Wenn sich Nutzer auf Websites registrieren, um erweiterte Zugriffsrechte zu erhalten, ist oftmals eine Authentifizierung sinnvoll. Die Authentifizierung (Authentication) dient dazu, festzustellen, ob jemand der ist, den er vorgibt zu sein.

Verschiedene Verfahren können für den Authentifizierungsvorgang genutzt werden. Beispiele:

• e-mail Bestätigung mit Account Aktivierung: An die vom Nutzer bei der Registrierung anzugegebende e-mail Adresse wird eine Mail verschickt, die einen Aktivierungslink enthält, der vom Empfänger anzuklicken ist. Geprüft wird somit, ob der Benutzer über das angegebene e-mail Konto erreichbar ist. Da bei e-mail Providern nahezu beliebige Adressen generiert und verändert werden können und keine gesicherten Rückschlüsse auf den Besitzer möglich sind, eignet sich das Verfahren nur zur Prüfung der e-mail Adresse. Eine Ausnahme bilden geprüfte e-mail Adressen, wie dies bei Firmen und Institutionen (z.B. Hochschulen, die den Studenten eine Adresse zuteilen) der Fall ist.

• Single Sign-On, OAuth, OpenID, WebID u.a.: Können hilfreich sein, stellen aber eher eine Erleichterung bei der Anmeldung durch den Nutzer dar. Inwieweit diese Mechanismen bei der Authentifizierung helfen, ist stark davon abhängig, wie zuvor beim Anlegen der ID verfahren wurde.
• Fragestellungen, die zu beantworten sind: Wenn Nutzer einer bestimmten Interessengruppe zu authentifizieren sind, dann kann auch ein Frage-Antwort-Spiel ausreichend Hinweise geben. Hierbei wird Insider-Wissen abgefragt.
• PostIdent-Verfahren: PostIdent wird von der Deutschen Post angeboten und ermöglicht die sichere Personenidentifikation von Nutzern in den Filialen der Deutschen Post oder durch den Postzusteller. Es werden hierbei alle Ausweisdaten übernommen, eine Kundenunterschrift eingeholt und ggf. noch weitere durch den Nutzer ausgefüllte Dokumente beigefügt. Dieses Verfahren wird auch von Banken mit wenig oder keinen Filialen verwendet. Der Nutzer ist dann gesichert identifiziert. Nachteil ist hier die zeitliche Verzögerung, die keine sofortige Freischaltung der Zugriffsrechte auf einer Internetsite erlaubt.
• Passcode mit Post schicken: Der Nutzer muss seine Adresse angeben und erhält dann per Post einen Passcode zugestellt, der ihm den erstmaligen Zugang zum System erlaubt und ihn dann auffordert, das Passwort zu ändern. Bei diesem Weg wird die Adresse geprüft. Nachteilig ist aber, dass aufgrund der Zeit für die Postversendung und -zustellung eine Verzögerung eintritt, die nur eine spätere Freischaltung auf der Internetsite möglich macht.
• Ãœberweisung von Kleinstbeträgen: Durch Ãœberweisung von Centbeträgen auf das vom Nutzer angegebene Girokonto und anschliessender Eingabe der Beträge auf der Internetsite, läßt sich prüfen, ob die Kontenzuordnung stimmt. Nachteilig ist, dass bei falschen Angaben eine Gebühr der Banken fällig werden kann. Der umgekehrte Weg, sich einen Kleinbetrag überweisen zu lassen, kann effektiver sein. Ungünstig ist aber auf jeden Fall der Zeitverzug.
• Nutzung von Online-Zahlungsdiensten: Beispielsweise Paypal, Moneybookers. Mechanismus wie bei der o.g. Ãœberweisung, aber als Online-Verfahren.
• SMS-Authentifizierung: Selbst bei Prepaidkarten erfolgt eine Personalisierung beim Kauf und der Freischaltung. Daher können sich Nutzer per SMS freischalten lassen. Sie erhalten per SMS einen Passcode auf Ihr Mobiltelefon und geben diesen als Einmalcode auf der Internetsite ein. Die Mobilnummer wird dem Nutzer dann direkt zugeordnet.
• Internetbrief, ePass, De-Mail… hier liegen mir noch keine ausreichenden Informationen vor.
• …

No related posts.