slider

Authentifikation - Prof. Dr. Norbert Pohlmann

Authentifikation

Authentifikation als Ablaufdiagramm auch für Authentisierung und Autorisierung

Was ist eine Authentifikation?


Authentifikation oder Authentifizierung bezeichnet einen Prozess, in dem überprüft wird, ob „jemand“ oder „etwas“ echt ist. Daher bedeutet Authentifikation die Verifizierung (Überprüfung) der Echtheit beziehungsweise der digitalen Identität.

Beispielsweise stellt die Überprüfung des Personalausweises einer Person eine solche Authentifikation in der realen Welt dar. Dabei kann Ein Prüfer mithilfe eines Personalausweises das Aussehen einer Person mit dem Lichtbild vergleichen.

Authentifikation - Authentifizierung
Abbildung: Authentifikation durch die Überprüfung des Personalausweises © Copyright-Vermerk

Im Cyber-Raum wird bei der Authentifikation mit der Erbringung eines oder mehrere Nachweise bestätigt, ob es sich um die Person (Nutzer) mit der angegebenen und behaupteten digitalen Identität handelt. Damit wird die Echtheit der digitalen Identität eines Nutzers festgestellt.

Klassen von Authentifizierungsverfahren

Man unterscheidet verschiedene Klassen von Authentifizierungsverfahren danach, wie sie die Echtheit einer digitalen Identität überprüfen. Dabei spielen unterschiedliche Aspekte eine Rolle und die Verantwortlichen müssen diverse Charakteristika berücksichtigen.

1. Wissen:

Bei dieser Klasse von Authentifizierungsverfahren wird über einen Nachweis der Kenntnis von Wissen die Echtheit eines Nutzers überprüft. Beispiele von Wissen sind: Passwort, PIN, Antwort auf eine bestimmte Frage (Sicherheitsfrage) usw.

Charakteristika von Wissen:

  • Das Wissen kann vergessen werden (insbesondere nach einer Feier).
  • Das Wissen kann dupliziert, verteilt, weitergegeben und verraten werden.
  • Das Wissen kann in vielen Fällen erraten werden (Social Engineering, Wörterbuchangriff …).
  • Das Wissen kann beim Eintippen mitgelesen oder mithilfe eines Keyloggers (Malware) im Endgerät ausgelesen werden.
  • Einmal abgefangenes Wissen gilt als kompromittiert, wenn es auch für weitere Dienste genutzt wird.
  • Die Preisgabe von Wissen kann kompromittiert werden (Androhung von Gewalt).
  • Die Mitführung von Wissen erfordert in der Regel keine praktischen Hilfsmittel.

2. Besitz:

Verwendung eines Besitztums für das Authentifizierungsverfahren ist eine weitere Klasse. Beispiele für Besitz sind: Neuer Personalausweis, SIM-Karte im Smartphone, Hardware-Sicherheitsmodule (Smartcard, USB-Stick, …) usw. In der Regel wird der Besitz von geheimen Schlüsseln mithilfe von Challenge-Response-Verfahren nachgewiesen, die in den Sicherheitsmodulen sicher gespeichert sind.

Charakteristika von Besitz:

  • Das Besitztum ist mit Kosten verbunden (Hardware).
  • Das Besitztum muss mitgeführt werden (umständlich).
  • Das Besitztum kann verloren gehen (kein Zugang mehr).
  • Das Besitztum kann gestohlen werden (kein Zugang mehr).
  • Das Besitztum kann übergeben oder weitergereicht werden (jemand anderes kann zugreifen).

3. Sein:

Bei dieser Klasse von Authentifizierungsverfahren muss der Nutzer gegenwärtig sein. Beispiele von Sein sind: Biometrische Merkmale wie Fingerabdruck, Gesichtsgeometrie, Iris, Tippverhalten, DNA usw.

Charakteristika von Sein:

  • Biometrische Merkmale werden durch Personen immer mitgeführt.
  • Biometrische Merkmale können nicht an andere Personen weitergegeben werden.
  • Verfahren zu Erkennung von biometrische Merkmalen können keine 100 %-Aussagen treffen, sondern nur mit einer gewissen Wahrscheinlichkeit die Echtheit von Personen abschätzen.
  • Eine Lebenderkennung kann erforderlich sein (damit zum Beispiel ein künstlicher Fingerabdruck oder abgeschnittener Finger zurückgewiesen wird)
  • Ein biometrisches Merkmal ist im Laufe der Zeit oder durch Unfälle veränderlich und damit schlechter erkennbar.
  • Bestimmten Personengruppen fehlt das biometrische Merkmal.
  • Ein biometrisches Merkmal kann nicht ersetzt werden (Problem, wenn diese „gestohlen“ werden können).

4. Weitere unterstützende Faktoren (Reputation, Standort, Zeit, Technologie):

Dazu können noch weitere unterstützende Faktoren für die Beurteilung der Echtheit des Nutzers herangezogen werden. Ebenso zählen beispielweise weitere unterstützende Faktoren: Vergangene Transaktionen des Nutzers (Reputation), verwendete Endgeräte und Software des Nutzers (Technologie), Standort und Zeit des Authentisierungsprozesses.

Charakteristika weiterer unterstützender Faktoren:

  • Die Reputation des Nutzers ist ein Indiz, wie er sich zukünftig verhalten wird.
  • Die genutzte Technologie gibt einen Hinweis, ob es sich um den Nutzer handelt und wie das Angriffspotenzial des Endgeräts eingeschätzt werden kann.
  • Der Standort gibt geografische und netzbasierte Informationen über das Vertrauensniveau des Orts (sichere oder unsichere Umgebung).

Grundsätzliche Architektur der Identifikation und Authentifikation

In der Abbildung möchte der Nutzer Zugriff auf ein IT-System (Endgerät, Server, IT-Dienst, Cloud …) erhalten. Dazu setzten sowohl der Nutzer als auch das IT-System verschiedene IT-Sicherheitsfunktionen ein. Diese erbringen unterschiedliche Sicherheitsdienste und ermöglichen dadurch eine sichere Kommunikation zwischen Nutzer und IT-System.

Authentifikation als Ablaufdiagramm auch für Authentisierung und Autorisierung
Abbildung: Authentifikation, Authentisierung und Autorisierung – © Copyright-Vermerk

Authentisierung (Sichtweise Nutzer): Der Nutzer authentisiert sich gegenüber einem IT-System (Endgerät, Server, IT-Dienst, Cloud, …), indem er einen Nachweis über seine digitale Identität, zum Beispiel den Nutzernamen, erbringt.

Authentifizierung (Sichtweise IT-System): Das IT-System (Endgerät, Server, IT-Dienst, Cloud, …) überprüft den Nachweis, um die Echtheit der digitalen Identität eines Nutzers im Rahmen der Authentifizierung festzustellen.

Autorisierung (Sichtweise IT-System): Wenn das IT-System die Echtheit der digitalen Identität eines Nutzers erfolgreich verifiziert hat, kann das IT-System (Endgerät, Server, IT-Dienst, Cloud, …) dem Nutzer definierte Rechte einräumen.


Erst wenn bekannt ist, wer auf ein IT-System zugreifen will, können die entsprechenden Rechte dieser Identität zugeordnet werden.

Generelle Authentifikationsverfahren

Für die Authentifizierung der Nutzer durch IT-Systeme sind prinzipielle unterschiedliche Authentifizierungsverfahren möglich.
Im Folgenden werden die Prinzipien der grundsätzlichen Möglichkeiten von Authentifizierungsverfahren beschrieben.

• Passwort-Verfahren
• Einmal-Passwort-Verfahren
• Challenge-Response-Verfahren
• Biometrische Verfahren


Passwort-Verfahren

Das einfachste und prinzipiell unsicherste, aber meist verwendete Authentifizierungsverfahren ist das Passwort-Verfahren. Hierbei werden ein Nutzername und ein Passwort zwischen dem Nutzer und dem IT-System im Vorfeld abgesprochen. Der Nutzer weist dann beim Zugriff auf das IT-System seine Identität (Nutzername) nach, indem er das abgesprochene Passwort sendet. Das Passwort-Verfahren ist eine Authentifikation mit dem Nachweis der Kenntnis von Wissen – des Passworts. Falls das Passwort falsch war, wird der Zugang abgelehnt. Passt das Passwort zum Nutzernamen, wird der Zugang zum IT-System gewährt. Das IT-System hat dazu eine Liste von Nutzernamen und Passwörtern von allen zugreifenden Nutzern zur Verfügung, um den Nachweis des Wissens überprüfen zu können.

Passwörter / Passwort-Verfahren als Ablaufdiagramm
Abbildung: Passwörter / Passwort-Verfahren – © Copyright-Vermerk


Einmal-Passwort-Verfahren

Ein Einmal-Passwort oder One-Time Password (OTP) ist ein Authentifikationsverfahren, bei dem ein Passwort nur einmal für eine Session benutzt werden kann. Damit wird ausgeschlossen, dass ein Angreifer ein Passwort abhören und erneut verwenden kann (Replay-Attacken). Allerdings bleibt ein Man-in-the-Middle-Angriff (MITM) weiterhin möglich. Die Einmal-Passwörter werden in der Regel in einem Hardware-Sicherheitsmodul des Nutzers generiert. Die Verifikation findet in einem Hardware-Sicherheitsmodul des IT-Systems statt. Das Einmal-Passwort ist nur für eine bestimmte Zeit nach der Generierung gültig. SM-C ist das Hardware-Sicherheitsmodule des Nutzers und SM-S des IT-Systems.

Authentifikation als Einmal-Passwort-Verfahren
Abbildung: Einmal-Passwort-Verfahren – © Copyright-Vermerk


Challenge-Response-Verfahren

Beim Challenge-Response-Verfahren legt das IT- System fest, dass ein Nutzer seine Identität gegenüber dem IT-System kryptografisch beweisen muss. Dazu besitzt der Nutzer ein Geheimnis, beispielsweise einen geheimen Schlüsse. Mit diesem führt er als Beweis dafür, dass er den geheimen Schlüssel besitzt, spontan eine kryptografische Operation durch.

In der Regel sendet das IT-System dem Nutzer eine Zufallszahl, die Challenge, die dann spontan kryptografisch verarbeitet und dem IT-System als Response gesendete wird. Das IT-System überprüft, ob der Nutzer die kryptografische Operation richtig durchgeführt hat. Falls ja, war die Authentisierung erfolgreich. Ansonsten gilt die Echtheit nicht als nachgewiesen, weshalb eine Kommunikation über das IT-System nicht zugelassen wird.
Aufgezeichnete Informationen können kein zweites Mal verwendet werden, da immer neue Zufallszahlen als Challenge gesendet werden. Bei einer Authentifizierung über unsichere Netze müssen Challenge-Response-Verfahren eingesetzt werden, um ein Abhören und daraus resultierende missbräuchliche Verwendung zu verhindern. Für die Speicherung der geheimen Schlüssel und die Berechnung der kryptografischen Verfahren werden auf beiden Seiten Hardware-Sicherheitsmodule verwendet. SM-C ist das Hardware-Sicherheitsmodule des Nutzers und SM-S des IT-Systems.

Authentifikation Challenge-Response-Verfahren als Ablaufdiagramm
Abbildung: Challenge-Response-Verfahren – © Copyright-Vermerk


Biometrische Verfahren

Biometrie ist die Identifikation und Authentifizierung mittels biologischer Merkmale. Biometrische Authentisierung verwendet physiologische oder verhaltenstypische, also personengebundene Charakteristika. Der prinzipielle Vorteil von biometrischen Verfahren für die Identifikation und Authentifizierung liegt darin, dass biometrische Merkmale nicht unmittelbar gestohlen und im Allgemeinen nur schwer kopiert werden können.
Außerdem messen die unterschiedlichen Verfahren biometrische Merkmale auf viele Arten. Die unterschiedlichen Verfahren messen das Tippverhalten an einer Tastatur, die Fingergeometrie, das Fingerlängenverhältnis oder die Handgeometrie. Darüber hinaus zählen die Stimmanalyse, die Gesichtserkennung, die Erfassung der Unterschriftendynamik, des Netzhautmusters, des Irismusters oder des genetischen Codes (DNA-Analyse) zu den weiteren Möglichkeiten. Schließlich lassen sich diese Verfahren auch in unterschiedlichen Kombinationen einsetzten.

Authentifikation - Authentifizierung - biometrie
Abbildung: Biometrie Authentifizierung © Copyright-Vermerk



Multifaktor-Authentifizierung

Stand der Technik heute ist die Multifaktor-Authentifizierung. Dabei authentifiziert sich ein Nutzer mit einer Multifaktor-Authentifizierung (MFA) flexibler und mit einer höheren Vertrauenswürdigkeit. Beispiel Multifaktor-Authentifizierung: Es wird als Basis eine digitale Signatur einer Zufallszahl mithilfe eines Hardware-Sicherheitsmoduls (Smartcard, USB-Sick, …) umgesetzt, das mit einem Passwort oder PIN aktiviert werden muss. Außerdem muss der Nutzer seine Gegenwärtigkeit mithilfe eines Fingerabdrucks oder einer Gesichtserkennung verifizieren, um den Nutzerbezug zu verstärken. Siehe auch: Multifaktor Authentifizierung

Authentifikation - Authentifizierung - Multifaktor
Abbildung: Multifaktor-Authentifizierung © Copyright-Vermerk




Weitere Informationen zum Begriff “Authentifikation“:



Die Zeit nach dem Passwort – Handhabbare Multifaktor-Authentifizierung für ein gesundes Eco-System

Abschied vom Passwort – Authentifikation für ein gereiftes Internet

Risikobasierte und adaptive Authentifizierung

Sichere Authentisierung im Internet – OpenID trifft elektronischen Personalausweis

Smart Authentication, Identification and Digital Signatures as Foundation for the Next Generation of Eco Systems

Smartphone Bürger-ID – IT-Sicherheit als Wegbereiter für die Digitalisierung

Sichere mobile Identifizierung und Authentisierung

Bring Your Own Device For Authentication (BYOD4A) – The Xign–System



Lehrbuch Cyber-Sicherheit

Übungsaufgaben und Ergebnisse zu Kapitel 5: Identifikation und Authentifikation

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download



Vorlesungen zum Lehrbuch Cyber-Sicherheit

Vorlesung zu Identifikation und Authentifikation



Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

IT-Notfall Liste auf dem Marktplatz IT-Sicherheit

IT-Sicherheitstools auf dem Marktplatz IT-Sicherheit

Kostenloses Selbstlernangebot Marktplatz IT-Sicherheit

Köpfe der IT-Sicherheit auf dem Marktplatz IT-Sicherheit

Vertrauenswürdigkeits-Plattform


Zurück zur Übersicht




Summary
Authentifikation
Article Name
Authentifikation
Description
Authentifikation bezeichnet einen Prozess, in dem überprüft wird, ob „jemand“ oder „etwas“ echt ist. Das heißt, bei der Authentifikation wird mit der Erbringung von Nachweisen bestätigt, dass es sich um den Nutzer mit der behaupteten digitalen Identität handelt.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Authentifikation als Ablaufdiagramm auch für Authentisierung und Autorisierung
Authentifikation Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten