Security-Management
Test: Tool für das Passwort-Management
Fortsetzung des Artikels von Teil 1
Zuerst die Sicherheitsfrage
Geht nun das Passwort »verloren«, fragt Yahoo nach dem Geburtsnamen der Mutter. Gibt der Benutzer den richtigen Namen – in diesem Fall Schmitt – ein, wird ihm sein Passwort genannt, oder er erhält Gelegenheit, ein neues einzugeben.
DAPSS arbeitet mit einem vergleichbaren, aber deutlich komplexeren Mechanismus. Der Administrator gibt eine Vielzahl solcher Fragen vor, unterteilt in obligatorische und optionale Fragen, auf Wunsch auch noch in unterschiedlichen Sprachen.
Anschließend stellt er ein, wie viele Fragen aus diesen Listen das Programm bei einem Passwort-Reset-Wunsch zufällig auswählt und der Benutzer erfolgreich zu beantworten hat.
Natürlich muss DAPSS die richtigen Lösungen kennen. Um die richtigen Antworten vorzugeben, registrieren sich die Benutzer einmalig bei DAPSS und tragen sie ein.
Möchte ein Benutzer sein Passwort zurücksetzen, verbindet er sich mit der Passwort-Self-Service-Webseite, beantwortet die ihm gestellten Fragen und gibt anschließend sein neues Passwort ein. Nach der Installation eines MSI-Pakets (über Gruppenrichtlinien) auf einem Windows-Computer ist die Verbindung zu DAPSS direkt vom Windows-Anmeldebildschrim aus möglich – sinnvoll ist es ja eigentlich auch nur von dort aus.
Ansonsten lässt sich eine Verbindung jederzeit über Web-Browser herstellen. Die Fragen und Antworten speichert DAPSS verschlüsselt. Administratoren sollten aber zusätzlich unbedingt HTTPS für die Verbindung zwischen Client und Web-Server einschalten, denn sonst ist es möglich, die Benutzernamen und Passwörter während der Übertragung zu erspähen.
- Test: Tool für das Passwort-Management
- Zuerst die Sicherheitsfrage
