Mehr über cryptas.com Cryptas Security Cryptas Consulting
Cryptoshop Hilfe! Cryptoshop Kontakt! Cryptoshop Merkzettel! Cryptoshop Warenkorb! Zur Kassa gehen! Go to the english page!
+ Produkte
· · · · · · · · · · · · · · · · · · · · · · ·
+ Lösungen
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Sicherheitsziele  
  Security Governance  
  Kryptographie  
  Technologie  
  Smart Card Anwendungen  
  Authentisierung  
  Passworte vs. OTP vs. PKI  
  Wissen - Passworte  
  Besitz - Token  
  Sein - Biometrie  
  Single Sign On Systeme  
  PKI  
  So Geht's  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

Authentisierung - Authentifizierung
 
INFO & WISSEN
 
Die Authentifizierung ist der Vorgang eine Identität zu einem bestimmten Sicherheitsniveau zu beweisen. Um den Beweis einer Identität zu erbringen gibt es 3 Ansätze, den "etwas tragen"- Ansatz, wo der Besitz einer Sache die Identität beweist, der "etwas wissen" Ansatz und der "etwas sein" Ansatz, wo genau genommen körperliche Merkmale die Identität beweisen.

Eine völlig fremde Person kann nur mithilfe einer dritten Partei authentifiziert werden. Ebenso lässt sich die gesicherte Bindung von Daten zu einer Identität am einfachsten über Dritte erreichen.

Besitz einer Sache
Dieser Ansatz ist weit verbreitet und alltäglich, aber durch Diebstahl oder Fälschung unterminierbar. Deshalb besitzen diese Gegenstände, z.B. Ausweise, Mechanismen der nachfolgenden Ansätze durch die Sie mit dem rechtmäßigen Eigentümer verknüpft werden können. Oftmals sind diese Gegenstände von (hoffentlich vertrauenswürdigen) Dritten ausgestellt um sich damit gegenüber fremden authentisieren ("ausweisen") zu können.

Bei elektronischer Authentifizierung, z.B. bei One-Time-Pass-Systemen , ist diese Form durch Besitz eines bestimmten Gerätes, dem "Authentication Token" realisiert. Die Funktionen dieser vertrauenswürdigen, weil manipulationssicherer, Hardware-Tokens gibt es aber auch als Software-Implementierung, diese Soft-Token werden mitunter auch als "pseudo-something you have" bezeichnet.


Wissen um ein Geheimnis
Hier führt richtig vorgebrachtes Wissen zur Authentifizierung, das entweder faktisch, etwa ein Passwort oder prozedural, durch bestimmte Reaktionen oder Handlungen sein. Prozedurale Geheimnisse kennt man wohl primär aus Agentenfilmen, doch ist das Prinzip des Portknockings ebenfalls in diese Kategorie zu stellen.

Ein Geheimnis ist ein, zwischen Authentifizierendem und Authentisierten, geteiltes Wissen, das anderen grundsätzlich nicht zur Verfügung steht. Bei der Authentifizierung mit einem Geheimnis an einem System wird

- anhand des Geheimnisses selbst
- anhand einer, vom Geheimnis abgeleiteten, Sache
- über bestimmte Beweiswege der Besitz des Geheimnisses

geprüft. Problem bei diesem Ansatz ist, dass dieses Wissen bewusst oder unbewusst weitergegeben werden kann - ebenso, dass alle Möglichkeiten systematisch getestet werden können, sofern dies nicht erkannt wird.


Passwortverfahren

Hier wird durch Eingabe eines Passwortes oder Codes der Beweis der Identität erbracht und man wird so für das Gewünschte (Zugang zu Informationen oder Funktionen) autorisiert. Zumeist ist dann von der "PIN" (Personal Identification Number) die Rede. Um die weiter oben genannten Probleme zu verringern, kann einerseits die Verwendungshäufigkeit verringert werden, man spricht dann von Einmalpasswörtern oder auch TANs (Transaktionsnummern), bzw. Fehlversuche einschränken, siehe Passwortschutz und Passwortqualität.


Challenge Response

Bei diesem Verfahren muss der Benutzer die richtige "Response" auf eine gestellte "Challenge" finden.


Zero Knowledge Verfahren

Mit Hilfe eines ZKPS (Zero Knowledge Proof System) beweist eine Person die Kenntnis eines Geheimnisses, ohne dass das Geheimnis selbst offen gelegt werden muss. Im Grunde stellt der Prüfende dem zu Prüfenden eine Aufgabe, die dieser nur mit der Kenntnis des Geheimnisses lösen kann. Sie basieren auf asymmetrischen Verschlüsselungssystemen bzw. den zugrunde liegenden mathematischen Problemen.

biometrische Merkmale
Diese Form der Authentifizierung ist weiter verbreitet als man glaubt, da man ist sich der Authentifizierung per Augenschein kaum bewusst wird. Interessant dazu ist die Diskussion um die "Aufnahme von biometrischen Daten" in den Reisepass, da diese durch das Passfoto doch schon längst vorhanden sind. Die in Betracht gezogenen Maßnahmen sind denn auch mehr einer zusätzlichen Fälschungssicherheit zuzuordnen.

Die herangezogenen Merkmale können physiologischer oder verhaltensbasierter Natur sein. Kriterien für Merkmale sind

- die eindeutige Zuordenbarkeit zu einer Person
- einfache Messbarkeit
- schwere Fälschbarkeit
- Änderungen im Zeitablauf dürfen nicht zu groß ausfallen

Für Anwendungen muss zu Beginn eine Merkmalsmessung vorgenommen werden, deren Ergebnis sodann einen Referenzwert darstellt, gegen den zukünftig verglichen wird. Zu beachten ist dabei der Speicherort des Referenzwertes, da beim Einsatz solcher Verfahren das informationelle Selbstbestimmungsrecht tangiert wird.






"multi-factor authentication"
Zumeist wird eine Kombination dieser Ansätze verwendet, um die effektive Sicherheit zu erhöhen, man spricht von "two-factor-authentication" oder "three-factor-authentication"

"etwas tragen" + "etwas wissen"

Bankkarte mit Pin
Signaturkarte mit Pin


"etwas tragen" + "etwas sein"

klassischer Ausweis mit Foto
Passwort-Token mit zusätzlichem persönlichen Code
Chipkarte mit biometrischer Prüfung


"etwas sein" + "etwas wissen"

Zugangssysteme mit Pin-Eingabe und biometrischer Prüfung


"etwas tragen" + "etwas sein" + "etwas wissen"

Zugangssystem, mit PIN und biometrischer Prüfung wobei das biometrische Template auf einem Secure Token des sich Authentisierenden liegt.

Entrust IdentityGuard   Entrust IdentitiyGuard ist eine vielseitige Authentisierungsplattform, die verschiedenste Authentisierungsmethoden anbietet, welche unterschiedlichste Anforderungen an Sicherheit und Benutzbarkeit abdecken.

IMPRIVATA OneSign   IMPRIVATA OneSign ist eine redundant ausgelegte Enterprise Single Sign On Lösung, basierend auf eigenen Appliances die sich in das Directory der Organisation integrieren.


Linktipps
www.portknocking.org


Zurück zur vorherigen Seite!Zum Seitenanfang!Zur Startseite
  Passworte vs. OTP vs. PKI  
  Wissen - Passworte  
  Besitz - Token  
  Sein - Biometrie  
  Single Sign On Systeme  
 
  Aktion des Monats!  
  Cryptoshop Bundles!  
  e-card Kartenleser Aktion!  
 
  Vertraulichkeit und Authentizität  
  Authentisieren vs. Authentifizieren  
  Definition: Identität vs. Authentizität  
  Authentisierung mit PKI  
  Smart Card  
  Challenge Response mit PKI  
  Benutzerauthentisierung  
  SSL - TLS  
  Sicheres WLAN  
  EAP, PEAP, 802.1X  
  Remote Access  
  E-Mail Standards  
  Zertifikate  
  Digitale Signatur  
  Vertrauensmodelle  
  Passwortschutz und Qualität  
  Certification  
 
Demo Area Download Bereich Forum E-Mail an die Redaktion Cryptoshop Newsletter Sicherheit auf Cryptoshop.com
Impressum AGB Verbraucherhinweise Datenschutz Newsletter Copyright © 2004 CRYPTAS. Alle Rechte vorbehalten