine Anmeldeaufforderung an die zweite Datenverarbeitungseinrichtung über eine erste Kommunikationsverbindung sendet, wobei die zweite Datenverarbeitungseinrichtung eine Anmeldebestätigung zurück an die erste Datenverarbeitungseinrichtung über die zweite Kommunikationsverbindung sendet. Die erste Kommunikationsverbindung kann beispielsweise eine Verbindung über das Internet sein, während die zweite Kommunikationsverbindung eine Verbindung über ein Mobilfunknetz ist. Die Anmeldeaufforderung, welche von der ersten Datenverarbeitungseinrichtung generiert wird, kann weiter bevorzugt die Angabe einer Adresse enthal- ten, an welche von der zweiten Datenverarbeitungseinrichtung die Bestätigung zurück an die erste Datenverarbeitungseinrichtung gesendet wird. Diese Adresse kann eine aus mehreren möglichen Adressen zufäl-
lig ausgewählte Adresse sein, beispielsweise eine von mehreren möglichen Mobilfunknummern oder Internetadressen. Die Auswahl mehrerer möglicher Adressen kann auch Verwendung finden, wenn die erste und die zweite Datenverarbeitungseinrichtung lediglich über eine Kommunikationsverbindung miteinander verbunden sind. Gemäß einer besonderen Ausführungsform der Erfindung kann, wie oben beschrieben, eine der Kommunikationsverbindungen über eine dritte Datenverarbeitungseinrichtung, wie einen Anwendungsserver, erfolgen und darüber hinaus in diesem Kommunikationsweg weiter bevorzugt auch noch eine optische Datenübertragung vorgesehen sein, wie sie oben beschrieben wurde. Eine zweite Kommunikationsverbindung kann hingegen direkt zwischen der ersten Datenverarbeitungseinrichtung und der zweiten Datenverarbeitungseinrichtung, beispielsweise über eine Internetverbindung, hergestellt sein. Insofern wird sichergestellt, dass die Anmeldebestätigung nur gesendet werden kann, wenn die Anmeldeaufforderung mit der Adresse vorher empfangen worden ist. Die erste Datenverarbeitungseinrichtung ist darüber hinaus bevorzugt so ausgestaltet, dass sie die oben genannte Eingabeaufforderung an die zweite Datenverarbeitungseinrichtung erst dann sendet, wenn sie die Bestäti- gung der Anmeldeaufforderung in der oben beschriebenen Weise erhalten hat.
Die Anmeldeaufforderung und/oder die Eingabeaufforderung können direkt an die Datenverarbeitungseinrichtung auf elektronischem Wege gesandt werden. Allerdings ist es alternativ möglich, in der Kommunikationsverbindung, wie oben beschrieben, zusätzlich eine optische Schnittstelle vorzusehen. Beispielsweise kann die Anmeldeaufforderung an einen PC gesendet werden, welcher die Anmeldeaufforderung in Form eines QR-Codes darstellt, welcher dann mit Hilfe eines Endgerätes, welches die zweite Datenverarbeitungseinrichtung darstellt, gescannt und in der zweiten Datenverarbeitungseinrichtung in der oben beschriebenen Weise weiter verarbeitet wird. Die zweite Datenverarbei-
†ungseinrich†ung ist darüber hinaus zusätzlich bevorzugt entweder über das Internet und/oder über eine weitere Kommunikationsverbindung, wie z. B. ein Mobilfunknetz, mit der ersten Datenverarbeitungseinrichtung verbunden, um direkt mit dieser kommunizieren zu können. Bei der 5 Verwendung einer solchen optischen Schnittstelle sind somit im Wesentlichen auch zwei getrennte Kommunikationsverbindungen an der zweiten Datenverarbeitungseinrichtung vorgesehen, nämlich zum einen ein optischer Scanner, wie beispielsweise eine Kamera zum Erfassen eines QR-Codes und auf der anderen Seite eine direkte Internet- und/oder 10 Mobilfunkverbindung.
Gegenstand der Erfindung ist ferner ein System zum sicheren Übertragen zumindest eines auszuwählenden Zeichens über ein Datennetzwerk. Dabei führt das System vorzugsweise das oben beschriebene Verl s fahren aus. Insofern wird bezüglich der näheren Ausgestaltung des Systems auf die obige Beschreibung verwiesen.
Als wesentliche Merkmale weist das erfindungsgemäße System ein Datennetzwerk auf, über welches zumindest eine erste Datenverarbei-
20 tungseinrichtung, beispielsweise ein Server oder eine Serveranordnung, und zumindest eine zweite Datenverarbeitungseinrichtung, wie beispielsweise zumindest ein mobiles Endgerät miteinander verbunden sind. Ein solches mobiles Endgerät ist vorzugsweise ein Smartphone oder auch ein Personal Computer. Das Datennetzwerk stellt eine Kommuni-
25 kationsverbindung zwischen den Datenverarbeitungseinrichtungen her.
Die erste Datenübertragungseinrichtung weist ein Tastaturmodul auf, welches zum Erzeugen einer virtuellen Tastatur auf einem Bildschirm der Datenverarbeitungseinrichtung ausgebildet ist. Das Tastaturmodul kann Teil eines Softwareprogrammes, welches zur Ausführung auf der zweiten
30 Datenübertragungseinrichtung vorgesehen ist, sein, beispielsweise in Form einer App für ein Smartphone. Das Tastaturmodul ist gleichzeitig zum Erfassen einer Eingabe oder eine Auswahl zumindest eines Zei-
chens auf dieser Tastatur ausgebildet. Dies kann beispielsweise über einen berührungsempfindlichen Bildschirm oder ein separates Eingabemittel, wie beispielsweise eine Computermaus oder ein Touchpad erfolgen. Das Tastaturmodul ist zum Empfang von Signalen von dem berührungsempfindlichen Bildschirm oder eines anderen Eingabemittels ausgebildet und codiert basierend auf diesen Signalen das eingegebene Zeichen auf Grundlage eines veränderbaren Indexschlüssels. Dazu ist das Tastaturmodul zum Empfang eines solchen Indexschlüssels über die Kommunikationsverbindung ausgebildet. Die erste Datenver- arbeitungseinrichtung weist ein Indexschlüsselerzeugungsmodul auf, welches zur zufälligen Erzeugung eines einmaligen Indexschlüssels ausgebildet ist. Das heißt, das Indexschlüsselerzeugungsmodul erzeugt unter Zuhilfenahme eines Zufallsgenerators einen Indexschlüssel zur einmaligen Verwendung in dem Tastaturmodul. Die erste Datenverarbei- tungseinrichtung ist zur Übertragung des so erzeugten Indexschlüssels über die Kommunikationsverbindung an die zweite Datenverarbeitungseinrichtung und insbesondere das dort vorgesehene Tastaturmodul ausgebildet. Das Tastaturmodul ist zum Empfang dieses Indexschlüssels und zur Verwendung dieses Indexschlüssels bei einer nachfolgen- den Eingabe ausgebildet. Ferner ist das Tastaturmodul vorzugsweise zum Senden eines mit dem Indexschlüssel codierten Zeichens an die erste Datenverarbeitungseinrichtung ausgebildet. Die erste Datenverarbeitungseinrichtung weist weiter bevorzugt ein Entschlüsselungsmodul zur Decodierung des Zeichens auf Grundlage des zuvor erzeugten In- dexschlüssels auf. Weiter bevorzugt ist bei dem erfindungsgemäßen System die erste Datenverarbeitungseinrichtung derart ausgestaltet und mit der zweiten Datenverarbeitungseinrichtung verbunden, dass sie einen Indexschlüssel ohne eine vorherige Identifizierung der zweiten Datenverarbeitungseinrichtung erzeugt und an die zweite Datenverar- beitungseinrichtung sendet. Dies kann in der oben anhand des Verfahrens beschriebenen Weise geschehen.
Weitere Details des Systems ergeben sich aus der obigen Beschreibung des Verfahrens.
Nachfolgend wird die Erfindung beispielhaft anhand der beigefügten Figuren beschrieben. In diesen zeigt:
Fig. 1 schematisch ein erfindungsgemäßes Datenübertragungssystem Fig. 2 schematisch die Darstellung einer Tastatur 30 auf dem Bildschirm 32 eines Smartphones, und
Fig. 3 schematisch den Verfahrensablauf eines erfindungsgemäßen Verfahrens zur Datenübertragung.
Anhand von Fig. 1 wird zunächst der prinzipielle Aufbau eines erfindungsgemäßen Datenübertragungssystems, auf welchem das erfindungsgemäße Verfahren zur Anwendung kommen kann, beschrieben. Das System weist als zentrale Bestandteile eine erste Datenverarbei- tungseinrichtung in Form eines Authentifizierungsservers 2 und eine zweite Datenverarbeitungseinrichtung in Form eines Smartphones 4 auf. Erfindungsgemäß können diese miteinander kommunizieren, um zumindest ein an dem Smartphone 4 eingegebenes Zeichen in sicherer Weise zu dem Authentifizierungsserver 2 zu übertragen. Das hier beschriebene System dient zur Abfrage eines Passwortes. Der Authentifizierungsserver 2 besteht aus zwei Datenverarbeitungsgeräten, das erste Datenverarbeitungsgerät ist ein Sicherheitsserver 6, das zweite Datenverarbeitungsgerät ein Vertraulichkeitsserver 8. Der Vertraulichkeitsserver 8 dient der Speicherung von benutzerspezifischen Daten, insbesondere Zu- gangsdaten, Adressen, Kontonummern, etc. Der Vertraulichkeitsserver 8 kann ausschließlich mit dem Sicherheitsserver 6 über eine gesicherte Verbindung kommunizieren und hat keine Verbindung zu externen
Netzwerken, sodass ein unberechtigter Zugriff auf die auf ihm gespeicherten Daten nicht möglich ist. Der Sicherheitsserver 6 ist in diesem Beispiel über eine Datenverbindung 9, welche beispielsweise über eine VPN-Verbindung im Internet hergestellt werden kann, mit einem oder mehreren Anwendungsservern 10 verbunden, wobei in diesem Beispiel nur ein Anwendungsserver 10 gezeigt ist. Der Anwendungsserver 10 kann wiederum über eine Kommunikationsverbindung, welche in diesem Beispiel vom Internet 12 gebildet wird, mit einem Personal Computer 14 eines Anwenders kommunizieren. Der Anwendungsserver 10 kann beispielsweise der Server einer Bank, eines Internetshops oder ähnlichem sein, bei welchem sich der Nutzer 16 über seinen Personal Computer 14 anmelden möchte. Zur Authentifizierung und Passworteingabe wird in dem erfindungsgemäßen System das Mobiltelefon bzw. Smart- phone 4 des Nutzers 1 6 genutzt, auf welchem ein entsprechendes Softwareprogramm, das heißt eine Authentifizierungsapp installiert ist. Das Smartphone 4 kommuniziert in diesem Beispiel über eine erste Datenverbindung bzw. Kommunikationsverbindung 18 ebenfalls über das Internet 12 mit dem Sicherheitsserver 6 über eine geeignete Kommunikationsschnittstelle 20. Die Kommunikationsschnittstelle 20 kann in den Sicherheitsserver 6 integriert sein.
Das so ausgebildete System ermöglicht ein sicheres Authentifizierungs- verfahren, wie es nachfolgend anhand von Fig. 3 näher beschrieben wird.
Zur Anwendung des Verfahrens gemäß diesem Beispiel wird zunächst davon ausgegangen, dass die Nutzerdaten des Nutzers 1 6 auf dem Vertraulichkeitsserver 8 gespeichert sind. Dabei sind nicht nur persönliche Daten, wie Name, gegebenenfalls Anschrift, Kontaktdaten, Bank- daten oder ähnlichem gespeichert, sondern vielmehr auch Identifizierungsmerkmale des Smartphones 4, wie dessen IMEI, die Identifikationsnummer der im Smartphone 4 befindlichen SIM-Karte und/oder die Te-
lefonnummer des Smartphones 4. Wenn nun der Nutzer beispielsweise im Internet die Seite eines Onlineshops aufruft, gelangt er auf dessen Anwendungsserver 10. Auf seinem Personal Computer 14 erhält der Nutzer 16 dabei ein Login-Feld angezeigt, welches er im ersten Schritt Sl des in Fig. 3 dargestellten Ablaufes anklickt. Daraufhin sendet der Anwendungsserver 10 über die Datenverbindung 9 eine Anfrage an den Authentifizierungsserver 2, welcher daraufhin eine Authentifizierungsses- sion startet und im Schritt S2 einen Indexschlüssel bzw. eine Zeichentabelle für den Anmeldevorgang in einem Indexschlüsselerzeugungsmo- dul generiert. Dies erfolgt nach einem Zufallsprinzip, sodass ein für eine einmalige Verwendung vorgesehener einmaliger, zufällig generierter Indexschlüssel bzw. eine zufällig generierte Zeichentabelle, mit welcher später am Smartphone einzugebende Zeichen 4 verschlüsselt werden, generiert wird. Dieser Indexschlüssel wird in eine von dem Sicher- heitsserver 6 erzeugte Anmeldeaufforderung S3 eingebettet, welche über die Datenverbindung 9 an den Anwendungsserver 10 und von diesem über das Internet 12 an den Personal Computer 14 des Nutzers 1 6 übertragen wird. Dort wird sie auf dem Bildschirm 22 des Personal Computers 14 als QR-Code 24 dargestellt. Bei dem bisherigen Verfah- rensablauf wesentlich ist, dass während der bisher beschriebenen Verfahrensschritte der Nutzer 16 sowohl dem Authentifizierungsserver 2 als auch dem Anmeldungsserver 10 nicht bekannt ist. D. h. dieser Teil des Anmeldevorganges erfolgt anonym. Insbesondere wird so sichergestellt, dass dem Anwendungsserver 10 keine personenbezogenen Da- ten mitgeteilt werden, bevor der Nutzer 16 von dem Authentifizierungsserver 2 tatsächlich eindeutig identifiziert und authentifiziert ist.
Im Schritt S4 scannt nun der Nutzer 16 den angezeigten QR-Code 24 mit der Kamera 26 des Smartphones 4. Der QR-Code 24 mit der Kamera 26 stellt somit eine optische Schnittstelle in der Kommunikationsverbindung zwischen dem Smartphone 4 über den Personal Computer 14 zu dem Sicherheitsserver 6 dar. Für den Fall, dass die Anmeldung ausschließlich
auf dem Smarfphone 4 ausgeführt werden sollte, könnte die Anmeldeaufforderung S3 auch direkt über das Internet 12 an das Smartphone 4 gesendet werden und dort über eine elektronische Schnittstelle an die Authentifizierungsapp übergeben werden. Das Scannen S4 erfolgt aus der Authentifizierungsapp heraus. Die Authentifizierungsapp liest somit im Schritt S4 den generierten Indexschlüssel für die Zeichencodierung mit der Anmeldeaufforderung S3 ein und sendet auf die Anmeldeaufforderung S3 hin eine Anmeldebestätigung im Schritt S5 über die erste Kommunikationsverbindung 18 an den Sicherheitsserver 6. Dabei wird in die Anmeldebestätigung S5 ein Identifizierungsmerkmal oder mehrere Identifizierungsmerkmale des Smartphones 4 eingebettet, welche wie oben beschrieben die IMEI, die Identifizierungsnummern der SIM-Karte und/oder die Telefonnummer sein können. D. h. erst in diesem Schritt wird dem Authentifizierungsserver 2 der Nutzer 16 bzw. dessen Smart- phone 4 bekannt gemacht, d. h. der Nutzer identifiziert, wobei der Nutzer 1 6 dem Anwendungsserver 10 gegenüber zunächst weiter anonym bleibt. Der Sicherheitsserver 6 fragt auf Grundlage der nun empfangenen Daten bei dem Vertraulichkeitsserver 8 nach, ob diese Nutzeridentifikationsdaten und Identifizierungsmerkmale des Smartphones 4 auf dem Vertraulichkeitsserver 8 gespeichert sind. Falls ja, gibt er über die Datenverbindung 9 dem Anwendungsserver 10 die Nutzerdaten aus und bestätigt die Anmeldung und Authentifizierung des Nutzers, welche in diesem Fall über die Identifizierungsmerkmale des Smartphones 4 erfolgt ist.
Um hier eine zusätzliche Sicherheit zu gewährleisten, kann mit der Anmeldeaufforderung S3 die Authentifizierungsapp auf dem Smartphone 4 aufgefordert werden, die Anmeldebestätigung über eine von mehreren zufällig ausgewählten Empfangsadressen zu senden. Die Auswahl der Empfangsadressen erfolgt zufällig im Sicherheitsserver 6 bei der Erstellung der Anmeldeaufforderung S3. Die Empfangsadressen können entweder Internetadressen sein oder beispielsweise unterschiedliche
Mobilfunknummern, wobei in diesem Fall dann die Anmeldebestäti- gung S5 nicht über die erste Kommunikationsverbindung 18 über das Internet 12, sondern über eine zweite Kommunikationsverbindung 28, welche über das Mobilfunknetz erfolgt, beispielsweise als SMS gesendet würde. Der Sicherheitsserver 6 würde dann beim Empfang der Anmeldebestätigung S5 zusätzlich noch überprüfen, ob diese von dem Smartphone 4 an die zuvor zufällig ausgewählte Empfangsadresse gesendet wurde. Falls nicht, würde der Sicherheitsserver 6 die Anmeldung ablehnen.
Es ist zu verstehen, dass bei dem bis jetzt geschilderten Anmeldevorgang bis zum Schritt S5 der Nutzer 1 6 für den Anwendungsserver 10 anonym ist. Erst mit der Anmeldebestätigung S5 identifiziert sich der Nutzer 16. Dem Anwendungsserver 10 gegenüber wird der Nutzer 16 erst dann identifiziert, wenn die Authentifizierung durch den Authentifizie- rungsserver 2 erfolgt ist. So wird sichergestellt, dass personenbezogene Daten erst ausgegeben werden, wenn der Nutzer 16 eindeutig identifiziert ist. Erfindungsgemäß ist vorgesehen, dass zumindest für bestimmte Anwendungen die Eingabe eines Nutzeridentifikationsschlüssels, d. h. Nutzergeheimnisses bzw. Passwortes verlangt werden kann. Dieses Nutzergeheimnis ist mit den persönlichen Daten des Nutzers 16 auf dem Vertraulichkeitsserver 8 hinterlegt. Nach erfolgreicher Anmeldebestätigung S5 generiert der Sicherheitsserver 6 eine Eingabeaufforderung, wozu er zunächst in einem ersten Schritt ein oder mehrere, in diesem Fall drei zufällig ausgewählte Stellen des Nutzergeheimnisses, welches in diesem Beispiel acht Stellen aufweist, von dem Vertraulichkeitsserver 8 abfragt. Dies erfolgt in dem Schritt S6. Durch diese Abfrage werden dem Sicher- heitsserver 6 die zu den zufällig ausgewählten Stellen zugehörigen Zeichen des Nutzergeheimnisses bekannt. Auf dieser Grundlage generiert der Sicherheitsserver 6 in einem Vorauswahlerzeugungsmodul im Schritt
S7 eine Zeichenvorauswahl für jede der Stellen. Die Zeichenvorauswahl enthält das in der Abfrage S6 erhaltene Zeichen und zusätzlich eine Anzahl zufällig ausgewählter Zeichen. Aus dieser generierten Vorauswahl kann der Nutzer 16 später das einzugebende Zeichen auswählen. Auf die Vorauswahlgenerierung könnte jedoch auch verzichtet werden, dann wäre die Eingabe des Nutzergeheimnisses für den Nutzer 1 6 etwas unkomfortabler, da er aus allen möglichen Zeichen, beispielsweise sämtlichen Buchstaben und sämtlichen Zeichen und Sonderzeichen auswählen müsste. Die Vorauswahl wird mit dem Indexschlüssel, wel- eher im Schritt S2 erzeugt wurde, codiert.
Ferner nimmt der Sicherheitsserver 6 eine Verschlüsselung der in der Abfrage S6 erhaltenen Zeichen im Schritt S8 vor. Dabei erfolgt die Verschlüsselung der Zeichen mit dem im Schritt S2 generierten einmaligen Indexschlüssel. Der Sicherheitsserver 6 erzeugt somit einen Code, welcher auf Grundlage der zu den zufällig ausgewählten Stellen abgefragten Zeichen mit dem Indexschlüssel generiert wurde. Dieser im Schritt S8 durch die Verschlüsselung generierte Code wird auf dem Sicherheitsserver 6 zunächst abgelegt. Im Schritt S9 wird nun eine Eingabeauf- forderung, welche auf dem Sicherheitsserver 6 generiert wurde und in welche die im Schritt S7 generierte Vorauswahl von Zeichen eingebettet wurde, über die Kommunikationsverbindung 18 an das Smartphone 4 bzw. die dort aktivierte Authentifizierungsapp gesendet. Die Eingabeaufforderung S9 enthält neben der Vorauswahl an Zeichen die Auf- forderung, die zuvor zufällig ausgewählten Stellen des Nutzergeheimnisses am Smartphone 4 einzugeben. Die Eingabeaufforderung S9 wird bevorzugt auf Grundlage des Identifizierungsmerkmals des Smartpho- nes 4 verschlüsselt, welches der Sicherheitsserver 6 aus der Anmeldebestätigung S5 oder der Abfrage S6 erhalten hat, sodass nur das zugehö- rige Smartphone 4 die Eingabeaufforderung entschlüsseln kann.
Die Authentifizierungsapp auf dem Smartphone 4 enthält ein Tastaturmodul, welches eine virtuelle Tastatur 30 auf dem in diesem Falle berührungsempfindlichen Bildschirm 32 des Smartphones 4 darstellt. Eine solche Darstellung ist beispielhaft in Fig. 2 gezeigt. Dort ist eine schemati- sehe Darstellung 34 des Nutzergeheimnisses vorhanden, in welcher die einzugebenden Stellen mit„?" gekennzeichnet sind. Dies sind die Stellen, welche von dem Sicherheitsserver 6 zufällig ausgewählt wurden und mit der Eingabeaufforderung S9 als Aufforderung zur Eingabe an das Smartphone 4 übersandt wurden. In der virtuellen Tastatur 30 wer- den in diesem Fall in Form dreier Scroll-Felder 36 zu jeder der einzugebenden Stellen 38 die von dem Sicherheitsserver 6 erzeugten und mit der Eingabeaufforderung S9 übertragenen Vorauswahlen von Zeichen dargestellt. Dabei decodiert das Tastaturmodul die Zeichen zur Darstellung mit Hilfe des im Schritt S3 übersandten Indexschlüssels. Aus der dargestellten Vorauswahl von Zeichen wählt der Nutzer das Zeichen seines Nutzergeheimnisses, welches den Stellen 38 entspricht, jeweils aus. Die dargestellte Tastatur 30 stellt eine einmalige Tastatur dar, welche von dieser Vorauswahl gebildet wird, wobei die eingegebenen Zeichen mit der zuvor in der Anmeldeaufforderung S3 übersandten Zei- chentabelle bzw. dem übersandten Indexschlüssel direkt codiert und verschlüsselt werden. Dabei verschlüsselt das Tastaturmodul die drei ausgewählten Zeichen gemeinsam mit diesem Indexschlüssel, sodass ein einteiliger Code, welcher die drei Zeichen in der mit dem Indexschlüssel verschlüsselten Form repräsentiert, gebildet wird. Diese Einga- be, welche im Schritt S10 erfolgt, wird dann von der Authentifizierungsapp auf dem Smartphone 4 über die Kommunikationsverbindung 18 an den Sicherheitsserver 6 gesandt. Dort vergleicht der Sicherheitsserver 6 den so empfangenen Code im Schritt Sl 1 mit dem bei der Verschlüsselung S8 erzeugten Code. Stimmen beide überein, gibt der Sicher- heitsserver 6 im Schritt S12 über die Datenverbindung 9 eine Freigabe an den Anwendungsserver 10, über welche dann beispielsweise ein Einkauf, eine Überweisung oder ähnliches freigegeben werden kann.
D. h. erst an dieser Stelle werden dann dem Anwendungsserver 10 die personenbezogenen Daten des Nutzers 1 6 zugänglich gemacht, d. h. der Nutzer 16 dem Anwendungsserver 10 gegenüber identifiziert. Anstelle die den ausgewählten Stellen entsprechenden Zeichen auf dem Sicherheitsserver 6 im Schritt S8 zu verschlüsseln, wäre es auch möglich, die bei der Eingabe S10 eingegebenen Zeichen einzeln mit dem Indexschlüssel zu verschlüsseln und an den Sicherheitsserver S6 zu übertragen, wo sie dann mit dem Indexschlüssel entschlüsselt und wie- der mit den zuvor in der Abfrage S6 abgefragten Zeichen verglichen werden könnten, wobei bei Übereinstimmung dann die Freigabe S12 erfolgen würde.
Erfindungswesentliches Merkmal ist, dass der Indexschlüssel S2 einmalig für einen Eingabe- bzw. Anmeldevorgang erzeugt wird und nicht mehrmals verwendet wird. Dadurch wird sichergestellt, dass das Tastaturmodul, welches die Tastatur 30 erzeugt, eine einmalige, nur einmal zu verwendende Tastatur erzeugt, wobei diese Tastatur durch die spezielle zufällig von dem Sicherheitsserver S6 gebildete Zeichentabelle bzw. dem gebildeten Indexschlüssel Gebrauch macht. Das heißt, die Codierung der eingegebenen Zeichen zur weiteren Verarbeitung und Übertragung erfolgt auf Grundlage dieses zuvor zufällig gebildeten Schlüssels. Das heißt, bei jeder Eingabe ändert sich dieser Schlüssel, sodass eine Erfassung des Nutzergeheimnisses über Keylogger oder ähnliches verhindert wird. Darüber hinaus werden bei dem hier vorgeschlagenen System immer nur einzelne ausgewählte Stellen eines gesamten Nutzergeheimnisses abgefragt, sodass nie das gesamte Nutzergeheimnis verschlüsselt übertragen würde. Das System ist vorzugsweise so ausgebildet, dass der Sicherheitsserver 6 jede der möglichen Kombinationen von Stellen, welche zur Abfrage zufällig ausgewählt werden, nur eine begrenzte Anzahl von Malen verwendet und beim Erreichen dieser Anzahl den Nutzer zur Eingabe eines neuen Nutzergeheimnisses auffordert.
Auch hierdurch kann eine erhöhte Sicherheit erreicht werden. Es ist jedoch zu verstehen, dass der Kerngedanke der Erfindung, eine einmalige Tastatur durch einen zufällig gebildeten Indexschlüssel bereitzustellen, auch mit der Eingabe des gesamten Nutzergeheimnisses oder überhaupt mit der Eingabe anderer Zeichen oder Texte funktionieren würde. Auf diese Weise könnten beispielsweise auch Texte, wie Emails oder ähnliches auf Grundlage einer einmalig erzeugten Tastatur mit einer einmaligen zufälligen Tastaturtabelle verschlüsselt übertragen werden. Grundsätzlich lässt sich das Verfahren zur Eingabe und Über- tragung jeglicher Zeichen auf sicherem Wege verwenden, wobei für die Übertragung zunächst von dem Empfänger zufällig ein Tastaturschlüssel bzw. Indexschlüssel bzw. eine Tastaturtabelle erzeugt wird und diese dem Sender zur nachfolgenden Verschlüsselung der eingegebenen Zeichen zur Verfügung gestellt wird.
Ferner ist bei dem beschriebenen System wesentlich, dass dem Anwendungsserver 10 gegenüber die Identität des Nutzers 16 solange geheim gehalten wird, bis die Authentifizierung des Nutzers 1 6 durch den Sicherheitsserver 2 erfolgt ist. Insbesondere werden zur Ausgabe der Anmeldeaufforderung keine personenbezogenen Daten des Nutzers 1 6 ausgegeben. D. h. in diesem Verfahrensstadium bleibt der Nutzer 1 6 anonym.
Bezugszeichenliste
Authentifizierungsserver
Smartphone
Sicherheitsserver
Vertraulichkeitsserver
Datenverbindung
Anwendungsserver
Internet
Personal Computer
Nutzer
erste Kommunikationsverbindung
Schnittstelle
Bildschirm
QR-Code
Kamera
zweite Kommunikationsverbindung
Tastatur
Bildschirm
schematische Darstellung
Scroll-Felder
Stellen
Verfahrensschritte
Claims
Ansprüche
Verfahren zum sicheren Übertragen zumindest eines auszuwählenden Zeichens über ein Datennetzwerk, welches zumindest eine erste (2) und zumindest eine zweite (4) Datenverarbeitungseinrichtung aufweist, welche über zumindest eine Kommunikationsverbindung (12) miteinander verbunden sind, wobei das Verfahren folgenden Schritte aufweist:
Generieren eines einmaligen Indexschlüssels (S2) zum einmaligen Codieren zumindest eines an der zweiten Datenverarbeitungseinrichtung (4) einzugebenden Zeichens,
Senden des Indexschlüssels (S2) über die Kommunikationsverbindung (12, 18) von der ersten Datenverarbeitungseinrichtung (2) an die zweite Datenverarbeitungseinrichtung (4),
Codieren (S10) eines an der zweiten Datenverarbeitungseinrichtung (4) eingegebenen Zeichens mit dem zuvor empfangenen Indexschlüssel und
Senden des mit dem Indexschlüssel codierten Zeichens über die Kommunikationsverbindung (12, 18) von der zweiten Datenverarbeitungseinrichtung (4) an die erste Datenverarbeitungseinrichtung (2).
Verfahren nach Anspruch 1 , bei welchem das Senden des Indexschlüssels (S2) von der ersten Datenverarbeitungseinrichtung (2) an die zweite Datenverarbeitungseinrichtung (4) erfolgt, bevor sich die zweite Datenverarbeitungseinrichtung (4) gegenüber der ersten Datenverarbeitungseinrichtung (2) identifiziert.
Verfahren nach Anspruch 1 oder 2, bei welchem der Indexschlüssels (S2) über die Kommunikationsverbindung (12, 18) von der ersten Datenverarbeitungseinrichtung (2) an die zweite Datenverar-
beitungseinrichfung (4) gemeinsam mit einer Anmeldeaufforderung gesendet wird, mit welcher die zweite Dafenverarbeitungs- einrichfung (4) aufgefordert wird, sich gegenüber der ersten Da- tenverarbeifungseinrichtung zu identifizieren.
Verfahren nach einem der vorangehenden Ansprüche, bei welchem die Überfragung des Indexschlüssels (S2) von der ersten Da- fenverarbeitungseinrichfung (2) zu der zweiten Dafenverarbei- fungseinrichtung (4) in zumindest einem Abschnitt des Übertragungsweges in Form eines von der zweiten Datenverarbeifungs- einrichfung (4) auslesbaren optischen Codes erfolgt.
Verfahren nach einem der vorangehenden Ansprüche, bei welchem der Indexschlüssel (S2) von der ersten Datenverarbeifungs- einrichfung (2) zunächst an eine drifte Dafenverarbeitungseinrich- fung (10) übertragen und anschließend von der driften Dafenver- arbeifungseinrichtung (10) an die zweite Datenverarbeifungsein- richfung (4) übertragen wird.
Verfahren nach Anspruch 5, bei welchem das zumindest eine mit dem Indexschlüssel codierte Zeichen von der zweiten Dafenverar- beitungseinrichfung (4) an die erste Dafenverarbeitungseinrich- tung (4) ohne Konfakt zu der driften Dafenverarbeitungseinrich- fung (10) übertragen wird.
Verfahren nach einem der vorangehenden Ansprüche, bei welchem das zumindest eine Zeichen an der zweiten Dafenverarbei- fungseinrichtung (4) über eine Tastatur (30) eingeben wird und direkt bei der Eingabe mit dem zuvor empfangenen Indexschlüssel codiert wird.
8. Verfahren nach einem der vorangehenden Ansprüche, bei welchem der Indexschlüssel (S2) in der ersten Datenverarbeitungseinrichtung (2) generiert wird.
Verfahren nach einem der vorangehenden Ansprüche, bei welchem der Indexschlüssel (S2) nach einem Zufallsprinzip generiert wird.
Verfahren nach einem der vorangehenden Ansprüche, bei welchem in der ersten Datenverarbeitungseinrichtung (2) das von der zweiten Datenverarbeitungseinrichtung (4) empfangene Zeichen mit dem einmaligen zuvor an die zweite Datenverarbeitungseinrichtung (4) gesendeten Indexschlüssel decodiert wird.
Verfahren nach einem der vorangehenden Ansprüche, bei welchem von der ersten Datenverarbeitungseinrichtung (2) mit der Eingabeaufforderung (S9) eine Vorauswahl (S7) auswählbarer Zeichen an die zweite Datenverarbeitungseinrichtung (4) übertragen wird und die zweite Datenverarbeitungseinrichtung (4) die Vorauswahl (S7) auf einer Tastatur (30) zur Anzeige bringt.
Verfahren nach einem der vorangehenden Ansprüche, bei welchem die Eingabeaufforderung (S9) verschlüsselt an die zweite Datenverarbeitungseinrichtung (4) übertragen wird, wobei die Verschlüsselung unter Berücksichtigung zumindest eines Identifizierungsmerkmals der zweiten Datenverarbeitungseinrichtung (4) erfolgt.
13. Verfahren nach einem der vorangehenden Ansprüche, bei welchem die zweite Datenverarbeitungseinrichtung ein Personal- Computer (14) oder ein mobiles Endgerät (4) ist.
14. Verfahren nach Anspruch 12 und 13, bei welchem das Identifizierungsmerkmal die IMEI des mobilen Endgerätes (4), eine Telefonnummer und/oder die Identifikationsnummer einer SIM des mobilen Endgerätes ist. 15. Verfahren nach einem der vorangehenden Ansprüche, bei welchem in der ersten Datenverarbeitungseinrichtung (2) für zumindest einen Nutzer (1 6) ein mehrstelliger Nutzeridentifikationsschlüssel hinterlegt ist und die Eingabeaufforderung (S9) die Aufforderung zur Eingabe zumindest einer ausgewählten Stelle (38) dieses Nutzeridentifikationsschlüssels enthält, wobei das an der zweiten
Datenverarbeitungseinrichtung (4) eingegebene Zeichen dieser ausgewählten Stelle des mehrstelliger Nutzeridentifikationsschlüssels zugeordnet wird.
Verfahren nach Anspruch 15, bei welchem das von der zweiten Datenverarbeitungseinrichtung (4) empfangene Zeichen mit der ausgewählten Stelle (38) des hinterlegten Nutzeridentifikationsschlüssels verglichen wird.
Verfahren nach Anspruch 15 oder 1 6, bei welchem die zumindest eine ausgewählte Stelle (38) des Nutzeridentifikationsschlüssels von der ersten Datenverarbeitungseinrichtung (2) nach einem Zufallsprinzip ausgewählt wird.
Verfahren nach einem der vorangehenden Ansprüche, bei welcher die erste Datenverarbeitungseinrichtung (2) zumindest zwei über eine sichere Datenverbindung miteinander verbundene Datenverarbeitungsgeräte (6, 8) aufweist, wobei ein erstes Datenverarbeitungsgerät (6) zur Kommunikation mit der zumindest einen zweiten Datenverarbeitungseinrichtung (4) dient, während das zweite Datenverarbeitungsgerät (8) ausschließlich mit dem ersten
Datenverarbeitungsgerät (6) zur Kommunikation verbunden ist und der Speicherung und Verarbeitung von Nutzerdaten dient.
Verfahren nach Anspruch 18, bei welchem Nutzerdaten und insbesondere ein Nutzeridentifikationsschlüssel in dem zweiten Datenverarbeitungsgerät (8) gespeichert sind und eine Verarbeitung dieser Daten und insbesondere ein Vergleich des Nutzeridentifikationsschlüssels mit zumindest einem an der zweiten Datenverarbeitungseinrichtung eingegebenen Zeichens in dem zweiten Datenverarbeitungsgerät (8) stattfindet.
Verfahren nach einem der vorangehenden Ansprüche, bei welchem die zweite Datenverarbeitungseinrichtung (4) mit der ersten Datenverarbeitungseinrichtung (2) über zwei getrennte Kommunikationsverbindungen (18, 28) verbunden ist.
System zum sicheren Ubertragen zumindest eines auszuwählenden Zeichens über ein Datennetzwerk (12) mit zumindest einer ersten Datenverarbeitungseinrichtung (2) und zumindest einer zweiten Datenverarbeitungseinrichtung (4), welche über zumindest eine Kommunikationsverbindung (12) miteinander verbunden sind, wobei die zweite Datenverarbeitungseinrichtung (4) ein Tastaturmodul aufweist, welches zum Erzeugen einer virtuellen Tastatur (30) auf einem Bildschirm (32) und zur Erfassung einer Eingabe oder Auswahl zumindest eines Zeichens auf dieser Tastatur (30) und zur Codierung dieses Zeichens auf Grundlage eines veränderbaren Indexschlüssels (S2) ausgebildet ist, wobei die erste Datenverarbeitungseinrichtung (2) ein Indexschlüsselerzeugungsmodul aufweist, welches zur zufälligen Erzeugung eines einmaligen Indexschlüssels (S2) ausgebildet ist sowie eine Übertragung des erzeugten Indexschlüssels (S2) über die Kommunikationsverbindung (12) an die zweite Datenverarbeitungseinrichtung (4) ermöglicht, und das Tas-
taturmodul zum Empfang dieses Indexschlüssels (S2) ausgebildet ist.
System nach Anspruch 21 , bei welchem die erste Datenverarbeitungseinrichtung derart ausgestaltet ist, dass sie einen Indexschlüssel (S2) ohne eine vorherige Identifizierung der zweiten Datenverarbeitungseinrichtung (4) erzeugt und an die zweite Datenverarbeitungseinrichtung (4) sendet.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014201846.3A DE102014201846A1 (de) | 2014-02-03 | 2014-02-03 | Verfahren zur sicheren Übertragung von Zeichen |
DE102014201846.3 | 2014-02-03 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2015114160A1 true WO2015114160A1 (de) | 2015-08-06 |
Family
ID=52450106
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2015/052158 WO2015114160A1 (de) | 2014-02-03 | 2015-02-03 | Verfahren zur sicheren übertragung von zeichen |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102014201846A1 (de) |
WO (1) | WO2015114160A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111865573A (zh) * | 2020-06-22 | 2020-10-30 | 上海上实龙创智能科技股份有限公司 | 一种动态密码生成系统、生成方法、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10102779A1 (de) * | 2001-01-22 | 2002-08-29 | Utimaco Safeware Ag | Verfahren zur Autorisierung in Datenübertragungssystemen |
US20060020815A1 (en) * | 2004-07-07 | 2006-01-26 | Bharosa Inc. | Online data encryption and decryption |
US20080250481A1 (en) * | 2007-04-05 | 2008-10-09 | Microsoft Corporation | Secure Web-Based User Authentication |
KR20120084576A (ko) * | 2011-01-20 | 2012-07-30 | 주식회사 모빌리언스 | Qr 코드를 이용하는 motp 인증 시스템 및 motp 인증 방법 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7392388B2 (en) * | 2000-09-07 | 2008-06-24 | Swivel Secure Limited | Systems and methods for identity verification for secure transactions |
AU2001237888A1 (en) * | 2001-03-03 | 2002-09-19 | Ying Yip Chan | Method and system for substantially secure electronic transactions |
GB2502773B (en) * | 2012-05-28 | 2015-03-11 | Swivel Secure Ltd | Method and system for secure user identification |
-
2014
- 2014-02-03 DE DE102014201846.3A patent/DE102014201846A1/de not_active Withdrawn
-
2015
- 2015-02-03 WO PCT/EP2015/052158 patent/WO2015114160A1/de active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10102779A1 (de) * | 2001-01-22 | 2002-08-29 | Utimaco Safeware Ag | Verfahren zur Autorisierung in Datenübertragungssystemen |
US20060020815A1 (en) * | 2004-07-07 | 2006-01-26 | Bharosa Inc. | Online data encryption and decryption |
US20080250481A1 (en) * | 2007-04-05 | 2008-10-09 | Microsoft Corporation | Secure Web-Based User Authentication |
KR20120084576A (ko) * | 2011-01-20 | 2012-07-30 | 주식회사 모빌리언스 | Qr 코드를 이용하는 motp 인증 시스템 및 motp 인증 방법 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111865573A (zh) * | 2020-06-22 | 2020-10-30 | 上海上实龙创智能科技股份有限公司 | 一种动态密码生成系统、生成方法、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
DE102014201846A1 (de) | 2015-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3289508A1 (de) | Verfahren zur erzeugung einer elektronischen signatur | |
DE102017209961A1 (de) | Verfahren und Vorrichtung zum Authentisieren eines Nutzers an einem Fahrzeug | |
EP2289016A2 (de) | Verwendung eines mobilen telekommunikationsgeräts als elektronische gesundheitskarte | |
DE69330743T2 (de) | Verfahren zur Beurkundung einer Informationseinheit durch eine andere | |
DE102011075257B4 (de) | Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers | |
WO2011069492A1 (de) | Verfahren und computerprogrammprodukte zum authentisierten zugang zu online -accounts | |
EP3095080A1 (de) | Verfahren zum autorisieren einer transaktion | |
EP3198826B1 (de) | Authentisierungs-stick | |
EP2512090B1 (de) | Verfahren zur authentifizierung eines teilnehmers | |
DE102011055297B4 (de) | Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation | |
EP1525731B1 (de) | Identifikation eines benutzers eines mobilterminals und generierung einer aktionsberechtigung | |
DE102017127280B4 (de) | Schutz vor realtime phishing und anderen attacken während eines login-prozesses an einem server | |
EP3053317B1 (de) | Verfahren zur authentisierung gegenüber einem server | |
DE102013102092B4 (de) | Verfahren und Vorrichtung zum Authentifizieren von Personen | |
EP1785900A1 (de) | Verfahren und System zum Übertragen von Daten von einer ersten Datenverarbeitungseinrichtung an eine zweite Datenverarbeitungseinrichtung | |
EP3657750B1 (de) | Verfahren zur authentifizierung einer datenbrille in einem datennetz | |
WO2015114160A1 (de) | Verfahren zur sicheren übertragung von zeichen | |
DE102015208098B4 (de) | Verfahren zur Erzeugung einer elektronischen Signatur | |
EP2456157B1 (de) | Schutz der Privatsphäre bei der Anmeldung eines Nutzers an einem gesicherten Webdienst mittels eines Mobilfunkgerätes | |
EP2933769B1 (de) | Transaktionsverfahren | |
DE102021125572B3 (de) | Verfahren zur Durchführung eines Authentisierungsprozesses durch einen individuellen Systembenutzer | |
DE102007046102B4 (de) | Verfahren zum Schutz vor Veränderung von Daten und zur Authentifizierung des Datensenders bei der Datenübertragung durch Verwendung von Verschlüsselungsverfahren, bei denen mit Kenntnis von verschlüsselten und unverschlüsselten Daten andere Daten nicht mehr als zufällig richtig verschlüsselt werden können. | |
DE60205176T2 (de) | Vorrichtung und Verfahren zur Benutzerauthentisierung | |
EP2723111B1 (de) | Mehrfaktor-Authentifikation für mobile Endgeräte | |
EP3435697B1 (de) | Verfahren zur authentisierung eines nutzers gegenüber einem diensteanbieter und authentisierungseinrichtung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 15702749 Country of ref document: EP Kind code of ref document: A1 |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 15702749 Country of ref document: EP Kind code of ref document: A1 |