Begriffsdefinitionen: Authentisieren, authentifizieren & autorisieren
Authentisieren, authentifizieren und autorisieren: Begriffe, die häufig fallen – aber werden sie auch korrekt verwendet? Gerade die Begriffe „authentisieren“ und „authentifizieren“ werden gerne synonym verwendet. Jedoch handelt es sich um verschiedene Prozesse. Deshalb nutzen wir den heutigen Beitrag zur Aufklärung: Was verbirgt sich hinter den Begriffen „authentisieren, authentifizieren und autorisieren“ und was haben diese Fachbegriffe mit IT-Sicherheit zu tun? Hierfür führen wir ebenfalls Beispiele aus der analogen Welt an, um die Begriffe besser einzuordnen.
Bestandteile der Anmeldung: Authentisieren, authentifizieren & autorisieren
Die Begriffe „authentisieren“, „authentifizieren“ sowie „autorisieren“ hängen eng zusammen und sind Teile von Anmeldeprozessen: Das Nachweisen der Identität ist das Authentisieren. Bei der Authentifizierung wird der Identitätsnachweis auf Authentizität geprüft. Und beim Autorisieren handelt es sich um das Gewähren eines Zugangs, nachdem erfolgreich die Identität nachgewiesen wurde. Doch gehen wir tiefer ins Detail:
Authentisierung: Identität nachweisen
Nutzende, die sich gegenüber einem IT-System anmelden möchten, authentisieren sich zunächst, legen also einen Nachweis für die Identität vor. Der Identitätsnachweis kann in ganz unterschiedlichen Formen erfolgen:
- Informationen, die ausschließlich dem oder der Nutzer:in bekannt sind, etwa in Form eines Passworts, eines Musters, einer Passphrase oder einer PIN.
- Informationen, die unnachahmlicher Bestandteil des oder der Nutzer:in sind, etwa biometrische Daten wie der Fingerabdruck oder die Iris.
- Informationen, die der oder die Nutzer:in besitzt, etwa digitale Identitäten, Token, Badge, Smartcard oder auch Zertifikate.
- Informationen, die alle genannten kombinieren.
Nutzende müssen bei der Authentisierung also aktiv handeln: sie weisen ihre Identität auf verschiedene Weise nach. Nutzende erbringen den Beweis, wirklich zu sein, wer sie zu sein vorgeben. In der analogen Welt geschieht dies in aller Regel durch Ausweisdokumente, während in der digitalen Welt die oben genannten Wege infrage kommen.
Authentifizierung: Prüfung des Identitätsnachweises
Auf die Authentisierung folgt die Authentifizierung: Der Identitätsnachweis, den Nutzende beim Authentisieren erbracht haben, wird in diesem Schritt überprüft. Übertragen auf das analoge Leben würde in diesem Schritt das Ausweisdokument einer zu authentifizierenden Person auf Echtheit untersucht werden. Eine vertrauenswürdige Instanz verifiziert oder falsifiziert also jene Daten, die Nutzende beim Authentisieren als Identitätsnachweis vorgelegt haben.
Dafür lassen sich die im obigen Absatz bereits vorgestellten Verfahren wieder einsetzen. So wäre eine Authentifizierung in der IT etwa über den Faktor Wissen vorstellbar: Passwörter, PINs, Passphrasen, Muster oder andere geheime Informationen. Auch digitale Authentifizierungen über Besitz (Token, digitale Identität usw.) sowie über Biometrie (Iris, Fingerabdruck, Stimme, etc.) sind denkbar.
Je mehr Faktoren beim Authentifizieren eingesetzt werden, umso sicherer kann ein Anmeldeprozess werden. Es ist vorstellbar, dass Kriminelle einen Faktor – etwa ein Passwort – knacken können. Kommen jedoch ein weiterer oder gar mehrere verschiedene Faktoren hinzu – etwa Iris-Scan und Token – haben es Kriminelle wirklich schwer.
Autorisierung: Gewähren bestimmter Rechte
Mit der Authentifizierung endet der Prozess der Anmeldung noch nicht: Es fehlt noch die Autorisierung, also das Gewähren eines Zugangs zu jenen Ressourcen, auf die nach der erfolgreich nachgewiesenen Identität Zugriff erfolgen darf. Erfolgreiches Authentifizieren ist nicht gleichbedeutend mit einem Zugriff auf sämtliche Ressourcen im Netzwerk. Sehen wir uns das zur Verdeutlichung wieder mit einem Beispiel aus der analogen Welt an:
Sie stehen an einem Bargeldautomaten und möchten Geld abheben. Zunächst authentisieren Sie sich mithilfe Ihrer EC-Karte, also etwas, was nur Sie besitzen, sowie Ihrer PIN, also etwas, was im Idealfall auch nur Sie wissen. Der Geldautomat prüft nun, ob die PIN zur EC-Karte passt, sodass Sie als rechtmäßige:r Nutzer:in des Kontos authentifiziert werden können. Nach erfolgreicher Authentifizierung können Sie Bargeld abheben – jedoch nicht unendlich viel, sondern ausschließlich die finanziellen Ressourcen, die Ihr Konto erlaubt. Das ist die Autorisierung.
Übertragen wir unser Beispiel zurück auf die IT bedeutet dies: Sie loggen sich mit Ihrer E-Mail-Adresse, einem Passwort und zusätzlich einem biometrischen Faktor ein – das ist die Authentisierung, also Ihr Identitätsnachweis. Das System prüft, ob E-Mail-Adresse, Passwort und biometrischer Faktor zusammenpassen – es authentifiziert Sie mithilfe Ihrer Eingaben. Dann sind Sie autorisiert, auf bestimmte Daten zuzugreifen. Sie dürfen jedoch aufgrund der Rechteverwaltung nicht auf Mitarbeiterdaten zugreifen – hier fehlt die Autorisierung.
Authentisieren, authentifizieren & autorisieren: Neue Serie startet
Sie sehen: Es ist durchaus verständlich, dass im Alltag die Begriffe authentisieren, authentifizieren und autorisieren synonym verwendet werden – sie gehören zu einem Prozess. Dennoch ist es wichtig, diese Begriffe voneinander trennen zu können, um Anmeldeprozesse mit allen vorhandenen Sicherheitsmechanismen verstehen zu können. Wir werden diesbezüglich auch noch weiter in die Tiefe gehen: Freuen Sie sich auf eine neue Reihe in unserem Blog, in der wir ausführlich zu den Themen Passwörter, Biometrie und Mehr-Faktor-Authentifizierung berichten werden.
Schreibe einen Kommentar