Authentifizierung

Authentifizierung (v. griech. authentikos für „Urheber“, „Anführer“) ist der Vorgang der Überprüfung (Verifikation) der behaupteten Identität eines Gegenübers, beispielsweise einer Person oder eines Computersystems. Authentisierung hingegen ist der Vorgang des Nachweises der eigenen Identität. Im Englischen wird zwischen den beiden Begriffen nicht unterschieden: Das Wort authentication steht für beide Vorgänge. Dementsprechend werden die beiden Ausdrücke im Deutschen oft (ungenau) synonym verwendet.

In Computer-Netzwerken wie dem Internet wird Authentifizierung eingesetzt, um die Authentizität von Informationen sicherzustellen.

Bei einer Authentifizierung zwischen zwei Subjekten authentisiert sich das eine, während das andere dessen Identität authentifiziert.

Die Authentifizierung eines Gegenübers ist dabei eine Identifizierung dessen und auch im Sinne einer Identitätsfeststellung vorstellbar. Weiterhin ist die Authentifizierung meist eine Verifizierung der Behauptung der Identität, welche das Gegenüber bei seiner Authentisierung angegeben hat.

Im Beispiel eines Computerprogrammes, welches Zugang zu einem gesicherten Bereich gewähren kann, authentisiert sich der Benutzer zunächst, indem er dem Programm seine Identität, beispielsweise durch Eingabe seines Benutzernamens mit Passwort, angibt. Das Programm kann den Benutzer anhand dieser Angaben identifizieren und authentifiziert daraufhin dessen Identität: Das Passwort, welches nur der korrekte Benutzer eingegeben haben kann, beweist, dass es tatsächlich der Benutzer ist, dem der Zugang gewährt werden darf. Nach Verifikation der Eingaben des Benutzers durch Abgleich mit gespeicherten Daten autorisiert das Programm den Benutzer für den Zugang zum gesicherten Bereich.

Die Authentisierung (Nachweisen der eigenen Identität) kann ein Subjekt auf drei verschiedenen Wegen erreichen:

• Benutzung eines Besitzes (Das Subjekt hat etwas); Beispiel: Schlüssel.
• Preisgabe eines Wissens (Das Subjekt weiß etwas); Beispiel: Passwort.
• Anwesenheit des Subjektes selbst (Das Subjekt ist etwas); Beispiel: biometrisches Merkmal.

Die Authentisierungsmethoden haben verschiedene Vor- und Nachteile in ihrer Betrachtung einer speziellen Eigenschaft des Subjektes.

Charakteristika:

• Erstellung und Verteilung von Wissen unterliegt geringen Kosten
• Verwaltung von Wissen ist einfach
• kann vergessen werden
• kann dupliziert, verteilt, weitergegeben und verraten werden
• kann eventuell erraten werden
• die Preisgabe von Wissen kann kompromittiert werden

Beispiele für Authentifizierung anhand von Wissen:

• Passwort
• PIN
• Antwort auf eine bestimmte Frage

Charakteristika:

• Erstellung des Merkmals (ggf. auch der Kontrollstellen) unterliegt vergleichsweise hohen Kosten (benötigt oft einen speziellen Fertigungsvorgang und einen physischen Verteilungsprozess)
• Verwaltung des Wissens ist unsicher und mit Aufwand verbunden (muss mitgeführt werden)
• kann verloren gehen
• kann gestohlen werden
• kann übergeben, weitergereicht oder (in nicht allen Fällen) dupliziert werden

Beispiele für Authentifizierung anhand von Besitz:

• Chipkarte auch bekannt als Smartcard oder als Signaturkarte
• Magnetstreifenkarte
• RFID-Karte
• physischer Schlüssel
• Schlüssel-Codes auf einer Festplatte
• Besitz des Handy's bei mTAN
• Zertifikat z.B. für die Verwendung mit SSL
• TAN- und iTAN-Liste
• One Time PIN Token (z. B. SecurID)
• USB-Stick mit Passworttresor

Charakteristika:

• Wird durch Personen immer mitgeführt
• Nach Erfassung des Merkmals ist eine Verteilung der Erfassten Daten zum Abgleich an Kontrollpunkte notwendig
• benötigt zur Erkennung eine spezielle Vorrichtung (Technik)
• kann nur unter Wirkung einer Wahrscheinlichkeit mit einem Referenzmuster verglichen werden
  • fehlerhafte Erkennung möglich (False Acceptance)
  • fehlerhafte Zurückweisung möglich (False Rejection)
• eine Lebenderkennung kann erforderlich sein (damit z. B. ein künstlicher Fingerabdruck zurückgewiesen wird)
• ist im Laufe der Zeit oder durch Unfälle veränderlich und damit schlechter erkennbar
• Es besteht die Möglichkeit, dass bei ungünstiger Wahl des Merkmals bestimmte Personengruppen, denen das Merkmal fehlt, ausgeschlossen sind

Beispiele für Authentifizierung anhand von biometrischen Merkmalen:

• Fingerabdruck
• Gesichtserkennung
• Tippverhalten
• Stimmerkennung
• Iriserkennung
• Retinamerkmale (Augenhintergrund)
• Handschrift (Unterschrift)
• Handgeometrie
• Handlinienstruktur
• DNA

Während der Authentifizierung werden Daten übertragen. Werden diese Daten abgehört, können sie von einem Angreifer verwendet werden um eine falsche Identität vorzuspiegeln.

Um die Gefahr der Preisgabe auszuschließen wurden Verfahren wie Challenge-Response Authentifizierung und Zero Knowledge erdacht, bei denen das sich authentisierende Subjekt nicht mehr die Identifizierungsdaten selbst übermittelt, sondern nur einen Beweis dafür, dass es diese Identifizierungsdaten zweifelsfrei besitzt. Ein Beispiel aus der Challenge-Response Authentifizierung ist, dass eine Aufgabe gestellt wird, deren Lösung nur von einem Gegenüber stammen kann, welches ein bestimmtes Wissen bzw. einen bestimmten Besitz hat. Somit kann ein Gegenüber authentifiziert werden, ohne dass dieses sein Wissen bzw. seinen Besitz preisgeben musste. Es ist jedoch zu bemerken, dass auch auf solche Verfahren Angriffsmöglichkeiten bestehen.

Eine andere Möglichkeit zur Sicherung der Übertragung ist die sogenannte "Second-Channel" Kommunikation, bei der ein Teil der Identifizierungsdaten über einen zweiten Kanal transferiert wird. Ein Beispiel ist der Versand einer SMS beim "mobile TAN" (mTAN) System.

Andere Systeme lösen das Problem in dem die Identifizierungsdaten nur einmal benutzt werden. Ein Beispiel hierfür ist das TAN System. Allerdings können abgehörte oder auspionierte Identifizierungsdaten später benutzt werden, wenn die Erstbenutzung und damit die Invalidierung der Daten während des Abhörvorgangs verhindert werden können. Einmalpasswort-Systeme vermindern dieses Problem durch eine Kopplung der Identifizierungsdaten an die aktuelle Zeit.

Im Rahmen von kryptographischen Protokollen werden oft zusätzliche Zufallszahlen als sogenannte "Nonce" oder "Salt" Werte verwendet, um die Wiederholung einer Identifizierung zu verhindert.

Durch beliebige Kombination der Methoden können Defizite im Vorgang der Authentifizierung ausgeglichen werden. Andererseits sind Kombinationen mehrerer Methoden mit höheren Kosten und/oder höherem Aufwand verbunden.

Bei einer Kombination von zwei Methoden spricht man von einer 2-Faktor-Authentifizierung. Ein typisches Beispiel für die Kombination von Wissen und Besitz ist ein Geldautomat: Man besitzt die Bankkarte und weiß die persönliche Identifikationsnummer (PIN).

Unter dem 4-Augen-Prinzip wird eine getrennte Authentifizierung von zwei Personen verstanden. Eine solche Authentifizierung wird meist für Systeme mit hohem Schutzbedarf eingesetzt: Zum Beispiel erfordert das Öffnen von Safes in Banken manchmal zwei Personen, die sich durch Besitz (zweier getrennter Schlüssel) authentisieren.

Ein Generalschlüssel ist ein durch Wissen gesichert hinterlegter (versteckter) Besitz, der bei einem Totalverlust aller anderen Authentisierungsmerkmale noch eine Authentisierungsmöglichkeit bietet.

• Sebastian Bösing: Authentifizierung und Autorisierung im elektronischen Rechtsverkehr: Qualifizierte Signaturschlüssel- und Attributszertifikate als gesetzliche Instrumente digitaler Identität, Nomos, ISBN 3832915354
• Josef von Helden: Verbesserung der Authentifizierung in IT-Systemen durch spezielle Dienste des Betriebssystems, Shaker Verlag, ISBN 3826508971

• Signature Perfect KG – Leitfaden Elektronische Signatur – Juni 2005 – PDF – Kostenfreier Download
• Artikel von Cryptoshop.com zu Authentisierung und Authentifizierung
• Eintrag aus einem Kommunikationslexikon