Patterns
- Abwesenheit von Hinweisen
- Aktive Warnungen
- Bemerkbare kontextabhängige Hinweise
- Deaktivieren von Sicherheitsfunktionen
- Detaillierte Sicherheitsmitteilungen
- Dialoge mit Handlungsempfehlungen
- Direkte Mitteilungen
- Direkte Optionen
- Direkter Zugang zu UI-Komponenten
- E-Mailgestützte Identifikation und Authentifizierung
- Empfehlungen bereitstellen
- Empfohlene Optionen
- Erstelle Keys bei Bedarf
- Erstellung eines Security-Lexikons
- Explizite Prüfung durch Nutzer
- Explizites Löschen von Einträgen
- Gefahrenstufen
- Generelle Sicherheitsbenachrichtigungen
- Hinweise auf abweichendes Verhalten
- Hinweise auf eingeschränkte Bereiche
- Hinweisen auf Bedrohungen & Konsequenzen
- Indirekter Zugang zu UI-Komponenten
- Informative Dialoge
- Installiere vor der Ausführung
- Kontinuierliches Schlüssel-Management
- Kurze Beschreibung von UI-Komponenten
- Lokalisierung spezifischer Bereiche
- Nutzeraktivierte Sicherheitsfunktionen
- Redundante Hinweise
- Reset auf Installation
- Sende S/MIME-signierte E-Mails
- Sequentieller Zugriff auf UI-Komponenten
- Sicherheit nach Fehlern
- Sicherheitsmaßnahmen des Systems
- Standardmäßiges Deaktivieren von Funktionen
- Systemgenutzte Sicherheitsfunktionen
- Trennung von Warnhinweis und Webseite
- Unterscheidbare Sicherheitsebenen
- Unterscheide zwischen Run und Open
- Unterscheidung von internen Absendern
- Unwiderrufliches Löschen
- Verfolge empfangene Schlüssel
- Verfolge Empfänger
- Verzögerte unwiderrufliche Aktionen
- Warne bei Gefahr
- Wirksame Nutzung existierender Identifikationsmethoden
- Übertrage und sichere Keys
Patterns basieren auf wissenschaftlichen Quellen.
Usable Security Pattern - Wirksame Nutzung existierender Identifikationsmethoden
Luigi Lo Iacono, Peter Nehren
- Januar 2016
Wirksame Nutzung existierender Identifikationsmethoden
| Name | Wirksame Nutzung existierender Identifikationsmethoden |
| Quellen | (Garfinkel, 2005), (Cooper, 2004), (Norman, 1983) |
| Synonyme | Keine |
| Kontext | Digitale Identifikationsmethoden mittels Biometrie und Public-Key-Infrastruktur (PKI) sind einfacher einzurichten, wenn die Technologie von einer bereits vorhandenen Methode unterstützt wird, und die Methode nicht erst für das Nutzen eines Identifikationssystems eingeführt wird. |
| Problem | Wie stellt man am besten Identifikationssysteme bereit (wie etwa client-basierte PKI, Token oder Biometrie)? |
| Lösung | Nutze existierende Identifikationsmethoden statt neue zu kreieren. |
| Beispiele | Zurko (Zuro, 2005) berichtet, dass momentan etwa 100 Millionen Lotus Notes Client-Lizenzen eingerichtet werden; Das US Verteidigungsministerium hat erfolgreich eine PKI für über 2 Millionen Mitarbeiter, Unternehmer und aktives Militärpersonal eingerichtet. In beiden Fällen wurde eine PKI genutzt, um Identitäten zu zertifizieren, die über andere Wege angelegt wurden; es wurde eine bereits existierende lokale Identität in die digitale Domain übertragen. Das MIT gibt persönliche Zertifikate an Individuen aus, die ihren Kerberos-Nutzernamen, ihr Kerberos-Passwort und ihre MIT ID-Nummer kennen (Siehe Schaubild).  Quelle: (Garfinkel, 2005) |
| Implementierung | Organisationen geben Zertifikate an ihre eigenen Mitarbeiter aus. Banken in Europa versenden Transaktion-Autorisierungs-Nummern (TANs: im Grunde ein einmaliges Passwort) an viele Kunden zusammen mit ihrem monatlichen Bankauszug durch Nutzung des existierenden Authentifizierungssystems der Post. |
| Konsequenzen | Es wird einfacher, sichere Systeme einzurichten, da alle Nutzer verstehen, welche Sicherheitsgarantien damit verbunden sind. Unvermeidbare Fehler können durch das Nutzen von Tools korrigiert werden, die schon in dem existierenden Identifikationssystem vorhanden sind. |
| Abhängigkeiten | Keine |
| Beziehungen | [E-Mailgestützte Identifikation und Authentifizierung] |
| Prinzipien | Keine |
| Richtlinien | Keine |
| Check Listen | Keine |
| Use cases | Keine |
| Tags | Wirksame Nutzung existierender Identifikationsmethoden, E-Mailgestützte Identifikation und Authentifizierung, Authentication, Conformity of Usability |
| Log history | [03/16/2016]: Translated to German |
Referenzen
Cooper, A., 2004. The inmates are running the asylum: Why high-tech products drive us crazy and how to restore the sanity, 2nd ed. ed. Que, Indianapolis, IN.
Garfinkel, S.L., 2005. Design principles and patterns for computer systems that are simultaneously secure and usable (PhD thesis). Massachusetts Institute of Technology.
Norman, D.A., 1983. Design rules based on analyses of human error. Commun. ACM 26, 254–258. doi:10.1145/2163.358092
Zuro, M.E., 2005. Lotus notes/domino: Embedding security in collaborative applications, in: Cranor, L., Garfinkel, S. (Hrsg.), Security and usability. O’Reilly.