Patterns
- Abwesenheit von Hinweisen
- Aktive Warnungen
- Bemerkbare kontextabhängige Hinweise
- Deaktivieren von Sicherheitsfunktionen
- Detaillierte Sicherheitsmitteilungen
- Dialoge mit Handlungsempfehlungen
- Direkte Mitteilungen
- Direkte Optionen
- Direkter Zugang zu UI-Komponenten
- E-Mailgestützte Identifikation und Authentifizierung
- Empfehlungen bereitstellen
- Empfohlene Optionen
- Erstelle Keys bei Bedarf
- Erstellung eines Security-Lexikons
- Explizite Prüfung durch Nutzer
- Explizites Löschen von Einträgen
- Gefahrenstufen
- Generelle Sicherheitsbenachrichtigungen
- Hinweise auf abweichendes Verhalten
- Hinweise auf eingeschränkte Bereiche
- Hinweisen auf Bedrohungen & Konsequenzen
- Indirekter Zugang zu UI-Komponenten
- Informative Dialoge
- Installiere vor der Ausführung
- Kontinuierliches Schlüssel-Management
- Kurze Beschreibung von UI-Komponenten
- Lokalisierung spezifischer Bereiche
- Nutzeraktivierte Sicherheitsfunktionen
- Redundante Hinweise
- Reset auf Installation
- Sende S/MIME-signierte E-Mails
- Sequentieller Zugriff auf UI-Komponenten
- Sicherheit nach Fehlern
- Sicherheitsmaßnahmen des Systems
- Standardmäßiges Deaktivieren von Funktionen
- Systemgenutzte Sicherheitsfunktionen
- Trennung von Warnhinweis und Webseite
- Unterscheidbare Sicherheitsebenen
- Unterscheide zwischen Run und Open
- Unterscheidung von internen Absendern
- Unwiderrufliches Löschen
- Verfolge empfangene Schlüssel
- Verfolge Empfänger
- Verzögerte unwiderrufliche Aktionen
- Warne bei Gefahr
- Wirksame Nutzung existierender Identifikationsmethoden
- Übertrage und sichere Keys
Patterns basieren auf wissenschaftlichen Quellen.
Usable Security Pattern - E-Mailgestützte Identifikation und Authentifizierung
Luigi Lo Iacono, Peter Nehren
- Januar 2016
E-Mailgestützte Identifikation und Authentifizierung
| Name | E-Mailgestützte Identifikation und Authentifizierung |
| Quellen | (Garfinkel, 2005) |
| Synonyme | Keine |
| Kontext | Stelle dem Nutzer ein einfaches Self-Service-System zur Verfügung, mit dem er Zugangsdaten zurücksetzen oder wiederherstellen kann, um so die Authentifizierung von stark genutzten Systemen auf weniger stark genutzte Systeme auszulagern. |
| Problem | Wie stellt man Nutzeridentitäten oder -autorisierungen fest? |
| Lösung | Nutze den E-Mail-Empfang durch eine vordefinierte Adresse, um die Nutzeridentität oder -autorisierung zum Ändern von Accountdaten festzustellen. |
| Beispiele |  Source: (Garfinkel, 2005) |
| Implementierung | Die Website schickt eine E-Mail an den registrierten Account, die einen eingebetteten Code enthält; klickt der Nutzer die URL an, so wird er zu einer Webseite weitergeleitet, auf der er sein Passwort ändern kann. Diese URL sollte nach kurzer Zeit verfallen und nicht öfter als einmal aufgerufen werden können. Um sicherzustellen, dass das Passwort im selben Browser zurückgesetzt wurde, von dem auch die URL zum Zurücksetzten angefragt wurde, kann ein Cookie benutzt werden. Sende S/MIME-signierte Emails verringert hierbei die Gefahr durch Phishing-Attacken. E-Mailgestützte Identifikation und Authentifizierung kann auch von Desktop-Applikationen benutzt werden, die Passwörter zum Entschlüsseln von Daten benutzen: Nachdem ein Schlüssel erstellt wurde, wird das Nutzerpasswort aufgeteilt und der eine Teil wird zusammen mit einer registrierten E-Mail-Adresse bei einem vertrauenswürdigen Drittanbieter gespeichert. Wenn der Nutzer nun sein Passwort verliert, kann die zweite Hälfte an die Webseite verschickt werden, welche einen Link zu der registrierten E-Mail-Adresse sendet. Durch das Klicken auf diesen Link, wird das Passwort wieder zusammengefügt und angezeigt. |
| Konsequenzen | Neben dem einfachen Zurücksetzen des Passworts erleichtert E-Mailgestützte Identifikation und Authentifizierung auch das Kompromittieren weiterer Accounts, sobald man erst einmal Zugang zu einem E-Mail-Account hat. Dieses Risiko wird allerdings durch das Benutzten von Sicherheitsfragen verringert (Just, 2005). |
| Abhängigkeiten | Keine |
| Beziehungen | [Wirksame Nutzung existierender Identifikationsmethoden] |
| Prinzipien | [Annehmlichkeit] |
| Richtlinien | Keine |
| Check Listen | Keine |
| Use cases | Keine |
| Tags | E-Mailgestützte Identifikation und Authentifizierung, Authenticity, Authorization, Accessibility |
| Log history | [03/09/2016]: Translated to German |
Referenzen
Garfinkel, S.L., 2005. Design principles and patterns for computer systems that are simultaneously secure and usable (PhD thesis). Massachusetts Institute of Technology.
Just, M., 2005. Designing authentication systems with challenge questions, in: Cranor, L., Garfinkel, S. (Hrsg.), Security and usability. O’Reilly.