Authentifizierung

aus Wikipedia, der freien Enzyklopädie

Authentifizierung (v. griech. authentikos für „Urheber“, „Anführer“) ist der Vorgang der Überprüfung (Verifikation) der behaupteten Identität eines Gegenübers, beispielsweise einer Person oder eines Computersystems in einem Dialog. Authentisierung hingegen ist der Vorgang des Nachweises der eigenen Identität. Im Englischen wird zwischen den beiden Begriffen nicht unterschieden: Das Wort authentication steht für beide Vorgänge. Dementsprechend werden die beiden Ausdrücke im Deutschen oft (ungenau) synonym verwendet.

In Computer-Netzwerken wie dem Internet wird Authentifizierung eingesetzt, um die Authentizität von Verbindungspartnern sicherzustellen.

Inhaltsverzeichnis 1 Der Vorgang im Kontext 2 Methoden 2.1 Wissen 2.2 Besitz 2.3 Körperliches Merkmal / Biometrie 2.4 Kombination von Methoden 3 Literatur 4 Weblinks

[Bearbeiten] Der Vorgang im Kontext

Bei einer Authentifizierung zwischen zwei Subjekten authentisiert sich das eine, während das andere dessen Identität authentifiziert.

Die Authentifizierung eines Gegenübers ist dabei eine Identifizierung dessen und auch im Sinne einer Identitätsfeststellung vorstellbar. Weiterhin ist die Authentifizierung meist eine Verifizierung der Behauptung der Identität, welche das Gegenüber bei seiner Authentisierung angegeben hat (z. B. durch Eingabe eines Benutzernamens).

Im Beispiel eines Computerprogrammes, welches Zugang zu einem gesicherten Bereich gewähren kann, authentisiert sich der Benutzer zunächst, indem er dem Programm seine Identität, beispielsweise durch Eingabe seines Benutzernamens mit Passwort, angibt. Das Programm kann den Benutzer anhand dieser Angaben identifizieren und authentifiziert daraufhin dessen Identität: Das Passwort, welches nur der korrekte Benutzer eingegeben haben kann, beweist, dass es tatsächlich der Benutzer ist, dem der Zugang gewährt werden darf. Nach Verifikation der Eingaben des Benutzers durch Abgleich mit gespeicherten Daten autorisiert das Programm den Benutzer für den Zugang zum gesicherten Bereich.

[Bearbeiten] Methoden

Die Authentisierung (Nachweisen der eigenen Identität) kann ein Subjekt auf drei verschiedenen Wegen erreichen:

• Benutzung eines Besitzes (Das Subjekt hat etwas); Beispiel: Schlüssel.
• Preisgabe eines Wissens (Das Subjekt weiß etwas); Beispiel: Passwort.
• Anwesenheit des Subjektes selbst (Das Subjekt ist etwas); Beispiel: biometrisches Merkmal.

Die Authentisierungsmethoden haben verschiedene Vor- und Nachteile in ihrer Betrachtung einer speziellen Eigenschaft des Subjektes.

[Bearbeiten] Wissen

Charakteristika:

• Erstellung und Verteilung von Wissen unterliegt geringen Kosten
• Verwaltung von Wissen ist einfach
• kann vergessen werden
• kann dupliziert, verteilt, weitergegeben und verraten werden
• kann eventuell erraten werden
• die Preisgabe von Wissen kann kompromittiert werden

Beispiele für Authentifizierung anhand von Wissen:

• Passwort
• PIN
• Antwort auf eine bestimmte Frage
• Challenge-Response Authentifizierung

Es gibt Bestrebungen die Methode der Authentifizierung anhand von Wissen zu sichern: Um die Gefahr der Preisgabe des Wissens auszuschließen wurden Verfahren wie Challenge-Response Authentifizierung und Zero Knowledge erdacht, bei denen das sich authentisierende Subjekt nicht mehr das Wissen selbst übermittelt, sondern nur einen Beweis dafür, dass es das Wissen zweifelsfrei besitzt. Ein Beispiel aus der Challenge-Response Authentifizierung ist, dass eine Aufgabe gestellt wird, deren Lösung nur von einem Gegenüber stammen kann, welches ein bestimmtes Wissen hat. Somit kann ein Gegenüber authentifiziert werden, ohne dass dieses sein Wissen preisgeben musste. Es ist jedoch zu bemerken, dass auch auf solche Verfahren Angriffsmöglichkeiten bestehen.

[Bearbeiten] Besitz

Charakteristika:

• Erstellung des Merkmals (ggf. auch der Kontrollstellen) unterliegt vergleichsweise hohen Kosten (benötigt oft einen speziellen Fertigungsvorgang und einen physischen Verteilungsprozess)
• Verwaltung des Wissens ist unsicher und mit Aufwand verbunden (muss mitgeführt werden)
• kann verloren gehen
• kann gestohlen werden
• kann übergeben, weitergereicht oder (in nicht allen Fällen) dupliziert werden

Beispiele für Authentifizierung anhand von Besitz:

• Chipkarte auch bekannt als Smartcard
• Magnetstreifenkarte
• RFID-Karte
• physischer Schlüssel
• Schlüssel-Codes auf einer Festplatte
• Second-Channel-Communication (z. B. muss man beim mTAN das Handy besitzen um die SMS zu empfangen)
• Signaturkarte
• SSL-Zertifikat
• TAN- und iTAN-Liste
• One Time PIN Token (z. B. SecurID)
• USB-Stick mit Passworttresor
• Zertifikat

[Bearbeiten] Körperliches Merkmal / Biometrie

Charakteristika:

• Wird durch Personen immer mitgeführt
• Nach Erfassung des Merkmals ist eine Verteilung der Erfassten Daten zum Abgleich an Kontrollpunkte notwendig
• benötigt zur Erkennung eine spezielle Vorrichtung (Technik)
• kann nur unter Wirkung einer Wahrscheinlichkeit mit einem Referenzmuster verglichen werden
  • fehlerhafte Erkennung möglich (False Acceptance)
  • fehlerhafte Zurückweisung möglich (False Rejection)
• eine Lebenderkennung kann erforderlich sein (damit z. B. ein künstlicher Fingerabdruck zurückgewiesen wird)
• ist im Laufe der Zeit oder durch Unfälle veränderlich und damit schlechter erkennbar
• Es besteht die Möglichkeit, dass bei ungünstiger Wahl des Merkmals bestimmte Personengruppen, denen das Merkmal fehlt, ausgeschlossen sind

Beispiele für Authentifizierung anhand von biometrischen Merkmalen:

• Fingerabdruck
• Gesichtserkennung
• Tippverhalten
• Stimmerkennung
• Iriserkennung
• Retinamerkmale (Augenhintergrund)
• Handschrift (Unterschrift)
• Handgeometrie
• Handlinienstruktur
• DNA

[Bearbeiten] Kombination von Methoden

Durch beliebige Kombination der Methoden können Defizite im Vorgang der Authentifizierung ausgeglichen werden. Andererseits sind Kombinationen mehrerer Methoden mit höheren Kosten und/oder höherem Aufwand verbunden.

Bei einer Kombination von zwei Methoden spricht man von einer 2-Faktor-Authentifizierung. Ein typisches Beispiel für die Kombination von Wissen und Besitz ist ein Geldautomat: Man besitzt die Bankkarte und weiß die persönliche Identifikationsnummer (PIN).

Unter dem 4-Augen-Prinzip wird eine getrennte Authentifizierung von zwei Personen verstanden. Eine solche Authentifizierung wird meist für Systeme mit hohem Schutzbedarf eingesetzt: Zum Beispiel erfordert das Öffnen von Safes in Banken manchmal zwei Personen, die sich durch Besitz (zweier getrennter Schlüssel) authentisieren.

Ein Generalschlüssel ist ein durch Wissen gesichert hinterlegter (versteckter) Besitz, der bei einem Totalverlust aller anderen Authentisierungsmerkmale noch eine Authentisierungsmöglichkeit bietet.

[Bearbeiten] Literatur

• Sebastian Bösing: Authentifizierung und Autorisierung im elektronischen Rechtsverkehr: Qualifizierte Signaturschlüssel- und Attributszertifikate als gesetzliche Instrumente digitaler Identität, Nomos, ISBN 3832915354
• Josef von Helden: Verbesserung der Authentifizierung in IT-Systemen durch spezielle Dienste des Betriebssystems, Shaker Verlag, ISBN 3826508971

[Bearbeiten] Weblinks

• Signature Perfect KG – Leitfaden Elektronische Signatur – Juni 2005 – PDF – Kostenfreier Download
• Eintrag aus einem Kommunikationslexikon