|
|
 | |
|
|
|
TESIS
Passwort Reset - Unter vier Augen |
|
|
|
|
Die
Idee |
|
|
|
TESIS/Passwort-Reset
(PWR) ist eine Client-/Server-Anwendung mit Intranet-Frontend
(Java-Applet) für den automatischen und sicheren
Passwort-Reset auf verschiedenen Rechner- und
Anwendungssystemen. Bei vergessenen Passwörtern hilft TESIS/PWR
dem Anwender, Ausfallzeiten und Kosten gering zu halten.
TESIS/PWR
wurde entwickelt, weil durch die stetige Zunahme von
Client-/Server-Anwendungen in größeren Firmen sich viele
Anwender viele Rechnerzulassungen mit eigenen
Benutzerkennungen und Passwörtern merken müssen. Durch
vergessene Passwörter entstehen Kosten: Administratoren und
Helpdesk-Mitarbeiter sehen sich in größeren Firmen mit
mehreren tausend Passwort-Reset-Anfragen pro Monat
konfrontiert. Dadurch, dass ein Anwender mit TESIS/ PWR sein
vergessenes Passwort mit Hilfe zweier Kollegen zurücksetzen
kann, werden Kapazitäten bei Systemadministratoren und
Helpdesk-Mitarbeitern frei.
Die Anwendung ist als Intranet Anwendung implementiert, in
deren Mittelpunkt ein Java-Applet die Benutzerführung und die
Kommunikation mit der Server-Komponente übernimmt. Dadurch
ist keine clientseitige Installation oder Konfiguration nötig.
TESIS/PWR ist nach der Installation auf einem
Intranetserver sofort für alle Mitarbeiter verfügbar, die
Zugriff auf einen PC mit javafähigem Webbrowser und
Verbindung zum Intranet haben.
|
|
|
|
|
|
|
|
Das
Produkt |
|
|
|
BENUTZERFREUNDLICH
Für
verschiedene Systeme führen in der Regel verschiedene
Servicestellen Passwort-Resets durch. Der Anwender muss sich für
einen Passwort-Reset also erst informieren, wer für dieses
System zuständig ist. Mit dem TESIS/ PWR können alle Systeme
in einer Anwendung gebündelt werden. Das Resultat ist ein
einheitliches und einfaches Verfahren für alle Systeme.
ZEITSPAREND
Der
Reset-Prozess wird nach dem korrekten Ausfüllen des
maschinellen Antrags sofort ausgeführt. Lange Ausfallzeiten,
beispielsweise durch nicht besetzte Servicestellen, können
dadurch weitgehend vermieden werden.
SICHER
Dies
wird vor allem dadurch erreicht, dass zwei Kollegen derselben
Hauptabteilung des Antragstellers den Passwort-Reset mit ihrem
Passwort bestätigen müssen. Außerdem wird zur Erhöhung der
Sicherheit ein maschinell generiertes Initialpasswort
verwendet. Für die Sicherheit der eingegebenen Passwörter
und des zurückgegebenen Initialpassworts sorgt starke
Kryptographie.
VOLLAUTOMATISIERT
Der
Passwort-Reset kann über eine Intranet-Anwendung ausgeführt
werden. Manuelle Eingriffe oder der Service einer
Hotlinestelle sind nicht mehr notwendig.
NACHVOLLZIEHBAR
Durch
eine umfangreiche Protokollierung können sämtliche Aktionen
auch noch Monate später verifiziert und kontrolliert werden.
ERWEITERBAR
Das
System wurde so konzipiert, dass jederzeit weitere Systeme
(Rechner, Applikationen mit Authentifizierungsmechanismus) in
den Passwort-Reset mit integriert werden können.
|
|
|
|
|
|
|
|
Der
Clou |
|
|
|
TESIS/PWR
besteht aus einem Applet, das die Benutzerführung übernimmt
und den Anwender durch die einzelnen Schritte bis zur Anzeige
des neuen Initialpassworts führt.
Nach
dem Start von TESIS/PWR im Webbrowser gibt der Anwender die
Benutzerkennung ein, für die ein Passwort-Reset durchgeführt
werden soll. Anschließend wählt er die Zielsysteme und
autorisiert den Passwort-Reset – normalerweise mit der Hilfe
von zwei Kollegen: Hat Mitarbeiter A sein Passwort vergessen,
kann er mit Hilfe von Kollege B und C sein Passwort selbst zurücksetzen.
TESIS/PWR unterstützt eine Liste von "Super-Usern",
die Passwort-Resets für bestimmte Abteilungen ohne ein
"zweites Augenpaar" autorisieren dürfen.
Das
Servlet kommuniziert mit der zentralen
Authentifizierungsstelle (Mainframe), um die Anwender über
ihre Benutzerkennungen und Passwörter zu prüfen. Durch
konsequente Abstraktion ist es möglich, auch andere
Mechanismen, beispielsweise einen LDAP-Server, zu nutzen. Um
die Passwort-Resets durchzuführen, nimmt das Servlet Kontakt zu Passwort-Reset-Agenten auf, welche die Aktion auf den
verschiedenen Zielsystemen (TSS/RACF, Unix/NIS) durchführen.
Weitere Agenten (Datenbanken, LDAP-Verzeichnisse usw.) lassen
sich durch die flexible Architektur des TESIS/PWR leicht
integrieren.
In der nächsten Version unterstützt TESIS/PWR
Authentifizierung über PGP-Signaturen. Zudem ist hier die
clientseitige Authentifizierung über das SSL-Protokoll mit
X.509-Zertifikaten implementiert, d.h. der Anwender beweist
seine Identität mit einer Smartcard oder mit biometrischen
Daten.
|
|
|
|
|
|
|
|
|
|
Die
Sicherheit |
|
|
Sicherheit
wird in TESIS/PWR groß geschrieben: Die Kommunikation zwischen dem Applet und dem Servlet erfolgt über http.
Auf diesem Protokoll wurde eine Kryptographieschicht
etabliert: Ein hybrides TripleDES/RSA-Verfahren verschlüsselt
die Anwendungsdaten. Die Kommunikation zu den Agenten basiert
auf einem symmetrischen Session-Key-Verfahren, das auf dem
RPC-Protokoll aufgesetzt wurde.
Um
Missbrauch zu erkennen, werden die erfolgten Passwort-Resets
protokolliert. Jeder Anwender kann sich über das Intranet die
letzten Passwort-Resets, die seine UserID betreffen, anzeigen
lassen und damit unautorisierte Passwort-Resets erkennen.
Zusätzlich wird automatisch eine
Email-Benachrichtigung über den
erfolgten Passwort-Reset an den
betroffenen Anwender versendet.
|
|
|
|
|
|
|
|
|
|
| |
TESIS
Home