3. Zugangsberechtigung für N Benutzer mit X Funktionen? Argh

Zugangsberechtigung für N Benutzer mit X Funktionen? Argh

  • S

    Hi all.

    Ich muss mich folgender Herausfoderung stellen:

    Wir haben N Benutzer, wovon jeder ein persönlicher Zugang zum persönlichen System (Notebook, Win2000) hat. Der Benutzer soll auf dem System eine von mir geschriebene Applikation verwenden (VC++ App). Je nach Benutzer sollen nun gewissen Funktionen dieser Applikation eingeschränkt werden. es kann vorkommen, dass Benutzer A das System von Benutzer B verwenden muss usw.

    Passwort als Lösung:
    Ein Passwort würde dies sicherlich ansatzweise lösen. Doch das Problem ist, dass je nach Benutzer eben Einschränkungen realisiert werden müssen. Wir müssen ca. 100 Funktionen berücksichtigen.
    d.h. z.B. dass jede Funktion ein Bit benötigen würde. Also hätte das PW ein Länge von 100 Bit exklusive Überprüfungsmechanismen. Fassen wir jeweils 5 Bits zu einem Zeichen (0..9 + a..z) zusammen, hätten wir so immer noch 20 Zeichen für ein Passwort! Das ist zu lang und somit nicht zumutbar!

    Gruppenpasswort:
    Eine Weitere Lösung von mir wäre die Zusammenfassung von Funktionen. Funktionen A...E erhalten dasselbe Bit. Dann würde sich das Passwort um einige Stellen verkürzen.

    Bei den Passwörtern habe ich aber das Problem, dass dieses weitergegeben werden könnte...

    Lizenzdatei auf Datenträger?`
    Eine sympatische Lösung ist die Verwendung eines Memorysticks (USB), welcher 1x pro Benutzer vergeben wird. Die Firma http://www.aladdin.de vertreibt solche kryptographischen Keys. Doch die sind irgendwie auch zu teuer...

    Frage:
    Kann ich nicht einfach einen normalen USB Memorystick verwenden und dort eine perönliche Datei darin abspeichern? Na klar geht das, aber jetzt muss ich natürlich noch verhindern können, dass diese Datei von den Benutzern nicht kopiert werden kann. Gibt es da ein Verfahren, den man einbauen kann? -> d.h. die Datei/Datenträger so verschlüsseln, dass diese nicht vom Datenträger kopiert werden kann?
    Ein Kopierschutz für CD-ROMs gibt es ja und das könnte auch eine Alternativklösung sein, doch aufgrund der Abmessungen ist dies etwa umständlich (8..12cm Durchmesser). Ein USB Stick wäre ideal

    Any help ist highly welcome!
    sky

    0
  • G

    kaufe etwas exotische usb sticks, am besten aus den ausland
    jetzt kannst du die key datei mit den firmen namen des usb sticks signieren (hashen oder was auch immer)

    der firmen name ist in der usb stick firmware drin, man kann nicht ein zweiten stick nähmen und ihn rüber copieren

    der schutz ist natürlich nicht 100%, entweder muss dejenige den gleichen stick im ausland kaufen oder eine emulation eines sticks schreiben oder dein programm patchen oder (ka obs sowas gibt) ein usb stick suchen bei den man den firmennamen austauschen kann

    neue idee:
    außerdem lassen sich ubs sticks nur eine begrenzte anzahl beschreiben, du musst halt mit einen programm ein paar bestimte sektoren immer neu beschreiben bis sie ausfallen und schon hast du einen einen einzigartigen usb stick den man nicht so leicht kopieren kann
    aber das kann glaube wochen dauern (aber das machst auch für den cracker schwieriger)

    0
  • G

    aber das problem 100 funktion und den 20 char passwort usw. habe ich nicht kapiert, wenn du es verständlicher erklärst kann man dir da auch helfen

    0
  • S

    Gerard schrieb:

    aber das problem 100 funktion und den 20 char passwort usw. habe ich nicht kapiert, wenn du es verständlicher erklärst kann man dir da auch helfen

    Als ich stelle mir das so vor:

    ich habe 100 Funktionen, die individuell freigeschaltet werden können. also 0 oder 1. Daher habe ich für 100 Funktionen 100 Bit.
    Verwende ich die folgenden Zeichen: 0..9 und a..z so ergeben sich 10 + 26 = 36 Möglichkeiten, welche ich mit einem solchen Zeichen darstellen kann (2^5). ein solches Zeichen kann ich mit 5 Bits darstellen, also ergbibt 100 : 5 [Bit] = 20 Passwortzeichen.
    Jo, aber jetzt hab ich erst die Sequenz "kopriemiert", welche mir die Funtkionen freischaltet. Checksumme und Redundanz ist noch nicht dabei 😞

    0
  • G

    lege doch eine kleine 'datenbank' an in der steht welches benutzer+passwort welche funktion nutzen darf

    0
  • S

    Gerard schrieb:

    lege doch eine kleine 'datenbank' an in der steht welches benutzer+passwort welche funktion nutzen darf

    Nun ja, eine DB wird wohl so oder so geführt, damit man am Hauptsitz nachvollziehen kann, welcher Benutzer über welche freigaben verfügt.

    Aber diese DB oder teile davon kann man ja nicht auf jedes Notebook installieren, sonst müsste man bei jedem neuen oder abgeänderten Benutzer bzw. Benutzerprofil auch die lokale DB update'n.
    Bei 100 Benutzern? Nein danke 😮

    0
  • G

    jeder user krigt dann ein lizenz code wenn er sich zum ersten mal an ein pc stitz muss er ihn eingeben (sowas einmaliges kann auch länger als 20 zeichen sein)
    dann wird das dann auf den pc gespeichert und dann kann der user wie gewohnt mit name+pass sich anmelden
    aber klinkt irgend wie nicht so toll

    0
  • T

    Hi

    Wie sicher soll das den eigentlich sein? und wie teuer darf das den werden?
    Wie sieht die Infrastrucktur aus? sind das nur laptopbs die überall verstreut sind, oder sind die normalerweise in einem netzerk eingelogt, und das standalone arbeiten ist eher die ausnahmen?

    Die aladin lösung hast du ja wieder verworfen, da zu teuer, es gibt aber auch noch andere Hersteller, die teilweise billiger sind. Auserdem brauchst du ja nicht für jeden rechner eine Key. sondern nur für die, die nicht im netz hängen (z.B. Laptop auf reisen)

    das mit der DB ist so ne sache. wie lang ist den normalerweise die zeitspanne in der ein laptop keinen kotackt zum zentralsystem hat. sobald er wieder im netz hängt kontaktiert sich die applikation selbständig mit dem server und holt sich die notwendigen datensätze runter. im prinzip eine automatisierung. Sies auch mal von der Verwaltungsseite. Änderungen können zentral eingetragen werden, und stehen dann allen installationen zur verfügung. Andersrum würde jede änderung an den rechten eine änderung bei den zugangsdaten bedeuten. Auserdem, wie sperrst du benutzer wieder aus? bzw wie entziehst du ihnen wieder rechte fals das mal notwendig werden sollte?

    Der USB Key währe eine alternative zu einem Zentralen system. auf den key wird eine "Lizenz ausgelagert" vom Zentralsystem werden die notwendigen benutzerdaten heruntergeladen mit einem Timestamp und einem verfallsdatum versehen, und entsprechend verschlüsselt auf den Key abgelegt. ( USB VenderID und ProducktID sowie die Versionsnummer können zur identifikation des keys und zur verschlüsselung verwendet werden. aber vorsicht bei den keys. nicht alle zählen die versionsnummer hoch).

    gruss

    0
  • S

    Termite schrieb:

    Hi

    Wie sicher soll das den eigentlich sein? und wie teuer darf das den werden?
    Wie sieht die Infrastrucktur aus? sind das nur laptopbs die überall verstreut sind, oder sind die normalerweise in einem netzerk eingelogt, und das standalone arbeiten ist eher die ausnahmen?

    Also in erster linie muss es nur "abschreckend" wirken und nicht trivial zu umgehen sein. Es sind Benutzer, die sich mit dem PC nicht gut auskennen.

    Teuer darf es wie oft nicht sein. D.h. eine Lösung, die "nur" aus einem Passwort bestehet, ist vorzuziehen...

    Infrastruktur:
    Die Benutzer sind Service Techniker. Gehen also zu einem Kunden mit dem Notebook. Also keine stationären Geräte. Hoch mobil. Mit einem LAN, WAN oder sonstigem Netzwerkzugang darf nicht gerechnet werden. Von daher fallen alle Client/Server Lizenzmodelle weg.

    Termite schrieb:

    Die aladin lösung hast du ja wieder verworfen, da zu teuer, es gibt aber auch noch andere Hersteller, die teilweise billiger sind. Auserdem brauchst du ja nicht für jeden rechner eine Key. sondern nur für die, die nicht im netz hängen (z.B. Laptop auf reisen)

    das mit der DB ist so ne sache. wie lang ist den normalerweise die zeitspanne in der ein laptop keinen kotackt zum zentralsystem hat. sobald er wieder im netz hängt kontaktiert sich die applikation selbständig mit dem server und holt sich die notwendigen datensätze runter. im prinzip eine automatisierung. Sies auch mal von der Verwaltungsseite. Änderungen können zentral eingetragen werden, und stehen dann allen installationen zur verfügung. Andersrum würde jede änderung an den rechten eine änderung bei den zugangsdaten bedeuten. Auserdem, wie sperrst du benutzer wieder aus? bzw wie entziehst du ihnen wieder rechte fals das mal notwendig werden sollte?

    Der USB Key währe eine alternative zu einem Zentralen system. auf den key wird eine "Lizenz ausgelagert" vom Zentralsystem werden die notwendigen benutzerdaten heruntergeladen mit einem Timestamp und einem verfallsdatum versehen, und entsprechend verschlüsselt auf den Key abgelegt. ( USB VenderID und ProducktID sowie die Versionsnummer können zur identifikation des keys und zur verschlüsselung verwendet werden. aber vorsicht bei den keys. nicht alle zählen die versionsnummer hoch).
    gruss

    Ja das ist ein guter Ansatz, den man als Inspirationsquelle weiterverwenden kann. Thanks man.

    Aber eben: Ein zentralen System/Docking station mit LAN Anschluss ist nicht vorhanden bzw. darf nicht diesbezüglich verwendet werden.

    0
  • G

    dann nimm doch die idee mit usb sticks aber ohne zeitverfall und server/client

    aber dongels&sticks am notebook sind schon ganz schön nerfig

    0
Anmelden zum Antworten