Authentifizierungsverfahren

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Authentifizierungsverfahren

    Moin Moin,

    (vorab: Anfrage existiert in mehreren Foren, weil es nicht DIE richtige oder beste Antwort gibt, sondern in diesem Fall mehr gleich besser ist)

    Ich bräuchte mal etwas Schwarmwissen Unterstützung zum Thema Authentifizierungsverfahren zwischen App und Server/Backend/API

    Was kennt ihr für Verfahren (eventuell auch mit Beispielen) oder was könnt ihr euch vorstellen?
    Dabei ist die Umsetzbarkeit und die Sicherheit erstmal zweitrangig (weil theoretischer Ansatz für die Uni)

    Username/Passwort
    Das klassische, man gibt Name und Passwort an, wird an den Server geschickt und beim Match ist der User Authentifiziert.

    Tan
    User gibt einen Namen ein und der Server verschickt einen TAN per Mail oder sms etc. An hinterlegte Adresse/Nummer passend zum Namen der dann in der App eingegeben wird

    Username/Passwort/TAN
    2Faktor, Kombination aus den ersten beiden

    QR-Code
    Anbieter der App gibt QR-Code aus, wenn man sich einloggen will scannt man den Code, die Zeichenfolge wird an den Server geschickt und zu einem User gemappt.

    Gesichtserkennung/Foto
    Serverseitig wird ein Foto hinterlegt, zum einloggen muss der User ein Foto von sich machen und abschicken der Server vergleicht die Fotos

    FaceID und TouchID sind dafür ja nicht geeignet weil dies nur lokal auf dem Gerät funktioniert und letztendlich auch nur Passwort „freischaltet“ was dann benutzt wird.

    Wäre super wenn ihr noch weitere Idee/Anregungen habt

    Danke
    Ich weiß nicht immer wovon ich rede aber ich weiß das ich Recht habe. :saint:
  • Hallo!

    Zufallszahl statt Username/Passwort
    Wenn die Authentifizierung nur von der App durchgeführt wird, wäre es möglich, eine superlange sicher eindeutige Zufallszahl zu generieren und diese zu verwenden.

    GeräteID
    Wenn ich mich recht erinnere, gab es da zumindest mal die Möglichkeit eine eindeutige ID des Geräts zu ermitteln, die genauso verwendet werden könnte, aber dann natürlich auch einfacher von anderen Apps zu nutzen ist.

    GPS-Daten
    Statt der Zufallszahl oder ID könnte bei erster Nutzung die Position des Gerätes ermittelt und künftig zur Authentifizierung verwendet werden. Zumindest mit der genauen Zeit, sollte es unwahrscheinlich sein, dass mehrere mit den gleichen Daten kommen.

    Stimme statt Foto

    Asymmetrische Schlüssel wie bei PGP
    Ich hatte mir mal Gedanken gemacht für ein alternatives Chat-System, das nur einen Speicher benötigt. Jeder greift darauf zu und erkennt seine Daten z.B. anhand der Dateinamen. Die verschlüsselten Daten kann sich jeder holen. Authentifizierung erfolgt dann quasi dadurch, dass der Client den privaten Schlüssel zum Entschlüsseln nutzt. Das ist jetzt nicht ganz wie in der Frage beschrieben, aber vielleicht eine Anregung.

    Abgesehen vom letzten unterscheiden sich die von mir genannten nur in technischen Details der Umsetzung von deinen. Denkbar wäre ja auch ein System, bei dem die Nutzer neue einrichten und eine neuer bei der ersten Anmeldung mit dem einrichtenden authentifiziert werden muss.

    Grüße
    Marco