© iStockphoto.com/danleap, © S&S Media
Standardisierung des Benutzermanagements für Apps

So viel Standard wie möglich


Apps leben von der schnellen und unkomplizierten Kommunikation mit anderen Nutzern. Lediglich beim Abrufen allgemeiner, d. h. nicht schutzwürdiger Informationen, sind keine Maßnahmen der Benutzeridentifikation zu treffen. In allen anderen Fällen ist ein mehr oder weniger umfassendes Benutzermanagement zu implementieren. Die Anforderungen und Aufgaben sind nahezu anwendungsübergreifend, sodass sich Standardisierung lohnt.

Video: The Transition from Application to Infrastructure

Artikelübersicht

Teil 1: Anforderungen und Konzept von Benutzermanagement

Teil 2: Implementierung und Nutzung von Authentifizierungsservices

Zwischen den Nutzern einer App werden vielfältige Informationen ausgetauscht, beispielsweise Textnachrichten, Bilder oder die Position, die zuvor per GPS-Sensor ermittelt wurde. Andere Anwendungen rufen schutzbedürftige Daten von einem entfernten Server in der Cloud ab, um diese dem Nutzer zu präsentieren. Die meisten Szenarien dieser Form des Datenaustauschs (Abb. 1) sind schutzbedürftig, d. h. der Anwender muss sich vor dem Zugriff auf die Daten entsprechend authentifizieren. Ohne bereits auf alle möglichen Sicherheitsstufen einzugehen, besteht eine Benutzerauthentifikation in der Regel aus Benutzername und Passwort. Je schutzbedürftiger die Daten sind, desto höher sind die Anforderungen an die Auswahl und Bestätigung dieser beiden Bestandteile. Einige in der Praxis anzutreffende Workarounds sind:

  • Das Passwort muss bezüglich der Komplexität (Länge, Sonderzeichen …) bestimmten Mindestanforderungen genügen.

  • Der Benutzername wird durch das Hinterlegen einer E-Mail-Adresse verifiziert.

  • Bei der erstmaligen Anmeldung wird die Verifikation des Benutzers über einen zusätzlichen Kommunikationsweg vorgenommen. In einfachen Fällen erhält der Anwender per SMS einen Code auf sein Smartphone übermittelt (dieses muss jedoch zuvor als Medium akzeptiert und verifiziert worden sein). Alternativ geschieht die Übermittlung des initialen Passworts sogar auf dem Postweg. Letzteres ist beispielsweise bei der Freischaltung der Berechtigung für die Teilnahme am Internetbanking üblich.

  • Die Identifikation des Benutzers wird vor der Teilnahme an der elektronischen Kommunikation persönlich sichergestellt, beispielsweise durch Vorlage bestimmter Dokumente. Ein Beispiel ist das Post­ident-Verfahren.

krypczyk_benutzermanagement_1.tif_fmt1.jpgAbb. 1: Prinzip des Datenaustauschs zwischen den Apps mithilfe eines Servers in der Cloud

Wie man sieht, werden je nach erforderlicher Sicherheit technische (Verschlüs...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang