diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index bbfc4f9..b52bff4 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -239,7 +239,7 @@ Das ist der Fall, wenn Benutzer ihr VPN-Passwort für weitere Dienste verwenden, Das Schadenspotential umfasst in diesem Fall zusätzlich zu über den VPN-Zugang begangene Straftaten auch das Ausspähen von persönlichen Daten, die über die kompromittierten Zugangsdaten zugänglich sind. Ein solches Schadenspotential besteht auch dann, wenn der VPN-Dienst an den Verzeichnisdienst der Hochschule Hannover angebunden würde. -Dann können die kompromittierten Zugangsdaten verwendet werden, um beispielsweise die E-Mails des betroffenen Benutzers zu lesen, Zugriff auf dessen Homelaufwerk zu nehmen oder - im Fall eines Studierenden - über das Prüfungsverwaltungssystem Ergebnisse und weitere persönliche Daten auszuspähen. +Dann könnten die kompromittierten Zugangsdaten verwendet werden, um beispielsweise die E-Mails des betroffenen Benutzers zu lesen, Daten von dessen Homelaufwerk zu stehlen oder - im Fall eines Studierenden - über das Prüfungsverwaltungssystem Ergebnisse und weitere persönliche Daten auszuspähen. Eine Anbindung des VPN-Dienst an den Verzeichnisdienst der Hochschule Hannover kommt in Folge dessen nicht in Frage. Ein weiterer Nachteil ergibt sich dadurch, dass Zugangsdaten zum Zweck der Benutzerauthentisierung durch VPN-Client und -Server, sowie zusätzlich auf dem Server eingebundene Authentisierungsprogramme verarbeitet und übertragen werden müssen. @@ -272,7 +272,9 @@ Insgesamt bringt die Authentisierung von Benutzern mit Zertifikaten im Vergleich Gleichzeitig ist die Angriffsfläche für Brute-Force-Angriffe bei einer Authentisierung auf Basis von Zugangsdaten größer als bei Zertifikaten, weil Passwörter im Vergleich zu RSA-Schlüsseln ab 1024~Bit Länge deutlich geringere Komplexität aufweisen, und durch einen Angreifer leichter ausprobiert werden können. Zusätzlich besteht ein reduziertes Bedrohungsrisiko bei kompromittierten privaten Schlüsseln als im Vergleich zu kompromittierten Zugangsdaten, welche gegebenenfalls für weitere Dienste gültig sein könnten oder deren Passwort für mehrere Dienste durch den Benutzer wiederverwendet wurde. -Außerdem ist die Angriffsfläche beim Einsatz von Zertifikaten geringer, da kein zusätzlicher Code in das System integriert wird, durch das Zugangsdaten verarbeitet würden. +Bei der Authentisierung von Zugangsdaten besteht die Möglichkeit, dass zusätzlicher Code in Form von Programmen oder Skripten in die VPN-Software integriert werden muss, der die Zugangsdaten mit Hilfe eines Verzeichnisdienstes prüft. +Dadurch erhöht sich nicht nur die potentielle Angriffsfläche, sondern auch die Anzahl an potentiellen Fehlerquellen bei der Übertragung und Verarbeitung der Zugangsdaten. + Unter Abwägung dieser Vor- und Nachteile werden Zertifikate zur Authentisierung von Benutzern verwendet. \paragraph{Installationskonzept für die PKI:} \label{p:concept_pki_deployment}