Was ist Authentifizierung?

Authentifizierung ist der Prozess der Identitätsverifizierung. Er erfordert die Verwendung von Passwörtern, Hardware-Tokens oder einer Reihe anderer Methoden.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Authentifizierung definieren
  • Beschreiben, wann die Authentifizierung verwendet wird und wie sie funktioniert
  • Die verschiedenen Arten der Authentifizierung identifizieren

Link zum Artikel kopieren

Was ist Authentifizierung?

In der Cybersicherheit ist Authentifizierung der Prozess der Verifizierung der Identität einer Person oder einer Sache. Authentifizierung erfolgt in der Regel durch die Überprüfung eines Passworts, eines Hardware-Tokens oder einer anderen Information, die die Identität nachweist. Genauso wie ein Angestellter einer Fluggesellschaft einen Reisepass oder einen Personalausweis überprüft, um die Identität einer Person zu verifizieren, wenn diese ein Flugzeug betreten soll, müssen Computersysteme sicher sein, dass eine Person wirklich die ist, die sie vorgibt zu sein. Auf einem Flughafen sorgt diese Authentifizierung dafür, dass nur Personen mit einem Ticket das Flugzeug betreten können. Bei digitalen Systemen wird so sichergestellt, dass die Daten von den richtigen Personen eingesehen und verwendet werden.

Authentifizierung bezieht sich nicht nur auf die Verifizierung menschlicher Nutzer. Computersysteme müssen auch Server, Software, APIs und andere Computer überprüfen, um sicher zu sein, dass sie die sind, die sie zu sein behaupten.

Wie wird Authentifizierung in einem Sicherheitskontext verwendet?

Authentifizierung ist ein wichtiger Bestandteil der Identitäts- und Zugriffsverwaltung (IAM), die festlegt, wer Daten einsehen und was er damit machen darf. Sie kommt aber auch in vielen anderen Sicherheitsbereichen zum Einsatz, darunter:

  • TLS: Fast alle großen Websites unterstützen heute Transport Layer Security (TLS). TLS authentifiziert unter anderem die Identität eines Webservers, um sicherzustellen, dass die Geräte der Nutzer keine gefälschten Websites laden.
  • APIs: Die meisten modernen Webanwendungen funktionieren nur mit Hilfe von APIs. Ordnungsgemäß gesicherte APIs authentifizieren beide Endpunkte der API-Integration, um auf diese APIs gerichtete Angriffe zu verhindern.
  • E-Mail: E-Mails werden mit einem Verfahren namens DomainKey Identified Mail (DKIM) authentifiziert. DKIM stellt sicher, dass E-Mail-Nachrichten von Servern stammen, die die Domain (z. B. @cloudflare.com), von der die E-Mail kommt, verwenden dürfen. Nicht-authentifizierte E-Mails landen wahrscheinlich in Spam-Ordnern.

Wie funktioniert die Authentifizierung?

Da ein Computer eine Person oder einen anderen Computer nicht so „erkennen“ kann wie ein Mensch, beruht der Prozess der Authentifizierung auf objektiven Kriterien, die ein Computer messen kann. Eine Art von objektiven Kriterien besteht darin, eine Eigenschaft zu überprüfen, von der bekannt ist, dass die betreffende Person oder der Computer sie besitzt. Ein anderes Verfahren ist die Verwendung einer Technologie namens Public Key Cryptography zum Nachweis der Identität.

Verifizierung der Identität über Authentifizierungsfaktoren

Bei dieser Art der Authentifizierung wird ein messbares Merkmal der Identität mit einem entsprechenden digitalen Eintrag abgeglichen. Die Merkmale, die ein Authentifizierungssystem prüft, werden „Faktoren“ genannt. Drei gängige Authentifizierungsfaktoren sind heute weit verbreitet:

1. Etwas, das die Person weiß

Dieser Authentifizierungsfaktor prüft geheimes Wissen, über das nur die echte Person verfügen sollte. Eine Kombination aus Benutzername und Kennwort ist das klassische Beispiel für diesen Faktor. Auch Sicherheitsfragen und PIN-Codes sind Beispiele dafür.

2. Etwas, das die Person hat

Dieser Authentifizierungsfaktor prüft, ob die Person einen physischen Gegenstand besitzt, der ihr ausgehändigt wurde oder von dem bekannt ist, dass sie ihn besitzt. Viele Menschen nutzen diesen Authentifizierungsfaktor tagtäglich: Sie leben in einem Haus oder einer Wohnung, die sie mit einem Metallschlüssel aufschließen können. Der Besitz dieses Schlüssels beweist also, dass sie berechtigt sind, die Räumlichkeiten zu betreten, und ermöglicht es ihnen, genau dies zu tun.

In digitalen Systemen stützt sich dieser Authentifizierungsfaktor nicht auf ein altmodisches Schloss und einen Schlüssel. Aber er verwendet ein ähnliches Prinzip, indem er nach einem physischen Token fragt. Es gibt zwei Arten von Token: Soft Token und Hard Token.

Soft Token: Bei einem Soft-Token wird der Besitz eines Geräts, z. B. eines Smartphones, verifiziert, indem ein Code an dieses Gerät gesendet und der Nutzer aufgefordert wird, diesen einzugeben. Der Code kann als Textnachricht gesendet werden oder über eine App, die Zufallscodes generiert.

Hard Token: Ein Hard Token ist ein kleiner physischer Gegenstand, der über Bluetooth, einen USB-Anschluss oder einen anderen Anschluss mit einem Computer oder Mobilgerät verbunden wird. Nutzer müssen diesen Token in ihr Gerät einstecken, um ihre Identität zu verifizieren.

Einige Sicherheitsexperten halten Hard Token für sicherer als Soft Token. Ein Angreifer könnte einen Code auf dem Weg zum Telefon eines Nutzers aus der Ferne abfangen und diesen Code verwenden, um sich als der Nutzer auszugeben. Es ist jedoch viel schwieriger, einen Hard Token zu stehlen: Der Angreifer muss dazu physisch auf den Token zugreifen.

3. Etwas, das die Person ist

Dieser Authentifizierungsfaktor bewertet die inhärenten Eigenschaften einer Person. Im wirklichen Leben tun Menschen dies ständig – zwei Freunde erkennen sich zum Beispiel an ihrem Aussehen oder ihrer Art zu sprechen. Ein Computer könnte dasselbe tun, indem er das Gesicht oder die Netzhaut einer Person scannt, ihren Daumenabdruck verifiziert, die Frequenzen ihrer Stimme misst oder die Ergebnisse eines Bluttests überprüft (obwohl letzteres eher selten ist).

Zusätzliche Authentifizierungsfaktoren

Einige Mitglieder der Sicherheitsbranche haben neben den drei oben genannten Hauptfaktoren zusätzliche Authentifizierungsfaktoren vorgeschlagen oder verwendet. Zwei dieser zusätzlichen Faktoren sind Standort (wo sich ein Nutzer befindet) und Zeit (wann er auf das System zugreift).

Verifizierung der Identität über digitale Zertifikate

Zusätzlich zu den oben beschriebenen Authentifizierungsfaktoren können bekannten und vertrauenswürdigen Personen auch digitale Zertifikate ausgestellt werden. Ein digitales Zertifikat ist eine kleine digitale Datei, die Informationen zur Verifizierung der Identität enthält, so wie ein Personalausweis Informationen enthält, die die Identität einer Person im wirklichen Leben verifizieren.

Digitale Zertifikate werden von der ausstellenden Behörde mit einer digitalen Signatur versehen, um ihre Echtheit zu beweisen, so wie ein Reisepass, ein Personalausweis oder ein Stück Papiergeld mit einem Wasserzeichen versehen sein kann, das beweist, dass es sich nicht um eine Fälschung handelt.

Ein digitales Zertifikat enthält auch eine Reihe von Zufallswerten, die als öffentlicher Schlüssel bezeichnet werden. Der öffentliche Schlüssel korrespondiert mit einem privaten Schlüssel, der separat gespeichert ist. Die Einrichtung, die das Zertifikat besitzt, kann Daten mit diesen Schlüsseln digital signieren, um zu beweisen, dass sie den privaten Schlüssel besitzt und daher authentisch ist.

Derzeit werden digitale Zertifikate nur selten zur Überprüfung der Identität einzelner Personen verwendet. Aber die meisten Menschen verlassen sich tagtäglich auf digitale Zertifikate, ohne sich dessen bewusst zu sein.

Immer wenn jemand eine Website aufruft, die HTTPS, die sichere Version von HTTP, verwendet, nutzt das TLS-Protokoll das digitale Zertifikat der Website (ein so genanntes SSL- oder TLS-Zertifikat), um die Website zu authentifizieren. DKIM, das E-Mail-Absender authentifiziert, ist ein weiteres Beispiel für eine Technologie, die diese Methode anstelle der Überprüfung von Authentifizierungsfaktoren verwendet. DKIM hilft E-Mail-Anbietern beim Sortieren und Blockieren von Spam-E-Mails.

Was ist Multifaktor-Authentifizierung (MFA)?

Bei der Multi-Faktor-Authentifizierung (MFA) wird die Identität einer Person durch die Überprüfung von zwei oder mehr Authentifizierungsfaktoren verifiziert, statt nur durch einen. MFA ist eine stärkere Art der Authentifizierung als die Ein-Faktor-Authentifizierung, da es viel schwieriger ist, zwei dieser Faktoren zu fälschen als einen von ihnen.

Ein Angreifer könnte in der Lage sein, Bobs Benutzernamen und Passwort zu stehlen (vielleicht durch einen Phishing-Angriff). Wenn Bob aber auch sein Gesicht scannen muss, kann der Angreifer Bobs Identität nicht fälschen, da sein Gesicht nicht wie Bobs Gesicht aussieht. Oder wenn Bob zusätzlich zur Eingabe seines Passworts einen Hard Token in seinen Computer stecken muss, müsste der Angreifer auch diesen Token stehlen. Ein solcher Diebstahl ist zwar möglich, aber viel schwieriger, so dass eine Kontoübernahme weniger wahrscheinlich ist.

Für eine echte MFA müssen verschiedene Faktoren geprüft werden. Die Prüfung mehrerer Instanzen eines Faktors ist keine MFA. Wenn ein Nutzer bei einer Anwendung beispielsweise ein Passwort eingeben und Sicherheitsfragen beantworten muss, um sich zu authentifizieren, ist dies immer noch eine Ein-Faktor-Authentifizierung. Die Passworteingabe und die Sicherheitsfragen bewerten beide den Faktor „etwas, das Sie wissen“.

Aufgrund der erhöhten Sicherheit, die sie bietet, ist MFA ein Kernprinzip der Zero Trust-Sicherheit, einem Sicherheitsmodell, das für jeden Nutzer und jedes Gerät, das auf ein privates Netzwerk zugreift, eine Identitätsüberprüfung erfordert.

Was ist die Zwei-Faktor-Authentifizierung (2FA)?

Zwei-Faktor-Authentifizierung (2FA) nennt man MFA, wenn genau zwei Faktoren verwendet werden. Die häufigste Art der Zwei-Faktor-Authentifizierung ist „etwas, das Sie wissen“ + „etwas, das Sie haben“. Viele Menschen geben nicht nur ihre Passwörter ein, sondern lassen sich auch Codes auf ihr Telefon schicken, bevor sie auf ihr Bankkonto zugreifen können (ein Beispiel für die „Soft-Token“-Version dieses Faktors).

Heute setzen viele Unternehmen 2FA ein, um die Auswirkungen von Phishing-Angriffen zu verringern. So konnte Google beispielsweise durch den Einsatz von 2FA mit Hard Token für die Authentifizierung Angriffe zur Übernahme von Konten unterbinden.

Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Was ist der Unterschied zwischen Authentifizierung und Autorisierung?Während es bei der Authentifizierung um die Verifizierung der Identität geht, geht es bei der Autorisierung um die Berechtigungen bzw. darum, was jemand tun darf, sobald er Zugang zu einem geschützten System oder einer geschützten Ressource hat.

Nehmen wir an, Bob arbeitet in der Marketingabteilung seines Unternehmens. Bob gibt sein Passwort ein, scannt sein Gesicht und setzt seinen Hard Token ein, um sich im Netzwerk seines Unternehmens anzumelden. An diesem Punkt ist die Authentifizierung abgeschlossen.

Nachdem er sich angemeldet hat, hat Bob jedoch keinen Zugriff auf alle Dateien im Besitz des Unternehmens. Die Autorisierung bestimmt, was Bob sehen kann und was nicht. Als Marketingspezialist ist er berechtigt, einige Daten zu sehen, z. B. eine Liste potenzieller Kunden, an die das Unternehmen Marketingnachrichten sendet, nicht aber andere Daten, z. B. die Hauptcodebasis des Unternehmens oder die Liste der Mitarbeitergehälter.

In unserem Artikel über Authentifizierung vs. Autorisierung erfahren Sie mehr.

Was ist Single-Sign-On (SSO)?

Moderne Unternehmensmitarbeiter müssen sich bei vielen verschiedenen cloudbasierten Anwendungen authentifizieren. Dies zwingt diese Mitarbeiter, viele Authentifizierungsfaktoren festzulegen – einen Satz für jede Anwendung – und schafft potenzielle Sicherheitsbedenken:

  • Eine Anwendung mit schwachen Sicherheitsvorkehrungen könnte es einem Angreifer ermöglichen, diese Anwendung zu kompromittieren, sich dann lateral zu bewegen, die anderen Anwendungskonten des Nutzers zu kompromittieren und auf den Rest des Unternehmens überzugreifen.
  • Wenn Sie Nutzer dazu zwingen, sich bei mehreren Anwendungen anzumelden, könnten sie dazu verleitet werden, auf angemessene Sicherheitspraktiken zu verzichten. Ein Nutzer könnte anfangen, schwache Passwörter oder das gleiche Passwort für jede Anwendung zu verwenden, da es mühsam ist, sich mehrere zufällige 16-stellige Passwörter zu merken.

Single Sign-On (SSO) ist ein Dienst, der es Nutzern ermöglicht, sich nur einmal zu authentifizieren. Nutzer melden sich beim SSO-Dienst an, der diese Authentifizierung dann an jede Anwendung weitergibt, indem er bei Bedarf eine digitale Authentifizierungsnachricht an jede Anwendung sendet.

SSO bietet IT-Teams außerdem einen einzigen Punkt, an dem sie Sicherheitsrichtlinien durchsetzen können. Nicht alle Anwendungen unterstützen 2FA, aber wenn der SSO-Dienst es unterstützt, kann 2FA trotzdem verwendet werden. IT-Teams können über einen SSO-Dienst auch Anforderungen an die Länge und Komplexität von Passwörtern durchsetzen, so dass sich die Nutzer seltener mehrere Passwörter merken müssen.

Was ist die Security Assertion Markup Language (SAML)?

SSO-Authentifizierungsnachrichten verwenden ein Protokoll namens Security Assertion Markup Language (SAML). SAML ist eine standardisierte Methode, um externen Anwendungen mitzuteilen, dass ein Nutzer derjenige ist, der er vorgibt zu sein.

Eine Nachricht, die einen Nutzer authentifiziert, wird als SAML-„Assertion“ bezeichnet. Sobald eine Anwendung eine SAML-Assertion für einen Nutzer erhält, muss sie den Nutzer nicht mehr selbst authentifizieren, da sie weiß, dass der SSO-Dienst dies bereits getan hat.

SAML vs. OpenID Connect (OIDC)

OpenID Connect (OIDC) ist ein weiteres Authentifizierungsprotokoll, das von SSO-Anbietern immer häufiger verwendet wird. OIDC funktioniert ähnlich wie SAML, formatiert die Daten aber unter anderem anders. Während SAML die Daten über XML formatiert, verwendet OIDC JSON.

Wie hilft die Zero Trust-Plattform von Cloudflare bei der effektiven Authentifizierung?

Cloudflare bietet eine Zero Trust-Plattform, die mit allen wichtigen SSO-Anbietern zusammenarbeitet. Sobald sich Nutzer bei ihrem SSO-Service authentifiziert haben, setzt Cloudflare konsistente Zugriffskontrollen für Cloud- und On-Premise-Anwendungen durch. Weitere Informationen zu dieser Plattform, die Browserisolierung, Secure Web-Gateway, DNS-Filterung und andere Zero Trust-Features umfasst, finden Sie auf der Produktseite.