Authentifikation oder Authentifizierung bezeichnet einen Prozess, in dem überprüft wird, ob „jemand“ oder „etwas“ echt ist. Daher bedeutet Authentifikation die Verifizierung (Überprüfung) der Echtheit beziehungsweise der digitalen Identität.
Die Überprüfung des Personalausweises einer Person ist eine solche Authentifikation in der realen Welt. Ein Prüfer kann, mithilfe eines Personalausweises, das Aussehen einer Person mit dem Lichtbild vergleichen.
Im Cyber-Raum wird bei der Authentifikation mit der Erbringung eines oder mehrere Nachweise bestätigt, ob es sich um die Person (Nutzer) mit der angegebenen und behaupteten digitalen Identität handelt. Damit wird die Echtheit der digitalen Identität eines Nutzers festgestellt.
Klassen von Authentifizierungsverfahren
Es werden verschiedene Klassen von Authentifizierungsverfahren unterschieden, wie der Nachweis der Echtheit der digitalen Identität überprüft wird. Bei den verschiedenen Klassen spielen unterschiedliche Aspekte eine Rolle und es müssen diverse Charakteristika berücksichtigt werden.
1. Wissen: Bei dieser Klasse von Authentifizierungsverfahren wird über einen Nachweis der Kenntnis von Wissen die Echtheit eines Nutzers überprüft. Beispiele von Wissen sind: Passwort, PIN, Antwort auf eine bestimmte Frage (Sicherheitsfrage) usw.
Charakteristika von Wissen:
Das Wissen kann vergessen werden (insbesondere nach einer Feier).
Das Wissen kann dupliziert, verteilt, weitergegeben und verraten werden.
Das Wissen kann in vielen Fällen erraten werden (Social Engineering, Wörterbuchangriff …).
Das Wissen kann beim Eintippen mitgelesen oder mithilfe eines Keyloggers (Malware) im Endgerät ausgelesen werden.
Einmal abgefangenes Wissen gilt als kompromittiert, wenn es auch für weitere Dienste genutzt wird.
Die Preisgabe von Wissen kann kompromittiert werden (Androhung von Gewalt).
Die Mitführung von Wissen erfordert in der Regel keine praktischen Hilfsmittel.
2. Besitz: Verwendung eines Besitztums für das Authentifizierungsverfahren ist eine weitere Klasse. Beispiele für Besitz sind: Neuer Personalausweis, SIM-Karte im Smartphone, Hardware-Sicherheitsmodule (Smartcard, USB-Stick, …) usw. In der Regel wird der Besitz von geheimen Schlüsseln mithilfe von Challenge-Response-Verfahren nachgewiesen, die in den Sicherheitsmodulen sicher gespeichert sind.
Charakteristika von Besitz:
Das Besitztum ist mit Kosten verbunden (Hardware).
Das Besitztum muss mitgeführt werden (umständlich).
Das Besitztum kann verloren gehen (kein Zugang mehr).
Das Besitztum kann gestohlen werden (kein Zugang mehr).
Das Besitztum kann übergeben oder weitergereicht werden (jemand anderes kann zugreifen).
3. Sein: Bei dieser Klasse von Authentifizierungsverfahren muss der Nutzer gegenwärtig sein. Beispiele von Sein sind: Biometrische Merkmale wie Fingerabdruck, Gesichtsgeometrie, Iris, Tippverhalten, DNA usw.
Charakteristika von Sein:
Biometrische Merkmale werden durch Personen immer mitgeführt.
Biometrische Merkmale können nicht an andere Personen weitergegeben werden.
Verfahren zu Erkennung von biometrische Merkmalen können keine100 %-Aussagen treffen, sondern nur mit einer gewissen Wahrscheinlichkeit die Echtheit von Personen abschätzen.
Eine Lebenderkennung kann erforderlich sein (damit zum Beispiel ein künstlicher Fingerabdruck oder abgeschnittener Finger zurückgewiesen wird)
Ein biometrisches Merkmal ist im Laufe der Zeit oder durch Unfälle veränderlich und damit schlechter erkennbar.
Bestimmten Personengruppen fehlt das biometrische Merkmal.
Ein biometrisches Merkmal kann nicht ersetzt werden (Problem, wenn diese „gestohlen“ werden können).
4. Weitere unterstützende Faktoren (Reputation, Standort, Zeit, Technologie): Es können noch weitere unterstützende Faktoren für die Beurteilung der Echtheit des Nutzers herangezogen werden. Beispiele für weitere unterstützende Faktoren: Vergangene Transaktionen des Nutzers (Reputation), verwendete Endgeräte und Software des Nutzers (Technologie), Standort und Zeit des Authentisierungsprozesses.
Die Reputation des Nutzers ist ein Indiz, wie er sich zukünftig verhalten wird.
Die genutzte Technologie gibt einen Hinweis, ob es sich um den Nutzer handelt und wie das Angriffspotenzial des Endgeräts eingeschätzt werden kann.
Der Standort gibt geografische und netzbasierte Informationen über das Vertrauensniveau des Orts (sichere oder unsichere Umgebung).
Grundsätzliche Architektur der Identifikation und Authentifikation
In der Abbildung möchte der Nutzer Zugriff auf ein IT-System (Endgerät, Server, IT-Dienst, Cloud …) erhalten. Aus der Sicht des Nutzers und des IT-Systems werden IT-Sicherheitsfunktionen umgesetzt, die verschiedene Sicherheitsdienste erbringen.
Authentisierung (Sichtweise Nutzer): Der Nutzer authentisiert sich gegenüber einem IT-System (Endgerät, Server, IT-Dienst, Cloud, …), indem er einen Nachweis über seine digitale Identität, zum Beispiel den Nutzernamen, erbringt.
Authentifizierung (Sichtweise IT-System): Das IT-System (Endgerät, Server, IT-Dienst, Cloud, …) überprüft den Nachweis, um die Echtheit der digitalen Identität eines Nutzers im Rahmen der Authentifizierung festzustellen.
Autorisierung (Sichtweise IT-System): Wenn die Echtheit der digitalen Identität eines Nutzers erfolgreich verifiziert werden konnte, kann das IT-System (Endgerät, Server, IT-Dienst, Cloud, …) dem Nutzer definierte Rechte einräumen.
Erst wenn bekannt ist, wer auf ein IT-System zugreifen will, können die entsprechenden Rechte dieser Identität zugeordnet werden.
GenerelleAuthentifikationsverfahren
Für die Authentifizierung der Nutzer durch IT-Systeme sind prinzipielle unterschiedliche Authentifizierungsverfahren möglich. Im Folgenden werden die Prinzipien der grundsätzlichen Möglichkeiten von Authentifizierungsverfahren beschrieben.
Das einfachste und prinzipiell unsicherste, aber meist verwendete Authentifizierungsverfahren ist das Passwort-Verfahren. Hierbei werden ein Nutzername und ein Passwort zwischen dem Nutzer und dem IT-System im Vorfeld abgesprochen. Der Nutzer weist dann beim Zugriff auf das IT-System seine Identität (Nutzername) nach, indem er das abgesprochene Passwort sendet. Das Passwort-Verfahren ist eine Authentifikation mit dem Nachweis der Kenntnis von Wissen – des Passworts. Falls das Passwort falsch war, wird der Zugang abgelehnt. Passt das Passwort zum Nutzernamen, wird der Zugang zum IT-System gewährt. Das IT-System hat dazu eine Liste von Nutzernamen und Passwörtern von allen zugreifenden Nutzern zur Verfügung, um den Nachweis des Wissens überprüfen zu können.
Ein Einmal-Passwort oder One-Time Password (OTP) ist ein Authentifikationsverfahren, bei dem ein Passwort nur einmal für eine Session benutzt werden kann. Damit wird ausgeschlossen, dass ein Angreifer ein Passwort abhören und erneut verwenden kann (Replay-Attacken). Ein Man-in-the-Middle-Angriff (MITM) ist aber immer noch möglich. Die Einmal-Passwörter werden in der Regel in einem Hardware-Sicherheitsmodul des Nutzers generiert. Die Verifikation findet in einem Hardware-Sicherheitsmodul des IT-Systems statt. Das Einmal-Passwort ist nur für eine bestimmte Zeit nach der Generierung gültig. SM-C ist das Hardware-Sicherheitsmodule des Nutzers und SM-S des IT-Systems.
Beim Challenge-Response-Verfahren wird festgelegt, dass ein Nutzer sich gegenüber dem IT-System kryptografisch beweisen muss. Bei diesem Verfahren besitzt der Nutzer ein Geheimnis, zum Beispiel einen geheimen Schlüssel, mit dem er als Beweis dafür, dass er den geheimen Schlüssel besitzt, spontan eine kryptografische Operation durchführen muss. In der Regel sendet das IT-System dem Nutzer eine Zufallszahl, die Challenge, die dann spontan kryptografisch verarbeitet und dem IT-System als Response gesendete wird. Das IT-System überprüft, ob der Nutzer die kryptografische Operation richtig durchgeführt hat. Falls ja, war die Authentisierung erfolgreich. Ansonsten gilt die Echtheit nicht als nachgewiesen und eine Kommunikation über das IT-System wird nicht zugelassen. Aufgezeichnete Informationen können kein zweites Mal verwendet werden, da immer neue Zufallszahlen als Challenge gesendet werden. Bei einer Authentifizierung über unsichere Netze müssen Challenge-Response-Verfahren eingesetzt werden, um ein Abhören und daraus resultierende missbräuchliche Verwendung zu verhindern. Für die Speicherung der geheimen Schlüssel und die Berechnung der kryptografischen Verfahren werden auf beiden Seiten Hardware-Sicherheitsmodule verwendet. SM-C ist das Hardware-Sicherheitsmodule des Nutzers und SM-S des IT-Systems.
Biometrie ist die Identifikation und Authentifizierung mittels biologischer Merkmale. Biometrische Authentisierung verwendet physiologische oder verhaltenstypische, also personengebundene Charakteristika. Der prinzipielle Vorteil von biometrischen Verfahren für die Identifikation und Authentifizierung liegt darin, dass biometrische Merkmale nicht unmittelbar gestohlen und im Allgemeinen nur schwer kopiert werden können. Biometrische Merkmale können auf viele Arten gemessen werden. Die unterschiedlichen Verfahren messen das Tippverhalten an einer Tastatur, die Fingergeometrie, das Fingerlängenverhältnis oder die Handgeometrie. Weitere Möglichkeiten sind die Stimmanalyse, die Gesichtserkennung, die Erfassung der Unterschriftendynamik, des Netzhautmusters, des Irismusters oder des genetischen Codes (DNA-Analyse). Diese Verfahren können auch in unterschiedlichen Kombinationen zum Einsatz kommen.
Stand der Technik heute ist die Multifaktor-Authentifizierung. Mit einer Multifaktor-Authentifizierung (MFA) kann flexible agiert und mit einer höheren Vertrauenswürdigkeit authentifiziert werden. Beispiel Multifaktor-Authentifizierung: Es wird als Basis eine digitale Signatur einer Zufallszahl mithilfe eines Hardware-Sicherheitsmoduls (Smartcard, USB-Sick, …) umgesetzt, das mit einem Passwort oder PIN aktiviert werden muss. Um den Nutzerbezug zu verstärken, muss der Nutzer noch mithilfe eines Fingerabdrucks oder Gesichtserkennung seine Gegenwärtigkeit zusätzlich verifizieren lassen. Siehe auch: Multifaktor Authentifizierung
Authentifikation bezeichnet einen Prozess, in dem überprüft wird, ob „jemand“ oder „etwas“ echt ist. Das heißt, bei der Authentifikation wird mit der Erbringung von Nachweisen bestätigt, dass es sich um den Nutzer mit der behaupteten digitalen Identität handelt.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Authentifikation Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
