Die Authentifizierung ist eine grundlegende Technologie für Cybersicherheitsprogramme und dient dazu, das Cyberrisiko einzudämmen. Daher ist es wichtig zu verstehen, worum es sich handelt und was sie nicht leisten kann. Dieser Artikel bietet einen ausführlichen Überblick über die Verwendung, die verschiedenen Arten und die Komponenten der Authentifizierung. Zudem erklärt er die Beziehung zwischen Authentifizierung und Autorisierung. Entgegen vielen falschen Darstellungen sind diese nicht dasselbe.
Definition von Authentifizierung
Die Authentifizierung ist eine grundlegende Technologie für Cybersicherheitsprogramme. Daher ist es wichtig zu verstehen, worum es sich handelt und was sie nicht leisten kann. Dieser Artikel bietet einen ausführlichen Überblick über die Verwendung, die verschiedenen Arten und die Komponenten der Authentifizierung. Zudem erklärt er die Beziehung zwischen Authentifizierung und Autorisierung. Entgegen vielen falschen Darstellungen sind diese nicht dasselbe.
Ein Überblick über die Authentifizierung
Authentifizierung in den 1960ern
1961 entwickelte Fernando Corbató, ein Forscher am Massachusetts Institute of Technology (MIT), ein Passwortprogramm. Es gilt als das erste digitale Authentifizierungssystem und wurde entwickelt, um den Zugriff auf die am Großrechner der Universität gespeicherten Dateien zu verwalten und festzulegen, wie lange die Benutzer im System arbeiten durften. Es handelte sich um ein rudimentäres Authentifizierungssystem, bei dem die Passwörter in einer Klartextdatei im Dateisystem gespeichert wurden.
Authentifizierung in den 1970ern
Im Jahr 1972 entwickelte Robert Morris, ein Kryptograf bei Bell Labs, eine Methode zur Verschlüsselung von Passwörtern, die als Hashing-Funktion bekannt ist. Die Berechnungen zur Erstellung der numerischen Version eines Passworts sind einfach, aber schwer umkehrbar. Um diese Authentifizierungsmethode zu verbessern, entwickelte Morris zusammen mit seinem Kollegen Ken Thompson das Salting. Dabei werden Passwörtern zufällige Zeichenfolgen angehängt, um sie noch schwerer zu knacken.
In den 1970er-Jahren entwickelten die britischen Regierungsmitarbeiter James Ellis, Clifford Cocks und Malcolm J. Williamson eine andere Art der Authentifizierung. Sie basierte auf asymmetrischer Kryptografie mit zwei Schlüsseln – einem öffentlichen und einem privaten. Der öffentliche Schlüssel kann mit jedem geteilt werden, um die Identität eines Benutzers zu beweisen. Der private Schlüssel dient zur digitalen Signatur und überprüft die Identität. Asymmetrische Kryptografie steht erst seit den 1990er-Jahren zur Verfügung, da sie bis 1997 geheim gehalten wurde.
Authentifizierung in den 1980ern
In den 1980er-Jahren erwiesen sich herkömmliche Passwörter als zunehmend unzuverlässig. Fortschreitende Technologie und neue Strategien von Cyberkriminellen machten sie anfälliger. Um diese Schwachstellen zu beheben, wurden dynamische Passwörter eingeführt.
Diese Form der Authentifizierung, bekannt als Einmalpasswörter (One-Time Passwords, OTP), generiert zufällig unvorhersehbare Passwörter. Diese können nur von den entsprechenden Systemen als korrekt erkannt werden. Es wurden zwei Arten von OTPs eingeführt:
- HOTP (hashbasiertes Einmalpasswort) oder HMAC (hashbasierter Nachrichten-Authentifizierungscode)
- TOTP (zeitbasiertes Einmalpasswort)
Authentifizierung in den 1990ern
Als die asymmetrische Kryptografie 1997 öffentlich wurde, entstand ein Standard für die Public Key Infrastructure (PKI). Die PKI legt fest, wie digitale Zertifikate erstellt, gespeichert und übertragen werden. Sie besteht aus einem öffentlichen Schlüsselzertifikat, das mit einem privaten Schlüssel signiert ist und die Identität verifiziert.
Die PKI-Authentifizierung wird unterstützt von:
- einem zentralen Verzeichnis für die Speicherung von Schlüsseln;
- einer Zertifizierungsstelle, die digitale Zertifikate ausstellt und signiert;
- einem Zertifikatsverwaltungssystem zur Abwicklung betrieblicher Aktivitäten, z. B. den Zugriff auf gespeicherte Zertifikate;
- einer Zertifikatsrichtlinie, die alle Aspekte der Erstellung, Produktion, Verteilung, Abrechnung, Wiederherstellung von Kompromissen und der Verwaltung von digitalen Zertifikaten behandelt;
- einer Registrierungsstelle, die die Identität der Benutzer prüft, die das digitale Zertifikat beantragen.
Authentifizierung in den 2000ern
In den 2000ern wurden zusätzliche Verifizierungsebenen für die Multi-Faktor-Authentifizierung (MFA) hinzugefügt. Single Sign-On (SSO) wurde ebenfalls eingeführt, um den Authentifizierungsprozess für Benutzer zu optimieren.
(Hinweis: Weitere Informationen hierzu finden Sie im Abschnitt Arten der Authentifizierung weiter unten).
Authentifizierung in den 2010ern und 2020ern
In den letzten zwei Jahrzehnten hat die kommerzielle Nutzung biometrischer und verhaltensbasierter Authentifizierung erheblich zugenommen. Zuvor war sie aufgrund der hohen Komplexität und Rechenleistung weitgehend auf den staatlichen Bereich beschränkt. Fortschritte in künstlicher Intelligenz (KI), maschinellem Lernen (ML) und Rechenkapazitäten haben das Wachstum dieser Authentifizierungsmethoden vorangetrieben.
Die Bedeutung der Authentifizierung
Authentifizierung ist aus vielen Gründen unerlässlich und Unternehmen sollten der Implementierung robuster Authentifizierungssysteme Priorität einräumen. Authentifizierung ermöglicht es Unternehmen, ihre Netzwerke zu sichern, indem sie nur authentifizierten Benutzern oder Prozessen den Zugriff auf IT-Ressourcen gestatten, was viele Vorteile mit sich bringt:
- Minimiert Datenschutzverletzungen
- Schützt sensible Daten
- Bietet eine zusätzliche Sicherheitsebene über die unternehmensweiten Systeme hinaus
- Stärkt das Schwachstellenmanagement
- Unterstützt Compliance-Management
Anwendungsfälle der Authentifizierung
Die Authentifizierung kann auf verschiedene Weise genutzt werden, z. B. in den folgenden Anwendungsfällen.
- App-Authentifizierung: zur Kontrolle des Zugriffs auf Apps
- Cloud-Dienst- und SaaS-Authentifizierung: zur Kontrolle des Zugriffs auf cloudbasierte Apps und Ressourcen
- Geräteauthentifizierung: zur Kontrolle des Zugriffs auf Geräte (z. B. Computer, Internet der Dinge (IoT) und Mobilgeräte)
- Netzwerkauthentifizierung: zur Kontrolle des Zugriffs auf Netzwerke, einschließlich lokaler Netzwerke (LANs), Weitverkehrsnetzwerke (WANs) und das Internet
- Virtuelle Desktop-Infrastruktur (VDI): zur Kontrolle des Zugriffs auf virtualisierte Umgebungen
So funktioniert die Authentifizierung
Der Authentifizierungsprozess variiert je nach Anwendungsfall. Im Folgenden finden Sie einen Überblick über die Funktionsweise der Authentifizierung.
Zunächst helfen Administratoren den Benutzern bei der Einrichtung eines Benutzernamens und eines Passworts. Viele Unternehmen integrieren zusätzlich Multi-Faktor-Authentifizierung, etwa durch die Registrierung eines Mobiltelefons oder biometrischer Daten.
Der Benutzer fordert den Zugriff auf eine IT-Ressource an und muss dafür Authentifizierungsfaktoren eingeben. Diese Faktoren werden anschließend von Backend-Systemen überprüft.
Sind die Authentifizierungsfaktoren korrekt, erhält der Benutzer Zugriff. Andernfalls wird der Zugriff verweigert. In einigen Fällen kann eine alternative Validierung erforderlich sein, etwa durch die Beantwortung von Sicherheitsfragen.
Die meisten Authentifizierungssysteme protokollieren Benutzerzugriffe. Dies erleichtert die Ursachenanalyse bei Sicherheitsvorfällen und unterstützt Compliance-Audits.
Authentifizierungsfaktoren
Ein Authentifizierungsfaktor ist ein Datenpunkt oder Attribut, das zur Identitätsprüfung eines Benutzers dient, der Zugriff auf eine IT-Ressource beantragt.
Drei wichtige Authentifizierungsfaktoren
- Wissensfaktor oder etwas, das ein Nutzer weiß
Ein Wissensfaktor umfasst Authentifizierungsmerkmale, die aus Informationen bestehen, die nur der Nutzer kennen sollte, wie zum Beispiel:
- Antwort auf eine Sicherheitsfrage
- Passphrasen
- Passwörter
- Persönliche Identifikationsnummer (PIN)
- Besitzfaktor oder etwas, das ein Nutzer besitzt
Ein Besitzfaktor umfasst Authentifizierungsmerkmale, die auf Hardware-Geräten basieren, die der Nutzer besitzen und bei sich tragen kann, um eine Authentifizierungsanwendung auszuführen, eine PIN oder ein Einmalpasswort (OTP) zu empfangen oder sich per NFC-Zugang zu authentifizieren, wie zum Beispiel:
- Handy
- Sicherheitstoken
- Zugangskarte
- Schlüsselanhänger
- Inhärenzfaktor
Ein Inhärenzfaktor umfasst Authentifizierungsmerkmale, die auf biometrischen Identifikationsmethoden basieren, wie zum Beispiel:
- Gesichtserkennung
- Fingerabdrücke
- Iris-Scans
- Sprachmuster
Sekundäre Authentifizierungsfaktoren
Die primären Authentifizierungsfaktoren können durch sekundäre Authentifizierungsfaktoren ergänzt werden. Zu diesen ergänzenden Authentifizierungsfaktoren gehören:
- Standortfaktor
Der Standort kann zwar nicht allein zur Authentifizierung verwendet werden, er kann aber den Verifizierungsprozess verbessern, wenn primäre Authentifizierungsfaktoren verwendet werden. GPS-Daten (Global Positioning System) und IP-Adressen (Internet Protocol) können verwendet werden, um den Standort eines Benutzers zu überprüfen und festzustellen, ob er mit seinem Profil übereinstimmt. - Zeitfaktor
Wie der Standortfaktor kann auch der Zeitfaktor nicht allein zur Authentifizierung verwendet werden, sondern ergänzt primäre Authentifizierungsfaktoren. Zu den Zeitfaktoren gehören der Zeitpunkt, zu dem ein Benutzer Zugriff auf eine Ressource erhält, oder die normalen Zugriffszeiten eines Benutzers.
Arten der Authentifizierung
App-Authentifizierung
Anwendungsprogrammierschnittstellen (APIs) ermöglichen es Apps, Dienste und Daten auszutauschen. Bevor der Austausch zugelassen werden kann, muss die App-Authentifizierung abgeschlossen sein. Die gängigsten Methoden zur App-Authentifizierung sind API-Schlüssel, die Basisauthentifizierung des Hypertext Transfer Protocol (HTTP) und die offene Autorisierung (OAuth).
Verhaltensbasierte Authentifizierung
Die Verhaltensauthentifizierung nutzt die dynamischen Handlungen von Personen als Methode zur Identitätsüberprüfung. Künstliche Intelligenz (KI) und maschinelles Lernen (ML) werden eingesetzt, um einzigartige Muster in unveränderlichen Verhaltensmerkmalen zu erkennen, wie z.B.:
- Gangerkennung, die analysiert, wie ein Benutzer geht
- Tastendynamik, die die Tippgeschwindigkeit und -muster analysiert
- Mausbiometrie, die analysiert, wie ein Benutzer mit seiner Maus interagiert
Biometrische Authentifizierung
Bei der biometrischen Authentifizierung werden die physischen Merkmale einer Person verwendet, um ihre Identität zu überprüfen. Zu den Arten der biometrischen Authentifizierung gehören:
- DNA-Abgleich
- Ohrform-Erkennung
- Gesichtserkennung
- Fingerabdruckerkennung
- Handgeometrie-Erkennung
- Iriserkennung
- Retina-Erkennung
- Unterschrift-Erkennung
- Venenmuster-Erkennung
- Spracherkennung
Zertifikatsbasierte Authentifizierung
Die zertifikatsbasierte Authentifizierung (CBA) verifiziert die Identität von Benutzern, Geräten und Maschinen mit einem digitalen oder Public-Key-Zertifikat.
Kontinuierliche Authentifizierung
Bei der kontinuierlichen Authentifizierung werden das Verhalten der Benutzer und andere Datenpunkte während der gesamten Online-Sitzung verfolgt. Bei dieser Authentifizierungsmethode werden die Ergebnisse kontinuierlich ausgewertet, um sicherzustellen, dass der Benutzer mit der authentifizierten Identität übereinstimmt.
Der Benutzer muss sich erneut authentifizieren, wenn eine kontinuierliche Authentifizierung den genehmigten Schwellenwert unter- oder überschreitet. Zu den Datenpunkten der kontinuierlichen Authentifizierung gehören:
- Verhaltensmuster
- Biometrie
- Browser-Aktivität
- GPS-Daten
- IP-Adressen
- Mausbewegungen
- Zeitpunkt des Zugriffs
- Tippgeschwindigkeit und Tippmuster
Maschinelle Authentifizierung
Damit Rechner automatisierte Aktionen in einem Netzwerk durchführen können, ist eine Authentifizierung erforderlich. Die Authentifizierung von Computern kann mit primären Anmeldedaten oder digitalen Zertifikaten erfolgen.
Mobile Authentifizierung
Die mobile Authentifizierung verifiziert Benutzer über ihre Geräte oder das Gerät selbst, damit Benutzer von überall aus auf sichere Netzwerke und Ressourcen zugreifen können.
Einmalpasswort (OTP)
Ein OTP wird für die einmalige Anmeldung oder die Authentifizierung von Transaktionen verwendet. Ein Einmalpasswort wird auch als dynamisches Passwort bezeichnet und ist eine numerische oder alphanumerische Zeichenfolge, die automatisch generiert und zur Authentifizierung eines Benutzers verwendet wird.
OTPs werden normalerweise versendet, nachdem ein Benutzer einen oder mehrere Teile der Multi-Faktor-Authentifizierung abgeschlossen hat. Ein Einmalpasswort wird an das registrierte Handy oder die E-Mail-Adresse des Benutzers gesendet und der Benutzer gibt dann den Code ein, um den Authentifizierungsprozess abzuschließen.
Passwortlose Authentifizierung
Die passwortlose Authentifizierung erfordert keinen wissensbasierten Authentifizierungsfaktor (z. B. ein Passwort, eine Passphrase, eine persönliche Identifikationsnummer oder PIN bzw. eine Antwort auf eine Sicherheitsfrage). Benutzer geben ihre Benutzer-ID ein und werden dann aufgefordert, einen oder mehrere der drei Authentifizierungsfaktoren einzugeben, um Zugang zu IT-Ressourcen zu erhalten.
Die drei Arten von Authentifizierungsfaktoren, die für die passwortlose Authentifizierung verwendet werden, sind:
- Inhärente Faktoren, einschließlich biometrischer Daten, wie Gesichtserkennung, Fingerabdrücke, Iris-Scans und Stimmmuster
- Besitzfaktoren, wie Schlüsselanhängers, Handy oder Sicherheitstoken
- Magische Links, bei denen es sich um einmalig zu verwendende URLs (Uniform Resource Locators) handelt, die Benutzern per E-Mail oder Handy zur Authentifizierung zugesandt werden. Anstatt ein Passwort zur Authentifizierung einzugeben, klickt der Benutzer einfach auf die URL, um Zugang zu IT-Ressourcen zu erhalten
Beachten Sie, dass die MFA passwortlos sein kann, aber nicht immer ist. Bei der Implementierung können Passwörter Teil der Authentifizierung sein oder weggelassen werden. Zudem kann die passwortlose Authentifizierung sowohl für die MFA als auch für die Ein-Faktor-Authentifizierung genutzt werden.
Authentifizierung per Single Sign-On (SSO)
Die SSO-Authentifizierung ermöglicht Benutzern, sich einmal anzumelden und damit auf mehrere Konten und Apps zuzugreifen. Dabei wird der Authentifizierungsprozess an eine vertrauenswürdige Drittpartei ausgelagert, bei der der Benutzer bereits authentifiziert wurde.
Single-Faktor-Authentifizierung
Bei der Single-Faktor-Authentifizierung (SFA) wird nur ein einziger Berechtigungsnachweis genutzt, um Zugriff auf eine IT-Ressource zu erhalten. Besteht dieser Nachweis aus einem Benutzernamen und einem Passwort, gilt dies als schwache Authentifizierung. Diese Kombination kann leicht kompromittiert werden, da nur eine einzige Barriere unbefugten Zugriff verhindert.
Handelt es sich bei der SFA jedoch um eine passwortlose Authentifizierung, ist sie deutlich sicherer. In diesem Fall kommen Authentifizierungsfaktoren zum Einsatz, die wesentlich schwerer zu kompromittieren sind.
Zwei-Faktor-Authentifizierung
Die Zwei-Faktoren-Authentifizierung (2FA) fügt dem Authentifizierungsprozess eine weitere Schutzschicht hinzu. Diese Art der Authentifizierung verwendet zwei der drei Arten von Authentifizierungsfaktoren (d. h. Wissen, Besitz und Inhärenz).
Drei-Faktor-Authentifizierung
Die Drei-Faktoren-Authentifizierung (3FA) ist eine Art von MFA, die die Verwendung aller drei Arten von Authentifizierungsfaktoren erfordert.
Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung (MFA) umfasst 2FA und 3FA und kann weitere Authentifizierungsfaktoren aus den drei Kerngruppen erfordern.
Authentifizierung vs. Autorisierung
Die Begriffe Authentifizierung und Autorisierung werden häufig synonym verwendet, sind aber nicht dasselbe.
| Authentifizierung | Autorisierung |
|---|---|
| Bei der Authentifizierung wird überprüft, wer ein Benutzer ist. | Die Autorisierung ist der Prozess, bei dem überprüft wird, auf welche Inhalte ein Benutzer zugreifen darf. |
| Benutzern wird der Zugriff verweigert, wenn sie ihre Identität nicht nachweisen können. | Benutzern wird der Zugriff verweigert, wenn sie nicht berechtigt sind, auf eine Ressource zuzugreifen. |
| Überprüft die Anmeldedaten eines Benutzers. | Gewährt oder verweigert die Berechtigungen eines Benutzers. |
| Benutzer können den Authentifizierungsprozess sehen. | Benutzer können den Autorisierungsprozess nicht sehen. |
| Benutzer können einige Änderungen an ihren Authentifizierungselementen vornehmen. | Benutzer können ihre Autorisierungsberechtigungen nicht ändern. |
Eine immer ausgeklügeltere Authentifizierung ermöglicht eine leistungsstarke Cyberabwehr
Kriminelle finden immer neue Wege, Sicherheitsvorkehrungen zu umgehen. Doch während sie sich weiterentwickeln, tun dies auch die Sicherheitslösungen, die sie aufhalten.
Seit ihrer Einführung in den 1960er-Jahren hat sich die Authentifizierung kontinuierlich verbessert und verstärkt. Die rasante Entwicklung von KI- und ML-Technologien macht moderne Authentifizierungssysteme effektiver denn je. Unternehmen können diese Fortschritte nutzen, um die Sicherheit ihrer IT-Ressourcen zu gewährleisten.
