Mehr über cryptas.com Cryptas Security Cryptas Consulting
Cryptoshop Hilfe! Cryptoshop Kontakt! Cryptoshop Merkzettel! Cryptoshop Warenkorb! Zur Kassa gehen! Go to the english page!
+ Produkte
· · · · · · · · · · · · · · · · · · · · · · ·
+ Lösungen
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Sicherheitsziele  
  Security Governance  
  Kryptographie  
  Technologie  
  Smart Card Anwendungen  
  Authentisierung  
  PKI  
  So Geht's  
  MyID - Screens etc.  
  SecureDoc - Screens etc.  
  Benutzerauthentisierung  
  E-Mail Sicherheit  
  MS-Enterprise-CA  
  Sicheres WLAN  
  Webauthentisierung  
  Remote Access  
  MS File-Encryption  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

Zertifikatbasierte Authentifizierung in W2K+
 
INFO & WISSEN
 
Bei Windows kommen 3 Challenge Response Verfahren für Domänenanmeldung zur Anwendung, wobei LM und NTLM zur Kompatibilität mit älteren Clientrechnern: LM bei 9x/ME; NTLM bis exklusive NTSP 4; noch vorhanden sind. Von der Verwendung von LM und NTLM ist absolut abzuraten, NTLM verwendet zwar schon den Unicode Zeichensatz und einen MD4 Hash und ist dennoch wie das DES basierende LM absolut einfach zu brechen, wo maximal 14 Zeichen und ein eingeschränkter Zeichensatz mit ausschließlich Großbuchstaben und nur einigen Sonderzeichen zur Verfügung steht. Deshalb sollte NTLMv2 basierend auf HMAC-MD5 für passwortbasiertes Logon verwendet werden.

Mit Windows 2000 und dem Active Directory wird Kerberos v5 als grundlegendes Authentifizierungsprotokoll verwendet, wobei der Domänencontroller als KDC fungiert. Mit Kerberos erfolgt erstmals eine gegenseitige Authentifizierung zwischen Client und Server und stellt auch eine serverseitige SSO alle Netzwerkkomponenten betreffend dar.

Smart Card basiertes Logon
Ab Windows 2000 ist die PC/SC Unterstützung in das Betriebssystem integriert und das Windows Logon kann auch mit einer Smart Card erfolgen, anstatt Eingabe von Strg+Alt+Entf sowie Benutzername und Kennwort, reicht das Stecken der Smart Card in den natürlich erforderlichen Smart Card Reader und einer Eingabe der PIN.

Dieses Logon ist zertifikatsbasierend, d.h. mit der PIN wird der Zugriff auf den privaten Schlüssel auf der Smart Card autorisiert. Das Logon funktioniert mit Kerberos im Hintergrund, d.h. über PKinit wird ein Kerberos Ticket-Granting-Ticket angefordert. Da diese Vorgehensweise eine gewisse Komplexität aufweist und hier einige Signier- bzw. symmetrische und asymmetrische Ver- und Entschlüsselungen vorgenommen werden ist es nicht verwunderlich, dass dieses Logon einige Sekunden länger benötigt als die herkömmliche Logon-Variante.

Passwortbasiertes Smart Card Logon
Es gibt für das Windows Logon aber auch andere Lösungen mit Smart Cards. Es ist möglich, eine Benutzername - Passwort basierende Lösung zu installieren, wo der Benutzername und das Passwort auf einer Smart Card abgelegt werden. Neben dem Windows Logon können zum Teil auch weitere Passwörter darauf abgelegt werden. Die Smart Card stellt also einen Secure Password-Store dar und kann als client-seitiges SS0 aufgefasst werden.

Linktipps
NTLMv2 für 9x/ME - MS Knowledge Base 239869
Kerberos in W2k - MS Technet
Einrichten einer Windows-PKI Testinfrastruktur [854 KB]



Smart Card Logon in W2K+


Zurück zur vorherigen Seite!Zum Seitenanfang!Zur Startseite
  Smart Card Logon in W2K+  
 
  Aktion des Monats!  
  Cryptoshop Bundles!  
  e-card Kartenleser Aktion!  
 
  Message Authentication Codes  
  Kerberos  
  Authentisierung mit PKI  
  ROI einer PKI  
  Passwortschutz und Qualität  
  Kosten eines Passwortsystems  
  Risk Management  
  Smart Card  
  Smart Card Terminals  
  Zertifikate  
  Single Sign On Systeme  
 
Demo Area Download Bereich Forum E-Mail an die Redaktion Cryptoshop Newsletter Sicherheit auf Cryptoshop.com
Impressum AGB Verbraucherhinweise Datenschutz Newsletter Copyright © 2004 CRYPTAS. Alle Rechte vorbehalten