gulli:lexikon - Alle Begriffe der Untergrund-Szene

Tipp: Benutze die Suche, um weitere Begriffe im gulli:lexikon nachzuschlagen.

Authentifizierung (v. griech. authentikos für „Anführer“) ist der Vorgang der Überprüfung (Verifikation) einer behaupteten Identität, beispielsweise einer Person oder eines Objekts, wie beispielsweise eines Computersystems.

Authentisierung hingegen ist der Vorgang des Nachweises der eigenen Identität. Im Englischen wird zwischen den beiden Begriffen nicht unterschieden: Das Wort authentication steht für beide Vorgänge. Dementsprechend werden die beiden Ausdrücke im Deutschen oft (ungenau) synonym verwendet.

Weiterhin ist die Authentifizierung von Objekten, Dokumenten oder Daten die Feststellung, dass diese authentisch sind – es sich somit um ein unverändertes, nicht kopiertes Original handelt. Eine überprüfte Identität, also nach der erfolgreichen Authentifizierung, wird Authentizität genannt.

In Computer-Netzwerken wie dem Internet wird Authentifizierung eingesetzt, um die Authentizität von Informationen sicherzustellen.

Der Vorgang im Kontext

Bei einer Authentifizierung zwischen zwei Subjekten authentisiert sich das eine, während das andere das Erstere authentifiziert.

Die Authentifizierung ist eine Verifizierung der Behauptung der Authentizität. Oft wird die Authentifizierung eines Gegenübers dabei als Identifizierung dessen verwendet und ist auch im Sinne einer Identitätsfeststellung denkbar. Authentifizierung ist somit im Prinzip die Überprüfung, ob es sich um das Original handelt, wobei sich eine Authentifizierung nicht nur auf Menschen, sondern auch auf Objekte wie Dokumente, Kunstgegenstände etc. beziehen kann.

Im Beispiel eines Computerprogrammes, welches Zugang zu einem gesicherten Bereich gewähren kann, behauptet der Benutzer zuerst seine Identität, indem er einen Benutzernamen eingibt. Zusätzlich authentisiert er sich, indem er sein Passwort angibt. Das Programm kann den Benutzer anhand dieser Angaben identifizieren und authentifiziert daraufhin dessen Identität: Das Passwort, welches nur der korrekte Benutzer eingegeben haben kann, beweist, dass es tatsächlich der Benutzer ist, der er behauptet zu sein. Damit steht für das Programm die Identität des Kommunikationspartners fest. Ob dem authentifizierten Benutzer der Zugang gewährt werden darf, entscheidet das Programm im Rahmen der Autorisierung. Ist auch dies erfolgreich, gewährt das Programm dem Benutzer Zugang zum gesicherten Bereich.

Methoden

Die Authentisierung (Nachweisen der eigenen Identität) kann ein Subjekt auf drei verschiedenen Wegen erreichen:

• Nachweis der Kenntnis einer Information (Das Subjekt weiß etwas); Beispiel: Passwort.
• Benutzung eines Besitzes (Das Subjekt hat etwas); Beispiel: Schlüssel.
• Anwesenheit des Subjektes selbst (Das Subjekt ist etwas); Beispiel: biometrisches Merkmal.

Die Authentisierungsmethoden haben je nach Anwendungsgebiet verschiedene Vor- und Nachteile in ihrer Betrachtung einer speziellen Eigenschaft des Subjektes.

Wissen

Charakteristika:

• Erstellung und Verteilung von Wissen unterliegt geringen Kosten
• Verwaltung von Wissen ist einfach
• kann vergessen werden
• kann dupliziert, verteilt, weitergegeben und verraten werden
• kann eventuell erraten werden
• die Preisgabe von Wissen kann kompromittiert werden
• kann ersetzt werden

Beispiele für Authentifizierung anhand von Wissen:

• Passwort
• PIN
• Antwort auf eine bestimmte Frage

Besitz

Charakteristika:

• Erstellung des Merkmals (ggf. auch der Kontrollstellen) unterliegt vergleichsweise hohen Kosten (benötigt oft einen speziellen Fertigungsvorgang und einen physischen Verteilungsprozess)
• Verwaltung des Besitzes ist unsicher und mit Aufwand verbunden (muss mitgeführt werden)
• kann verloren gehen
• kann gestohlen werden
• kann übergeben, weitergereicht oder (in manchen Fällen) dupliziert werden
• kann ersetzt werden
• kann benutzerindividuelle Daten speichern
• kann sich selbst schützen und aktiv verändern (Smartcard, SecureID)

Beispiele für Authentifizierung anhand von Besitz:

• Chipkarte auch bekannt als Smartcard oder als Signaturkarte
• Magnetstreifenkarte
• RFID-Karte
• physischer Schlüssel
• Schlüssel-Codes auf einer Festplatte
• Besitz des Handys bei mTAN
• Zertifikat z. B. für die Verwendung mit SSL
• TAN- und iTAN-Liste
• One Time PIN Token (z. B. SecurID)
• USB-Stick mit Passworttresor

Körperliches Merkmal / Biometrie

Charakteristika:

• wird durch Personen immer mitgeführt
• kann nicht an andere Personen weitergegeben werden
• nach Erfassung des Merkmals ist eine Verteilung der erfassten Daten zum Abgleich an Kontrollpunkte notwendig
• benötigt zur Erkennung eine spezielle Vorrichtung (Technik)
• kann nur unter Wirkung einer Wahrscheinlichkeit mit einem Referenzmuster verglichen werden
  • fehlerhafte Erkennung möglich (False Acceptance)
  • fehlerhafte Zurückweisung möglich (False Rejection)
• eine Lebenderkennung kann erforderlich sein (damit z. B. ein künstlicher Fingerabdruck oder abgeschnittener Finger zurückgewiesen wird)
• ist im Laufe der Zeit oder durch Unfälle veränderlich und damit schlechter erkennbar
• bei ungünstiger Wahl des Merkmals sind bestimmte Personengruppen, denen das Merkmal fehlt, ausgeschlossen
• kann nicht ersetzt werden
• kann Datenschutz-Problematiken aufweisen

Beispiele für Authentifizierung anhand von biometrischen Merkmalen:

• Fingerabdruck
• Gesichtserkennung
• Tippverhalten
• Stimmerkennung
• Iriserkennung
• Retinamerkmale (Augenhintergrund)
• Handschrift (Unterschrift)
• Handgeometrie
• Handlinienstruktur
• DNA

Sicherung der Übertragung

Während der Authentifizierung werden Daten übertragen. Werden diese Daten abgehört, können sie von einem Angreifer verwendet werden, um eine falsche Identität vorzuspiegeln. Um die Gefahr der Preisgabe auszuschließen, wurden Verfahren wie Challenge-Response-Authentifizierung und Zero Knowledge erdacht, bei denen das sich authentisierende Subjekt nicht mehr die Identifizierungsdaten selbst übermittelt, sondern nur einen Beweis dafür, dass es diese Identifizierungsdaten zweifelsfrei besitzt. Ein Beispiel aus der Challenge-Response-Authentifizierung ist, dass eine Aufgabe gestellt wird, deren Lösung nur von einem Gegenüber stammen kann, welches ein bestimmtes Wissen bzw. einen bestimmten Besitz hat. Somit kann ein Gegenüber authentifiziert werden, ohne dass dieses sein Wissen bzw. seinen Besitz preisgeben musste. Es ist jedoch zu bemerken, dass auch auf solche Verfahren Angriffsmöglichkeiten bestehen.

Eine andere Möglichkeit zur Sicherung der Übertragung ist die sogenannte „Second-Channel“-Kommunikation, bei der ein Teil der Identifizierungsdaten über einen zweiten Kanal transferiert wird. Ein Beispiel ist der Versand einer SMS beim „mobile TAN“ (mTAN) System.

Andere Systeme lösen das Problem in dem die Identifizierungsdaten nur einmal benutzt werden. Ein Beispiel hierfür ist das TAN System. Allerdings können abgehörte oder auspionierte Identifizierungsdaten später benutzt werden, wenn die Erstbenutzung und damit die Invalidierung der Daten während des Abhörvorgangs verhindert werden können. Einmalpasswort-Systeme vermindern dieses Problem durch eine Kopplung der Identifizierungsdaten an die aktuelle Zeit.

Im Rahmen von kryptographischen Protokollen werden oft zusätzliche Zufallszahlen als sogenannte „Nonce“ oder „Salt“ Werte verwendet, um die Wiederholung einer Identifizierung zu verhindern.

Kombination von Methoden

Durch beliebige Kombination der Methoden können Defizite im Vorgang der Authentifizierung ausgeglichen werden. Andererseits sind Kombinationen mehrerer Methoden mit höheren Kosten und/oder höherem Aufwand verbunden.

Bei einer Kombination von zwei Methoden spricht man von einer 2-Faktor-Authentifizierung. Ein typisches Beispiel für die Kombination von Wissen und Besitz ist ein Geldautomat: Man besitzt die Bankkarte und weiß die persönliche Identifikationsnummer (PIN).

Unter dem 4-Augen-Prinzip wird eine getrennte Authentifizierung von zwei Personen verstanden. Eine solche Authentifizierung wird meist für Systeme mit hohem Schutzbedarf eingesetzt: Zum Beispiel erfordert das Öffnen von Safes in Banken manchmal zwei Personen, die sich durch Besitz (zweier getrennter Schlüssel) authentisieren.

Ein Generalschlüssel ist ein durch Wissen gesichert hinterlegter (versteckter) Besitz, der bei einem Totalverlust aller anderen Authentisierungsmerkmale noch eine Authentisierungsmöglichkeit bietet.

Siehe auch

• Zugriffskontrolle

Literatur

• Sebastian Bösing: Authentifizierung und Autorisierung im elektronischen Rechtsverkehr: Qualifizierte Signaturschlüssel- und Attributszertifikate als gesetzliche Instrumente digitaler Identität, Nomos, ISBN 3832915354
• Josef von Helden: Verbesserung der Authentifizierung in IT-Systemen durch spezielle Dienste des Betriebssystems, Shaker Verlag, ISBN 3826508971
• Sebastian Rieger: Einheitliche Authentifizierung in heterogenen IT-Strukturen für ein sicheres e-Science Umfeld, Cuvillier Verlag; Auflage: 1 (2007), ISBN 3867273294

Weblinks

• Leitfaden Elektronische Signatur (PDF)
• Knowledge-Base-Artikel: Authentisierung – Authentifizierungaz:Autentikasiya

cs:Autentizace da:Autenticitet el:Πιστοποίηση en:Authentication es:Autenticación eu:Kautotu fi:Todennus fr:Authentification gl:Autenticación he:אימות it:Autenticazione ja:認証 ko:인증 lv:Autentifikācija nl:Authenticatie no:Autentisering pl:Uwierzytelnianie pt:Autenticação ro:Autentificare ru:Проверка подлинности sl:Avtentikacija sv:Autentisering uk:Автентифікація vi:Xác thực zh:認證

Dieser Artikel basiert auf dem Artikel Authentifizierung aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar.