Was ist Authentifizierung?

Eine Authentifizierung ist ein mehrstufiger Prozess im Identitätsmanagement. Mit der Authentifizierung in einem IT-System werden IT-Sicherheitsfunktionen umgesetzt, die von verschiedenen Sicherheitsdiensten und Komponenten realisiert werden.

Was ist Authentifizierung? - Wie unterscheiden sich die Auth-Prozesse der Authentisierung, Authentifizierung und Autorisierung?

Was ist Authentifizierung? – Wie unterscheiden sich die Auth-Prozesse der Authentisierung, Authentifizierung und Autorisierung?

Im der Rahmen der Authentifizierungsprozesse wird unterschieden zwischen

Authentisierung

Ein Nutzer authentisiert sich gegenüber einem IT-System (IT-Dienst, Server, …), indem er einen Nachweis über seine Identität, den Nutzernamen, erbringt.

Authentifizierung

Mit der Authentifizierung prüft das System einen erbrachten Nachweis auf seine Echtheit um die Identität eines Nutzers zu verifizieren. Dabei kann die Authentifizierung durch einen Cloud-Service, einen dedizierten Server oder eine andere mit dem Netzwerk verbundene Komponente erfolgen über das authentifiziert wird.

Autorisierung

Wenn die Echtheit der Identität eines Nutzers erfolgreich verifiziert werden konnte, kann das IT-System (IT-Dienst, Server, …) dem Nutzer definierte Rechte für den IT-Dienst/Server einräumen.

Methoden zur Authentisierung digitaler Identitäten

Grundprinzip: Nach dem Nachweis wird Zugriff gewährt.

Methode
        Erläuterung
Authentisieren          Vorzeigen des Beweises dem System gegenüber
Authentifizierung         System prüft den Beweis

Gängigste Authentisierungsmethode: Passworteingabe

Authentisierung durch Wissen

Bei der Authentisierung mittels Wissen wird die Kenntnis eines Geheimnisses geprüft.

Textgeheimnisse
  • Passwort
    • PIN, TAN
Grafische Geheimnisse
  • QR-Code (= indirekt Text)
  • Bilder auswählen auf denen Freunde zu erkennen sind
Vorteile:
  • etabliert => jeder kennt sich mit der Methode aus, einfache Anwendung
  • Geheimnis kann jederzeit geändert werden
  • keine spezielle Hardware nötig
Nachteile / Schwächen:
  • Sicherheit abhängig von der Komplexität
      • je komplexer, desto sicherer
      • je komplexer, desto schwieriger zu merken
    • zu viele Geheimnisse sind schwer merkbar
    • nur sichere Verwahrung des Geheimnisses bietet Schutz

Authentisierung durch Besitz

Bei der Authentisierung mittels Besitz wird das Vorhandensein eines bestimmten Objekts geprüft.

  • Ausweis
  • USB-Token
Vorteile:
  • kein spezielles Wissen erforderlich
Nachteile / Schwächen:
  • Objekt kann verloren gehen
  • Diebstahl möglich und ermöglicht Zugriff auf digitale Identität
  • meist zusätzliche Hardware erforderlich, z.B. Kartenleser

Wichtig ist aber auch: Haptische Karten und dazugehörige Lesegeräte werden im Zuge der Digitalisierung nicht zwangsläufig gänzlich ersetzt. Vielmehr sollen virtuelle Authentisierungslösungen als praktische Ergänzung dienen damit das weltweit mobile Arbeiten erleichtern. Außerdem können virtuelle Kartenabbilder als Backup dienen, sollten haptische Karten verloren gehen oder beschädigt werden.

Authentisierung durch biometrische Merkmale

Bei der Authentisierung durch biometrische Merkmale werden körperliche Eigenschaften einer Person geprüft.

Physische Merkmale:
  • Fingerabdruck
  • Gesichtsform
  • Iris
Verhalten:
  • Bewegungsmuster
Vorteile:
  • einzigartig je Person
Nachteile:
  • spezielle Hardware zum Erfassen erforderlich
  • biometrische Informationen sind SENSIBLE Informationen
  • Prüfung nicht exakt, sondern nur auf Basis von Wahrscheinlichkeiten möglich
  • ermöglicht Fälschungen, diese muss nur „gut genug sein
  • Ist ein Merkmal einmal kompromittiert, lässt sich das Merkmal schwer ändern

Multi-Faktor-Authentisierung (MFA)

Bei der Multi-Faktor-Authentisierung werden simultan, also gleichzeitig während der Durchführung eines Ident-Vorgangs – verschiedene Authentisierungs-Methoden ODER Authentisierungs-Faktoren geprüft.

Physische Merkmale:
  • Fingerabdruck
  • Gesichtsform

2-Faktor-Authentisierung (2FA)

Bei der 2-Faktor-Authentisierung werden simultan, also gleichzeitig während der Durchführung eines Ident-Vorgangs – ZWEI Authentisierungs-Methoden ODER Authentisierungs-Faktoren geprüft.

2FA-Beispiel:

1. Faktor:      Wissen:        Passwort
2. Faktor:     Besitz:          Smartphone, über das zweiter Code bereitgestellt wird

TOTP-basiertes-MFA

Eine Multi-Faktor-Authentifizierung mit einem zeitbasierten Einmal-Passwort – Time-based One-time Password (TOTP) ist eine MFA-Variante, die einen verbessertes Schutzniveau realisiert, wenn der Zeitraum des Einmal-Passworts ausreichend kurz ist (typischerweise um 60sek oder sogar unter 30sec) und sich mit einer zusätzlichen Auth-App wie beispielsweise der Google Authenticator-App realisieren lässt.

Das TOTP-MFA-Verfahren wurde bereits 2011 von der Internet Engineering Task Force (IETF) als RFC 6238 veröffentlicht. Beim TOTP-Algorithmus handelt es sich um eine Hashfunktion, in welcher ein geheimes Passwort zusammen mit der aktuellen Uhrzeit gehasht wird.

Dieser HMAC-basierte Algorithmus erzeugt ein One-time Password und ist nach RFC 4226 spezifiziert; der RFC definiert eben genau diesen Standard, nach dem die Hash-Werte gebildet werden. Dabei kann das Verfahren so implementiert werden, dass leichte Abweichungen der Uhrzeit zwischen Client und Server akzeptiert werden.

Grundregeln für eine sichere TOTP-MFA-Implementierung

Es gelten folgende Grundregeln für eine sichere TOTP-MFA-Implementierung:

  • Qualität der Zufallszahlen: Für ein kryptografisch sicheres Passwort sind auch tatsächlich zufällig gewählte Elemente für das Einmalpasswort wichtig
  • Secret Key für jeden Benutzer: Jede(r) Benutzer*in benötigt ihren persönlichen, geheimen Zugangsschlüssel (Secret Key)
  • Brute-Force-Schutz: Ein 6 oder auch 8 stelliges One-Time-Passwort ist kurz. Zusätzlich MUSS sichergestellt sein, dass der/die Benutzer*in nur wenige Versuche pro Intervall zur Authentifizierung hat. Andernfalls ist innerhalb kürzester Zeit ein Brute-Force-Angriff eines potentiellen Angreifers erfolgreich.
  • Schutz gegen Replay-Angriffe: Ein akzeptierter Schlüssel darf innerhalb desselben Zeitintervals kein zweites Mal akzeptiert werden.
  • HTTPS/TLS-Verschlüsselung: Der Verschlüsselungsdienst MUSS via HTTPS-Protokoll und TLS-Zertifikat geschützt sein, so dass der Schlüsseltransport geschützt ist.
  • Schutz der QR-Codes: Im MFA-Verfahren genutzte QR-Codes MÜSSEN in geschützter Umgebung generiert werden. Kein Secret Key darf unkontrolliert verbreitet werden.

Prozesse: Login mit Authentifizierung + Autorisierung

Funktion
Erläuterung
Authentifizierung           Verifizierung der Identität, z.B. über Benutzername und Passwort
Login Prozess zur Initiierung einer Sitzung / Session eines Benutzers; für verteilte    Services ist aus Nutzerperspektive immer ein Single Sign-On (SSO) erwünscht, weil dieser dem Anwender eine komfortable Authentifizierung und Autorisierung gestattet anstatt sich bei jedem Service separat anmelden zu müssen. Die allgemeinen Spezifikationen sind in RFC 6749 definiert.
Autorisierung Anhand erfolgreicher Authentifizierung wird überprüft, inwieweit die notwendigen Berechtigungen zur Nutzung des/der Services gegeben sind. Erst dann wird der Zugriff erlaubt.

Vertrauensniveau basierte Prozesse: Authentifizierung + Autorisierung auf Basis von Trust-Level

Bei der Etablierung von Identitäten wird dringend empfohlen, dass Entitäten, die Zugriff auf digitale Identitäten erhalten wollen — ähnlich wie bei der eIDAS-basierten technischen Umsetzung der AusweisApp 2 – zuvor verifizieren und diese Verifikation transparent für die Nutzer*innen nachprüfbar machen. Hierzu sind unterschiedliche Vertrauensniveaus zu nutzen und zwar je nachdem, welche Art von Daten abgefragt werden soll.

Geschichte der Authentifizierung:

Die Geschichte der Authentifizierung reicht weit zurück, lange bevor digitale Technologien Einzug in unser tägliches Leben hielten. In antiken Zivilisationen wurden Siegel und Unterschriften als eine Form der Identitätsbestätigung verwendet. Mit der Entstehung von Geschäftsbanken im Mittelalter entwickelten sich die ersten rudimentären Passwörter und Pins, die den Kunden den Zugriff auf ihre Tresore oder Konten ermöglichten.

Im 20. Jahrhundert, insbesondere mit dem Aufkommen der Computer, wurde die digitale Authentifizierung immer relevanter. Die Einführung von Benutzernamen und Passwörtern in den 1960er Jahren war ein signifikanter Schritt, gefolgt von der Entwicklung von Token-basierten Systemen und Smartcards in den 1980ern und 1990ern. Biometrische Authentifizierung, die körperliche oder verhaltensbezogene Merkmale wie Fingerabdrücke oder Stimmenerkennung nutzt, wurde im späten 20. und frühen 21. Jahrhundert immer populärer.

Heutzutage, in einer Ära der Cloud-Technologie und des Internets der Dinge, wird Authentifizierung durch eine Kombination aus traditionellen Passwörtern, biometrischen Daten und Zwei-Faktor-Authentifizierungsverfahren realisiert, um die Sicherheit in einer immer stärker vernetzten Welt zu gewährleisten.

IT-Sicherheitsrisiken wirksam begegnen:

In der heutigen digitalisierten Welt sind die Risiken rund um die Authentifizierung vielfältig und ständig im Wandel. Zu den häufigsten Bedrohungen gehören:

  • Phishing-Angriffe: Hier versuchen Angreifer, Benutzer dazu zu bringen, ihre Anmeldedaten auf gefälschten Webseiten einzugeben.
  • Man-in-the-Middle-Angriffe: Bei dieser Art von Angriff interagiert ein Eindringling zwischen zwei Parteien und kann Informationen stehlen oder manipulieren.
  • Brute-Force-Angriffe: Hierbei werden systematisch alle möglichen Passwortkombinationen ausprobiert, bis der Angreifer Zugriff erhält.
  • Passwortwiederherstellungs-Angriffe: Wenn die Prozesse zur Passwortwiederherstellung nicht sicher sind, können Angreifer diese als Einfallstor nutzen.

Um diesen und anderen Sicherheitsbedrohungen zu begegnen, setzen Unternehmen auf fortgeschrittene Authentifizierungsverfahren wie Multi-Faktor-Authentifizierung, adaptive Authentifizierung und kontinuierliche Authentifizierung. Darüber hinaus ist es entscheidend, die Benutzer in Sicherheitspraktiken zu schulen, regelmäßige Sicherheitsüberprüfungen durchzuführen und Systeme ständig auf dem neuesten Stand zu halten, um potenzielle Schwachstellen zu minimieren.

Warum spielt Zero Trust eine entscheidende Rolle in der IT-Sicherheit?

In einer Ära, in der Cyberangriffe immer ausgefeilter werden und traditionelle Sicherheitsperimeter nicht mehr ausreichen, tritt das Zero Trust-Modell in den Vordergrund. Dieses Sicherheitskonzept geht von einem einfachen Grundsatz aus: Vertraue nichts, überprüfe alles. Anstatt sich auf die Verteidigung von Perimetern zu konzentrieren, setzt Zero Trust auf strikte Identitätsüberprüfungen für jeden, der auf Netzwerkressourcen zugreifen möchte, unabhängig davon, ob sich der Zugriff von innerhalb oder außerhalb des Netzwerks ereignet.

In Kombination mit fortschrittlichen Authentifizierungsmethoden stellt Zero Trust sicher, dass nur autorisierte Benutzer und Geräte Zugriff auf kritische Daten und Anwendungen haben. Dies minimiert das Risiko von Datenverstößen und sorgt dafür, dass Ressourcen selbst in offenen und dezentralisierten Netzwerkumgebungen sicher sind.

Wenn Du den nächsten Stufe zur Verbesserung der IT-Sicherheit erreichen möchtest, dann ist für Dich das Wissen um Zero Trust im  Zusammenspiel wirksamer Schutzmaßnahmen und moderner Authentifizierung der Schlüssel. Tauche tiefer in diese Thematik ein und erfahre jetzt wie Du Dein digitales Ökosystem optimal schützen kannst.

Sichere Authentifizierung – Herausforderungen und Best Practices

Die Authentifizierung bildet das Herzstück der digitalen Sicherheit, denn sie stellt sicher, dass nur autorisierte Personen oder Geräte Zugang zu sensiblen Daten und Systemen erhalten. In einer Welt, in der digitale Identitäten eine immer größere Rolle spielen, sind starke und zuverlässige Authentifizierungsprozesse unverzichtbar.

Schlüsseltechnologien der Authentifizierung im Überblick

1. Single Sign-On (SSO)
SSO-Systeme ermöglichen es Nutzer*innen, mit einer einzigen Authentifizierung Zugang zu mehreren Anwendungen oder Diensten zu erhalten. Das verbessert nicht nur die Benutzerfreundlichkeit, sondern reduziert auch die Angriffsfläche, da weniger Passwörter verwendet werden.

2. Adaptive Authentifizierung
Diese Technologie analysiert Kontexte wie Standort, Geräteinformationen und Nutzerverhalten, um Sicherheitsrisiken zu bewerten und die erforderliche Sicherheitsstufe automatisch anzupassen. Dies schafft eine Balance zwischen Komfort und Sicherheit.

3. Passkey-basierte Authentifizierung (WebAuthn)
Durch den Einsatz von kryptografischen Schlüsseln, die lokal auf einem Gerät gespeichert werden, macht Passkey-basierte Authentifizierung klassische Passwörter überflüssig. Dieser Ansatz wird durch moderne Standards wie FIDO2 unterstützt und bietet erhebliche Vorteile in Bezug auf Sicherheit und Benutzerfreundlichkeit.

Best Practices für eine sichere Authentifizierung

  • Passwort-Management verbessern
    Verwende Passwort-Manager, um komplexe und eindeutige Passwörter zu generieren und zu speichern. Passwörter sollten regelmäßig überprüft und geändert werden, insbesondere nach Sicherheitsvorfällen.
  • Schutz sensibler Daten durch Verschlüsselung
    Nutze Transport Layer Security (TLS) für die Verschlüsselung von Daten während der Übertragung und sichere sensible Daten wie Passwörter in Hash-Form im Speicher.
  • Regelmäßige Schulungen
    Schule Nutzer*innen in Bezug auf potenzielle Bedrohungen wie Phishing und sichere Verhaltensweisen im Umgang mit digitalen Identitäten.

Empfehlung aus dem Rock the Prototype Podcast:  Digitale Identitäten und Identity Access Management

Für weiterführende Einblicke in moderne Sicherheitsansätze und Authentifizierungsstrategien empfehlen wir die Podcast-Folge 13: Digitale Identitäten und Identity Access Management. In dieser Folge tauchen wir tief in die Welt der Identitätsverifizierung ein und beleuchten, wie Single Sign-On und adaptive Authentifizierung in modernen Systemen umgesetzt werden.

Warum diese Podcast Folge für Dich relevant ist:

  • Verständnis von Authentifizierungssystemen: Lerne, wie verschiedene Authentifizierungsmethoden ineinandergreifen, um die IT-Sicherheit zu stärken.
  • Praxisnahe Einblicke: Erfahre, wie Unternehmen Herausforderungen wie Zero Trust und Multi-Faktor-Authentifizierung bewältigen.
  • Strategische Anwendung: Erhalte Tipps, wie Du Authentifizierungsprozesse optimieren und an die Bedürfnisse Deines Projekts anpassen kannst.

Rock the Prototype Podcast

Der Rock the Prototype Podcast und der Rock the Prototype YouTube-Kanal sind die perfekte Anlaufstelle für alle, die tiefer in die Welt der Softwareentwicklung, des Prototypings und IT-Technologie eintauchen wollen.

🎧 Listen on Spotify: 👉 Spotify Podcast: spoti.fi/3NJwdLJ

🍎 Enjoy on Apple Podcasts: 👉 Apple Podcasts: apple.co/3CpdfTs

Im Podcast erwarten dich spannende Diskussionen und wertvolle Insights zu aktuellen Trends, Tools und Best Practices – ideal, um unterwegs am Ball zu bleiben und frische Perspektiven für eigene Projekte zu gewinnen. Auf dem YouTube-Kanal findest du praxisnahe Tutorials und Schritt-für-Schritt-Anleitungen, die technische Konzepte anschaulich erklären und dir helfen, direkt in die Umsetzung zu gehen.

Rock the Prototype YouTube Channel

🚀 Rock the Prototype ist 👉 Dein Format rund um spannende Themen wie Softwareentwicklung, Prototyping, Softwarearchitektur, Cloud, DevOps & vieles mehr.

📺 👋 Rock the Prototype YouTube Channel 👈  👀 

✅ Softwareentwicklung & Prototyping

Programmieren lernen

✅ Software Architektur verstehen

✅ Agile Teamwork

✅ Prototypen gemeinsam erproben

THINK PROTOTYPING – PROTOTYPE DESIGN – PROGRAMMIEREN & DURCHSTARTEN – JETZT MITMACHEN!

Warum es sich lohnt, regelmäßig vorbeizuschauen?

Beide Formate ergänzen sich perfekt: Im Podcast kannst du ganz entspannt Neues lernen und inspirierende Denkanstöße bekommen, während du auf YouTube das Gelernte direkt in Aktion siehst und wertvolle Tipps zur praktischen Anwendung erhältst.

Egal, ob du gerade erst mit der Softwareentwicklung anfängst, Dich für Prototyping, UX Design oder IT Security begeisterst. Wir bieten Dir neue Technologie Trends die wirklich relevant sind – und mit dem Rock the Prototype Format findest du immer relevante Inhalte, um dein Wissen zu erweitern und deine Skills auf das nächste Level zu heben!