slider

Authentifikation - Prof. Dr. Norbert Pohlmann

Authentifikation

Authentifikation - Authentisierung - Autorisierung – Glossar Cyber-Sicherheit – Prof. Norbert Pohlmann

Was ist eine Authentifikation?


Authentifikation bezeichnet einen Prozess, in dem überprüft wird, ob „jemand“ oder „etwas“ echt ist. Daher bedeutet Authentifikation die Verifizierung (Überprüfung) der Echtheit beziehungsweise der Identität. Die Überprüfung des Personalausweises einer Person ist eine solche Authentifikation in der realen Welt.
Ein IT-System (Endgerät, IT-Dienst, Server, …) überprüft den Nachweis der Echtheit der Identität eines Nutzers im Rahmen der Authentifizierung.


Klassen von Authentifizierungsverfahren
Es werden verschiedene Klassen von Authentifizierungsverfahren unterschieden, bei denen unterschiedliche Aspekte eine Rolle spielen und diverse Charakteristika berücksichtigt werden müssen.

1. Wissen: Bei dieser Klasse von Authentifizierungsverfahren wird über einen Nachweis der Kenntnis von Wissen die Echtheit eines Nutzers überprüft. Beispiele von Wissen sind: Passwort, PIN, Antwort auf eine bestimmte Frage (Sicherheitsfrage) usw.

Charakteristika von Wissen:

  • Das Wissen kann vergessen werden (insbesondere nach einer Feier).
  • Das Wissen kann dupliziert, verteilt, weitergegeben und verraten werden.
  • Das Wissen kann in vielen Fällen erraten werden (Sozial Engineering, Wörterbuchangriff, …).
  • Das Wissen kann beim Eintippen mitgelesen oder mithilfe eines Keyloggers (Malware) im Endgerät ausgelesen werden.
  • Einmal abgefangenes Wissen gilt als kompromittiert, wenn es auch für weitere Dienste genutzt wird.
  • Die Preisgabe von Wissen kann kompromittiert werden (Androhung von Gewalt).
  • Die Mitführung von Wissen erfordert in der Regel keine praktischen Hilfsmittel.


2. Besitz: Verwendung eines Besitztums für das Authentifizierungsverfahren ist eine weitere Klasse. Beispiele für Besitz sind: Neuer Personalausweis, SIM-Karte im Smartphone, Hardware-Sicherheitsmodule (Smartcard, USB-Stick, …) usw. In der Regel wird der Besitz von geheimen Schlüsseln mithilfe von Challenge-Response-Verfahren nachgewiesen, die in den Sicherheitsmodulen sicher gespeichert sind.

Charakteristika von Besitz:

  • Das Besitztum ist mit Kosten verbunden (Hardware).
  • Das Besitztum muss mitgeführt werden (umständlich).
  • Das Besitztum kann verloren gehen (kein Zugang mehr).
  • Das Besitztum kann gestohlen werden (kein Zugang mehr).
  • Das Besitztum kann übergeben oder weitergereicht werden (jemand anderes kann zugreifen).


3. Sein: Bei dieser Klasse von Authentifizierungsverfahren muss der Nutzer gegenwärtig sein. Beispiele von Sein sind: Biometrische Merkmale wie Iris, Fingerabdruck, Gesichtsgeometrie, DNA, Tippverhalten usw.

Charakteristika von Sein:

  • Biometrische Merkmale werden durch Personen immer mitgeführt.
  • Biometrische Merkmale können nicht an andere Personen weitergegeben werden.
  • Verfahren zu Erkennung von biometrische Merkmalen können keine 100 %-Aussagen treffen, sondern nur mit einer gewissen Wahrscheinlichkeit die Echtheit von Personen abschätzen.
  • Eine Lebenderkennung kann erforderlich sein (damit zum Beispiel ein künstlicher Fingerabdruck oder abgeschnittener Finger zurückgewiesen wird)
  • Ein biometrisches Merkmal ist im Laufe der Zeit oder durch Unfälle veränderlich und damit schlechter erkennbar.
  • Bestimmten Personengruppen fehlt das biometrische Merkmal.
  • Ein biometrisches Merkmal kann nicht ersetzt werden (Problem, wenn diese „gestohlen“ werden können).


Grundsätzliche Architektur der Identifikation und Authentifikation
In der Abbildung möchte der Nutzer Zugriff auf ein IT-System (Server, IT-Dienst, …) erhalten. Aus der Sicht des Nutzers und des IT-Systems werden IT-Sicherheitsfunktionen umgesetzt, die verschiedene Sicherheitsdienste erbringen.

Authentisierung (Sichtweise Nutzer): Der Nutzer authentisiert sich gegenüber einem IT-System (Endgerät, IT-Dienst, Server, …), indem er einen Nachweis über seine Identität, den Nutzernamen, erbringt.

Authentifizierung (Sichtweise IT-System): Das IT-System (Endgerät, IT-Dienst, Server, …) überprüft den Nachweis der Echtheit der Identität eines Nutzers im Rahmen der Authentifizierung.

Autorisierung (Sichtweise IT-System): Wenn die Echtheit der Identität eines Nutzers erfolgreich verifiziert werden konnte, kann das IT-System (Endgerät, IT-Dienst, Server, …) dem Nutzer definierte Rechte für das Endgerät oder den IT-Dienst/Server einräumen.

Authentifikationsverfahren

Für die Authentifizierung der Nutzer durch IT-Systeme sind prinzipielle unterschiedliche Authentifizierungsverfahren möglich.
Im Folgenden werden die Prinzipien der grundsätzlichen Möglichkeiten von Authentifizierungsverfahren beschrieben.


Generelle Authentifikationsverfahren

• Passwort-Verfahren
• Einmal-Passwort-Verfahren
• Challenge-Response-Verfahren
• Biometrische Verfahren


Passwort-Verfahren
Das einfachste und prinzipiell unsicherste, aber meist verwendete Authentifizierungsverfahren ist das Passwort-Verfahren. Hierbei werden ein Nutzername und ein Passwort zwischen dem Nutzer und dem IT-System im Vorfeld abgesprochen. Der Nutzer weist dann beim Zugriff auf das IT-System seine Identität (Nutzername) nach, indem er das abgesprochene Passwort sendet. Das Passwort-Verfahren ist eine Authentifikation mit dem Nachweis der Kenntnis von Wissen – des Passworts. Falls das Passwort falsch war, wird der Zugang abgelehnt. Passt das Passwort zum Nutzernamen, wird der Zugang zum IT-System gewährt. Das IT-System hat dazu eine Liste von Nutzernamen und Passwörtern von allen zugreifenden Nutzern zur Verfügung, um den Nachweis des Wissens überprüfen zu können.

Passwort-Verfahren - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann


Einmal-Passwort-Verfahren
Ein Einmal-Passwort oder One-Time Password (OTP) ist ein Authentifikationsverfahren, bei dem ein Passwort nur einmal für eine Session benutzt werden kann. Damit wird ausgeschlossen, dass ein Angreifer ein Passwort abhören und erneut verwenden kann (Replay-Attacken). Ein Man-in-the-Middle-Angriff (MITM) ist aber immer noch möglich. Die Einmal-Passwörter werden in der Regel in einem Hardware-Sicherheitsmodul des Nutzers generiert. Die Verifikation findet in einem Hardware-Sicherheitsmodul des IT-Systems statt. Das Einmal-Passwort ist nur für eine bestimmte Zeit nach der Generierung gültig. SM-C ist das Hardware-Sicherheitsmodule des Nutzers und SM-S des IT-Systems.

Einmal-Passwort-Verfahren - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann



Challenge-Response-Verfahren
Beim Challenge-Response-Verfahren wird festgelegt, dass ein Nutzer sich gegenüber dem IT-System kryptografisch beweisen muss. Bei diesem Verfahren besitzt der Nutzer ein Geheimnis, zum Beispiel einen geheimen Schlüssel, mit dem er als Beweis dafür, dass er den geheimen Schlüssel besitzt, spontan eine kryptografische Operation durchführen muss. In der Regel sendet das IT-System dem Nutzer eine Zufallszahl, die Challenge, die dann spontan kryptografisch verarbeitet und dem IT-System als Response gesendete wird. Das IT-System überprüft, ob der Nutzer die kryptografische Operation richtig durchgeführt hat. Falls ja, war die Authentisierung erfolgreich. Ansonsten gilt die Echtheit nicht als nachgewiesen und eine Kommunikation über das IT-System wird nicht zugelassen.
Aufgezeichnete Informationen können kein zweites Mal verwendet werden, da immer neue Zufallszahlen als Challenge gesendet werden. Bei einer Authentifizierung über unsichere Netze müssen Challenge-Response-Verfahren eingesetzt werden, um ein Abhören und daraus resultierende missbräuchliche Verwendung zu verhindern. Für die Speicherung der geheimen Schlüssel und die Berechnung der kryptografischen Verfahren werden auf beiden Seiten Hardware-Sicherheitsmodule verwendet. SM-C ist das Hardware-Sicherheitsmodule des Nutzers und SM-S des IT-Systems.

Challenge-Response-Verfahren - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann


Biometrische Verfahren
Biometrie ist die Identifikation und Authentifizierung mittels biologischer Merkmale. Biometrische Authentisierung verwendet physiologische oder verhaltenstypische, also personengebundene Charakteristika. Der prinzipielle Vorteil von biometrischen Verfahren für die Identifikation und Authentifizierung liegt darin, dass biometrische Merkmale nicht unmittelbar gestohlen und im Allgemeinen nur schwer kopiert werden können.
Biometrische Merkmale können auf viele Arten gemessen werden. Die unterschiedlichen Verfahren messen das Tippverhalten an einer Tastatur, die Fingergeometrie, das Fingerlängenverhältnis oder die Handgeometrie. Weitere Möglichkeiten sind die Stimmanalyse, die Gesichtserkennung, die Erfassung der Unterschriftendynamik, des Netzhautmusters, des Irismusters oder des genetischen Codes (DNA-Analyse). Diese Verfahren können auch in unterschiedlichen Kombinationen zum Einsatz kommen.


Multifaktor-Authentifizierung

Stand der Technik heute ist die Multifaktor-Authentifizierung. Mit einer Multifaktor-Authentifizierung (MFA) kann flexible agiert und mit einer höheren Vertrauenswürdigkeit authentifiziert werden. Beispiel Multifaktor-Authentifizierung: Es wird als Basis eine digitale Signatur einer Zufallszahl mithilfe eines Hardware-Sicherheitsmoduls (Smartcard, USB-Sick, …) umgesetzt, das mit einem Passwort oder PIN aktiviert werden muss. Um den Nutzerbezug zu verstärken, muss der Nutzer noch mithilfe eines Fingerabdrucks oder Gesichtserkennung seine Gegenwärtigkeit zusätzlich verifizieren lassen.


Weitere Informationen zum Begriff “Authentifikation“:


Vorlesung: „Identifikation und Authentifikation“

Artikel:
„Die Zeit nach dem Passwort – Handhabbare Multifaktor-Authentifizierung für ein gesundes Eco-System”

„Smart Authentication, Identification and Digital Signatures as Foundation for the Next Generation of Eco Systems”

„Smartphone Bürger-ID – IT-Sicherheit als Wegbereiter für die Digitalisierung“

Bücher:

Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)


Zurück zur Übersicht
Authentifikation - Authentisierung - Autorisierung – Glossar Cyber-Sicherheit – Prof. Norbert Pohlmann
Authentifikation Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten