Vertraulichkeit durch Authentifizierung
Doch zu einer sicheren E-Commerce-Umgebung gehört auch, alle Transaktionspartner eindeutig zu identifizieren. Die Käufer müssen darauf vertrauen können, dass sie Online-Bestellungen mit einem korrekt operierenden Unternehmen abwickeln und nicht etwa mit einer illegalen Organisation mit verbrecherischen Absichten. Die Verkäufer wiederum wollen nur mit integren Auftraggebern ins Geschäft kommen. Mit dem Verfahren Secure Sockets Layer (SSL) hat sich eine allgemein akzeptierte Methode für die Authentifizierung von Online-Transaktionen über Websites etabliert. Auf dem Web-Server ist ein digitales Zertifikat, eine Art Echtheitssiegel, installiert. Die Benutzer sind in der Lage, die Gültigkeit des Server-Zertifikats über ihren Browser abzufragen. Mitunter geschieht dies über einen automatischen Dialog: Am Bildschirm erscheint eine Warnmeldung, die den Web-Anwender informiert, dass das empfangene Zertifikat nicht von einem vertrauenswürdigen Unternehmen
signiert wurde.
Bei den Techniken zur eindeutigen Identifikation von Online-Anwendern gilt es, Kosten und Nutzen genau abzuwägen. Die Passwortidentifikation ist zwar günstig, aber nicht zuverlässig genug, wenn es um den Zugriff auf hochsensible Daten geht. Den Königsweg weisen biometrische Systeme, die aber wegen des hohen Integrationsaufwands und der enormen Anschaffungskosten ein Nischendasein führen. Eher noch investieren Firmen in Hardware-Tokens oder Smartcards.
Um die Authentifizierung der Benutzer gegenüber der Website zu gewährleisten, gibt es unterschiedliche Möglichkeiten. Die Wahl des Verfahrens hängt vom gewünschten Sicherheitsniveau, der Komplexität der Implementierung in bestehende Systeme und natürlich den Kosten ab. Drei Methoden der Authentifizierung lassen sich unterscheiden: Besitz (beispielsweise ein Schlüssel), Wissen (ein Passwort oder eine persönliche Identifikationsnummer) oder ein eindeutiges Merkmal (der Fingerabdruck).
Kommt nur eine Methode (Besitz, Wissen oder Merkmal) zum Einsatz, spricht man von einer Einfach-(Single-Factor-)Authentifizierung. Die Kombination zweier Verfahren nennt sich entsprechend Zweifach-(Two-Factor-), die aller drei Methoden Dreifach-(Three-Factor-)Authentifizierung. Letztere bietet das höchste Maß an Sicherheit.