Authentifizierung
Teil einer Serie über ⓘ |
Informationssicherheit |
---|
Verwandte Sicherheitskategorien |
|
Bedrohungen |
|
Verteidigungen |
|
Authentifizierung (aus dem Griechischen: αὐθεντικός authentikos, "echt, unverfälscht", von αὐθέντης authentes, "Urheber") ist der Akt des Nachweises einer Behauptung, z. B. der Identität eines Computersystembenutzers. Im Gegensatz zur Identifizierung, d. h. der Angabe der Identität einer Person oder Sache, ist die Authentifizierung der Prozess der Überprüfung dieser Identität. Dabei kann es sich um die Validierung persönlicher Ausweisdokumente, die Überprüfung der Authentizität einer Website mit einem digitalen Zertifikat, die Bestimmung des Alters eines Artefakts durch Kohlenstoffdatierung oder die Sicherstellung, dass ein Produkt oder Dokument nicht gefälscht ist, handeln. ⓘ
Authentifizierung (von altgriechisch αὐθεντικός authentikós, deutsch ‚zuverlässig, nach einem sicheren Gewährsmann‘; Stammform verbunden mit lateinisch facere ‚machen‘) ist der Nachweis (Verifizierung) einer behaupteten Eigenschaft (claim) einer Entität, die beispielsweise ein Mensch, ein Gerät, ein Dokument oder eine Information sein kann und die dabei durch ihren Beitrag ihre Authentisierung durchführt. ⓘ
Das zugehörige Verb lautet authentifizieren, und dazu gehörig authentisieren (englisch: authenticate), das für das Bezeugen der Echtheit von etwas steht. In der Informatik wird das substantivierte Wort Authentisieren häufig sowohl für den Vorgang der Echtheitsprüfung als auch für das Ergebnis dieser Überprüfung verwendet, da im englischen Sprachraum zwischen den Aktionen der beteiligten Entitäten syntaktisch nicht unterschieden wird. Im deutschen Sprachraum wird der Begriff Authentifikation für die Prüfung der Echtheit und der Begriff Authentifizierung für die Bezeugung der Echtheit verwendet. ⓘ
Die Authentisierung einer Entität bezüglich der behaupteten Eigenschaft der Authentizität, die beispielsweise Einräumen einer „bestehenden Zugangsberechtigung“ oder „Echtheit“ sein kann, erlaubt der authentifizierten Entität weitere Aktionen. Die Entität gilt dann als authentisch. ⓘ
Die abschließende Bestätigung einer Authentifizierung wird auch als Autorisierung bezeichnet, wenn sie durch bestimmte zulässige Modi und/oder in einem bestimmten Kontext eingeschränkt wird. Eine Authentifizierung gilt so lange, bis der betreffende Kontext verlassen oder verändert oder bis der betreffende Modus verlassen oder verändert wird. ⓘ
Methoden
Die Echtheitsprüfung ist für viele Bereiche relevant. In den Bereichen Kunst, Antiquitäten und Anthropologie besteht ein häufiges Problem darin, zu überprüfen, ob ein bestimmtes Artefakt von einer bestimmten Person oder an einem bestimmten Ort oder in einem bestimmten Zeitraum der Geschichte hergestellt wurde. In der Informatik ist die Überprüfung der Identität eines Benutzers häufig erforderlich, um den Zugang zu vertraulichen Daten oder Systemen zu ermöglichen. ⓘ
Die Authentifizierung kann in drei Arten unterteilt werden: Die erste Art der Authentifizierung besteht darin, einen Identitätsnachweis zu akzeptieren, der von einer glaubwürdigen Person erbracht wird, die aus erster Hand weiß, dass die Identität echt ist. Bei der Echtheitsprüfung von Kunstwerken oder physischen Gegenständen kann es sich um einen Freund, ein Familienmitglied oder einen Kollegen handeln, der die Herkunft des Objekts bestätigt, indem er es vielleicht im Besitz seines Schöpfers gesehen hat. Bei signierten Sporterinnerungsstücken könnte dies bedeuten, dass jemand bestätigt, dass er Zeuge der Unterzeichnung des Gegenstands war. Ein Verkäufer, der Markenartikel verkauft, impliziert Authentizität, obwohl er oder sie möglicherweise nicht nachweisen kann, dass jeder Schritt in der Lieferkette authentifiziert wurde. Zentralisierte Vertrauensbeziehungen auf der Grundlage von Autoritäten unterstützen die sicherste Internetkommunikation durch bekannte öffentliche Zertifizierungsstellen; dezentralisiertes Vertrauen auf der Grundlage von Gleichrangigen, auch bekannt als "Web of Trust", wird für persönliche Dienste wie E-Mail oder Dateien (Pretty Good Privacy, GNU Privacy Guard) verwendet, und Vertrauen wird beispielsweise durch die gegenseitige Unterzeichnung von kryptografischen Schlüsseln durch bekannte Personen bei Key Signing Parties hergestellt. ⓘ
Die zweite Art der Authentifizierung besteht darin, die Eigenschaften des Objekts selbst mit dem zu vergleichen, was über Objekte dieser Herkunft bekannt ist. Ein Kunstexperte könnte beispielsweise nach Ähnlichkeiten im Stil der Malerei suchen, den Ort und die Form einer Signatur überprüfen oder das Objekt mit einer alten Fotografie vergleichen. Ein Archäologe hingegen könnte mit Hilfe der Kohlenstoffdatierung das Alter eines Artefakts überprüfen, eine chemische und spektroskopische Analyse der verwendeten Materialien durchführen oder den Baustil oder die Verzierung mit anderen Artefakten ähnlicher Herkunft vergleichen. Die Physik von Schall und Licht und der Vergleich mit einer bekannten physikalischen Umgebung können genutzt werden, um die Echtheit von Tonaufnahmen, Fotos oder Videos zu prüfen. Bei Dokumenten kann überprüft werden, ob sie mit Tinte oder auf Papier erstellt wurden, das zum Zeitpunkt der mutmaßlichen Erstellung des Gegenstands verfügbar war. ⓘ
Der Attributvergleich kann anfällig für Fälschungen sein. Im Allgemeinen beruht er auf der Tatsache, dass die Herstellung einer Fälschung, die von einem echten Artefakt nicht zu unterscheiden ist, Expertenwissen erfordert, dass Fehler leicht gemacht werden können und dass der dafür erforderliche Aufwand erheblich größer ist als der Gewinn, der mit der Fälschung erzielt werden kann. ⓘ
In der Kunst- und Antiquitätenbranche sind Zertifikate von großer Bedeutung für die Authentifizierung eines Objekts von Interesse und Wert. Zertifikate können jedoch auch gefälscht werden, und die Echtheitsprüfung dieser Zertifikate stellt ein Problem dar. So hat beispielsweise der Sohn des bekannten Kunstfälschers Han van Meegeren das Werk seines Vaters gefälscht und ebenfalls ein Zertifikat für dessen Herkunft ausgestellt; siehe den Artikel Jacques van Meegeren. ⓘ
Strafrechtliche und zivilrechtliche Sanktionen für Betrug, Fälschung und Nachahmung können den Anreiz zur Fälschung verringern, je nachdem, wie groß das Risiko ist, erwischt zu werden. ⓘ
Bei Bargeld und anderen Finanzinstrumenten wird häufig diese zweite Art von Authentifizierungsmethode verwendet. Geldscheine, Münzen und Schecks weisen schwer zu duplizierende physische Merkmale auf, wie z. B. feine Drucke oder Gravuren, eine besondere Haptik, Wasserzeichen und holografische Bilder, die von geschulten Empfängern leicht zu überprüfen sind. ⓘ
Die dritte Art der Echtheitsprüfung stützt sich auf Dokumente oder andere externe Bestätigungen. In Strafgerichten verlangen die Beweisregeln häufig, dass die Beweiskette für die vorgelegten Beweise nachgewiesen werden muss. Dies kann durch ein schriftliches Beweismittelprotokoll oder durch Aussagen der Polizeibeamten und der Mitarbeiter der Spurensicherung, die das Beweismittel bearbeitet haben, geschehen. Einige Antiquitäten werden von Zertifikaten begleitet, die ihre Echtheit bescheinigen. Signierte Sportmemorabilien werden in der Regel von einem Echtheitszertifikat begleitet. Diese externen Aufzeichnungen bergen das Problem der Fälschung und des Meineids und sind außerdem anfällig dafür, dass sie vom Artefakt getrennt werden und verloren gehen. ⓘ
In der Informatik kann einem Benutzer auf der Grundlage von Benutzerberechtigungsnachweisen, die Authentizität implizieren, Zugang zu sicheren Systemen gewährt werden. Ein Netzwerkadministrator kann einem Benutzer ein Passwort geben oder ihn mit einer Schlüsselkarte oder anderen Zugangsgeräten ausstatten, um den Systemzugang zu ermöglichen. In diesem Fall ist die Authentizität zwar impliziert, aber nicht garantiert. ⓘ
Bei Verbrauchsgütern wie Arzneimitteln, Parfüm und Modebekleidung können alle drei Formen der Authentifizierung eingesetzt werden, um zu verhindern, dass gefälschte Waren den Ruf einer beliebten Marke ausnutzen (und damit den Umsatz und den Ruf des Markeninhabers schädigen). Wie bereits erwähnt, ist ein Artikel, der in einem renommierten Geschäft zum Verkauf angeboten wird, ein impliziter Beweis dafür, dass er echt ist - die erste Art der Authentifizierung. Die zweite Art der Echtheitsprüfung könnte darin bestehen, die Qualität und die handwerkliche Verarbeitung eines Artikels, z. B. einer teuren Handtasche, mit echten Artikeln zu vergleichen. Die dritte Art der Echtheitsprüfung könnte das Vorhandensein eines Warenzeichens auf dem Artikel sein, das eine rechtlich geschützte Kennzeichnung ist, oder jedes andere Erkennungsmerkmal, das dem Verbraucher hilft, echte Markenware zu identifizieren. Mit Hilfe von Software haben die Unternehmen große Anstrengungen unternommen, um sich vor Fälschern zu schützen, z. B. durch Hinzufügen von Hologrammen, Sicherheitsringen, Sicherheitsfäden und farbverändernder Tinte. ⓘ
Authentifizierungsfaktoren
Die Möglichkeiten zur Authentifizierung einer Person lassen sich in drei Kategorien einteilen, die auf den so genannten Authentifizierungsfaktoren basieren: etwas, das der Benutzer weiß, etwas, das der Benutzer hat, und etwas, das der Benutzer ist. Jeder Authentifizierungsfaktor umfasst eine Reihe von Elementen, die zur Authentifizierung oder Überprüfung der Identität einer Person verwendet werden, bevor ihr Zugang gewährt wird, eine Transaktionsanfrage genehmigt wird, ein Dokument oder ein anderes Arbeitsprodukt signiert wird, anderen Personen Befugnisse erteilt werden und eine Autoritätskette eingerichtet wird. ⓘ
Die Sicherheitsforschung hat festgestellt, dass für eine positive Authentifizierung mindestens zwei, vorzugsweise aber alle drei Faktoren überprüft werden sollten. Die drei Faktoren (Klassen) und einige der Elemente der einzelnen Faktoren sind:
- die Wissensfaktoren: Etwas, das der Benutzer weiß (z. B. ein Passwort, ein Teilpasswort, eine Passphrase, eine persönliche Identifikationsnummer (PIN), eine Challenge-Response (der Benutzer muss eine Frage oder ein Muster beantworten), eine Sicherheitsfrage).
- die Eigentumsfaktoren: Etwas, das der Benutzer besitzt (z. B. Armband, Ausweis, Sicherheits-Token, implantiertes Gerät, Mobiltelefon mit eingebautem Hardware-Token, Software-Token oder Mobiltelefon mit Software-Token).
- die Inhärenzfaktoren: Etwas, das der Benutzer ist oder tut (z. B. Fingerabdruck, Netzhautmuster, DNA-Sequenz (es gibt verschiedene Definitionen dafür, was ausreichend ist), Unterschrift, Gesicht, Stimme, eindeutige bioelektrische Signale oder andere biometrische Identifikatoren). ⓘ
Die Authentisierung (Nachweisen der eigenen Identität) kann ein Benutzer auf drei verschiedenen Wegen erreichen:
- Nachweis der Kenntnis einer Information: Er weiß etwas, zum Beispiel ein Passwort
- Verwendung eines Besitztums: Er hat etwas, zum Beispiel einen Schlüssel
- Gegenwart des Benutzers selbst: Er ist etwas, zum Beispiel in Form eines biometrischen Merkmals ⓘ
Die Wahl der Authentisierungsmethoden führt je nach Anwendungsgebiet zu verschiedenen Vor- und Nachteilen bei der Praktikabilität für den Benutzer im Alltag und Sicherheitsbedarf des zu schützenden Guts. Eine sorgfältige Abwägung vor der Umsetzung und Inbetriebnahme gewährleistet hierbei das tatsächlich erreichte Sicherheitsniveau. ⓘ
Ein-Faktor-Authentifizierung
Bei der schwächsten Authentifizierungsstufe wird nur eine einzige Komponente aus einer der drei Kategorien von Faktoren zur Authentifizierung der Identität einer Person verwendet. Die Verwendung von nur einem Faktor bietet keinen großen Schutz vor Missbrauch oder böswilligem Eindringen. Diese Art der Authentifizierung wird nicht für finanzielle oder persönlich relevante Transaktionen empfohlen, die ein höheres Maß an Sicherheit erfordern. ⓘ
Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung umfasst zwei oder mehr Authentifizierungsfaktoren (etwas, das Sie wissen, etwas, das Sie haben, oder etwas, das Sie sind). Die Zwei-Faktor-Authentifizierung ist ein Spezialfall der Multi-Faktor-Authentifizierung mit genau zwei Faktoren. ⓘ
Beispielsweise bietet die Verwendung einer Bankkarte (etwas, das der Benutzer hat) zusammen mit einer PIN (etwas, das der Benutzer weiß) eine Zwei-Faktor-Authentifizierung. In Unternehmensnetzwerken müssen Benutzer möglicherweise ein Passwort (Wissensfaktor) und eine Pseudozufallszahl von einem Sicherheits-Token (Eigentumsfaktor) angeben. Für den Zugang zu einem Hochsicherheitssystem kann ein Mantrap-Screening erforderlich sein, bei dem Größe, Gewicht, Gesicht und Fingerabdrücke (mehrere Inhärenzfaktoren) sowie eine PIN und ein Tagescode (Wissensfaktoren) überprüft werden, aber auch dies ist eine Zwei-Faktor-Authentifizierung. ⓘ
Authentifizierungsarten
Die häufigsten Authentifizierungsarten, die für die Authentifizierung von Online-Benutzern verwendet werden, unterscheiden sich im Grad der Sicherheit, der durch die Kombination von Faktoren aus einer oder mehreren der drei Kategorien von Authentifizierungsfaktoren erreicht wird: ⓘ
Starke Authentifizierung
Das National Information Assurance Glossary der US-Regierung definiert starke Authentifizierung als einen mehrschichtigen Authentifizierungsansatz, der sich auf zwei oder mehr Authentifikatoren stützt, um die Identität eines Absenders oder Empfängers von Informationen festzustellen. ⓘ
Die Europäische Zentralbank (EZB) definiert starke Authentifizierung als "ein Verfahren, das auf zwei oder mehr der drei Authentifizierungsfaktoren beruht". Die verwendeten Faktoren müssen voneinander unabhängig sein und mindestens ein Faktor muss "nicht wiederverwendbar und nicht replizierbar" sein, außer im Falle eines Inhärenzfaktors, und er muss auch nicht aus dem Internet gestohlen werden können. Im europäischen wie auch im US-amerikanischen Verständnis ist die starke Authentifizierung der Multi-Faktor-Authentifizierung oder 2FA sehr ähnlich, geht aber über diese mit strengeren Anforderungen hinaus. ⓘ
Die Fast IDentity Online (FIDO) Alliance hat sich bemüht, technische Spezifikationen für eine starke Authentifizierung festzulegen. ⓘ
Kontinuierliche Authentifizierung
Herkömmliche Computersysteme authentifizieren Benutzer nur bei der ersten Anmeldesitzung, was zu einer kritischen Sicherheitslücke führen kann. Um dieses Problem zu lösen, benötigen die Systeme Methoden zur kontinuierlichen Benutzerauthentifizierung, die die Benutzer anhand bestimmter biometrischer Merkmale kontinuierlich überwachen und authentifizieren. In einer Studie wurde Verhaltensbiometrie auf der Grundlage des Schreibstils als kontinuierliche Authentifizierungsmethode verwendet. ⓘ
Jüngste Forschungen haben gezeigt, dass es möglich ist, mit Hilfe von Smartphone-Sensoren und -Zubehör einige Verhaltensmerkmale wie Berührungsdynamik, Tastendruckdynamik und Gangerkennung zu extrahieren. Diese Attribute werden als verhaltensbiometrische Daten bezeichnet und könnten zur impliziten und kontinuierlichen Verifizierung oder Identifizierung von Nutzern auf Smartphones verwendet werden. Die Authentifizierungssysteme, die auf der Grundlage dieser verhaltensbiometrischen Merkmale entwickelt wurden, werden als aktive oder kontinuierliche Authentifizierungssysteme bezeichnet. ⓘ
Digitale Authentifizierung
Der Begriff digitale Authentifizierung, der auch als elektronische Authentifizierung oder E-Authentifizierung bezeichnet wird, bezieht sich auf eine Gruppe von Prozessen, bei denen das Vertrauen in die Identität des Benutzers hergestellt und einem Informationssystem auf elektronischem Wege vorgelegt wird. Der digitale Authentifizierungsprozess bringt technische Herausforderungen mit sich, da die Authentifizierung von Einzelpersonen oder Unternehmen über ein Netzwerk erfolgen muss. Das amerikanische National Institute of Standards and Technology (NIST) hat ein allgemeines Modell für die digitale Authentifizierung erstellt, das die Prozesse beschreibt, die für eine sichere Authentifizierung verwendet werden:
- Registrierung - eine Person stellt einen Antrag bei einem Credential Service Provider (CSP), um den Registrierungsprozess einzuleiten. Nachdem die Identität des Antragstellers erfolgreich nachgewiesen wurde, erlaubt der CSP dem Antragsteller, Teilnehmer zu werden.
- Authentifizierung - Nachdem der Benutzer Abonnent geworden ist, erhält er einen Authentifikator, z. B. ein Token und Anmeldeinformationen, wie z. B. einen Benutzernamen. Er darf dann Online-Transaktionen innerhalb einer authentifizierten Sitzung mit einer vertrauenden Partei durchführen, bei der er den Nachweis erbringen muss, dass er einen oder mehrere Authentifikatoren besitzt.
- Lebenszyklus-Wartung - der CSP ist mit der Aufgabe betraut, den Berechtigungsnachweis des Benutzers während seiner gesamten Lebensdauer zu warten, während der Teilnehmer für die Wartung seiner Authentifikatoren verantwortlich ist. ⓘ
Die Authentifizierung von Informationen kann bei der elektronischen Kommunikation besondere Probleme aufwerfen, wie z. B. die Anfälligkeit für Man-in-the-Middle-Angriffe, bei denen sich eine dritte Partei in den Kommunikationsstrom einklinken und sich als jede der beiden anderen Kommunikationsparteien ausgeben kann, um Informationen von beiden abzufangen. Es können zusätzliche Identitätsfaktoren erforderlich sein, um die Identität jeder Partei zu authentifizieren. ⓘ
Produktauthentifizierung
Gefälschte Produkte werden den Verbrauchern oft als echt angeboten. Gefälschte Konsumgüter wie Elektronik, Musik, Kleidung und gefälschte Medikamente werden als legitim verkauft. Bemühungen zur Kontrolle der Lieferkette und zur Aufklärung der Verbraucher tragen dazu bei, dass echte Produkte verkauft und verwendet werden. Aber auch der Sicherheitsdruck auf Verpackungen, Etiketten und Namensschildern ist fälschungsgefährdet. ⓘ
In ihrem Leitfaden für Fälschungsschutztechnologien teilt die EUIPO-Beobachtungsstelle für Verletzungen von Rechten des geistigen Eigentums die wichtigsten derzeit auf dem Markt befindlichen Fälschungsschutztechnologien in fünf Hauptkategorien ein: elektronische, Markierungs-, chemische und physikalische, mechanische und Technologien für digitale Medien. ⓘ
Produkte oder ihre Verpackungen können einen variablen QR-Code enthalten. Ein QR-Code allein ist zwar leicht zu überprüfen, bietet aber nur ein schwaches Maß an Authentifizierung, da er keinen Schutz vor Fälschungen bietet, es sei denn, die Scandaten werden auf Systemebene analysiert, um Anomalien zu erkennen. Um das Sicherheitsniveau zu erhöhen, kann der QR-Code mit einem digitalen Wasserzeichen oder einem Kopiererkennungsmuster kombiniert werden, die gegen Kopierversuche robust sind und mit einem Smartphone authentifiziert werden können. ⓘ
Ein sicheres Schlüsselspeichergerät kann für die Authentifizierung in der Unterhaltungselektronik, für die Netzwerkauthentifizierung, das Lizenzmanagement, das Lieferkettenmanagement usw. verwendet werden. Im Allgemeinen benötigt das zu authentifizierende Gerät eine drahtlose oder drahtgebundene digitale Verbindung zu einem Host-System oder einem Netzwerk. Die zu authentifizierende Komponente muss jedoch nicht zwangsläufig elektronisch sein, da ein Authentifizierungschip mechanisch angebracht und über einen Anschluss an den Host ausgelesen werden kann, z. B. ein authentifizierter Tintentank zur Verwendung mit einem Drucker. Für Produkte und Dienstleistungen, bei denen diese sicheren Koprozessoren eingesetzt werden können, bieten sie eine Lösung, die wesentlich schwieriger zu fälschen ist als die meisten anderen Optionen und gleichzeitig leichter zu überprüfen ist. ⓘ
Verpackung
Verpackung und Etikettierung können so gestaltet werden, dass sie das Risiko von gefälschten Konsumgütern oder von Diebstahl und Weiterverkauf von Produkten verringern. Einige Verpackungskonstruktionen sind schwieriger zu kopieren und einige verfügen über Siegel, die auf Diebstahl hinweisen. Gefälschte Waren, unbefugte Verkäufe (Abzweigung), Materialaustausch und Manipulationen können mit diesen Fälschungsschutztechnologien reduziert werden. Verpackungen können Authentifizierungssiegel enthalten und Sicherheitsdrucke verwenden, um anzuzeigen, dass die Verpackung und der Inhalt nicht gefälscht sind; auch diese sind fälschungsgefährdet. Auch diese sind fälschungsgefährdet. Verpackungen können auch Diebstahlsicherungen enthalten, wie z. B. Farbstoffpackungen, RFID-Etiketten oder elektronische Artikelüberwachungsetiketten, die von Geräten an den Ausgängen aktiviert oder erkannt werden können und Spezialwerkzeuge zur Deaktivierung erfordern. Zu den fälschungssicheren Technologien, die bei Verpackungen eingesetzt werden können, gehören:
- Taggant-Fingerprinting - eindeutig codierte mikroskopische Materialien, die anhand einer Datenbank überprüft werden
- Verschlüsselte Mikropartikel - unvorhersehbar platzierte Markierungen (Zahlen, Schichten und Farben), die für das menschliche Auge nicht sichtbar sind
- Hologramme - Grafiken, die auf Siegel, Aufnäher, Folien oder Etiketten gedruckt und am Verkaufsort zur visuellen Überprüfung verwendet werden
- Mikrodruck - Zweitlinien-Authentifizierung, die häufig bei Währungen verwendet wird
- Serialisierte Strichcodes
- UV-Druck - Markierungen, die nur unter UV-Licht sichtbar sind
- Track-and-Trace-Systeme - verwenden Codes, um Produkte mit dem Datenbank-Tracking-System zu verbinden
- Wasserindikatoren - werden sichtbar, wenn sie mit Wasser in Berührung kommen
- DNA-Tracking - in Etiketten eingebettete Gene, die nachverfolgt werden können
- Farbverschiebende Tinte oder Folie - sichtbare Markierungen, die ihre Farbe oder Textur ändern, wenn sie gekippt werden
- Manipulationssichere Siegel und Bänder - zerstörbar oder grafisch überprüfbar an der Verkaufsstelle
- 2d-Barcodes - Datencodes, die verfolgt werden können
- RFID-Chips
- NFC-Chips ⓘ
Informationsgehalt
Bei einer literarischen Fälschung kann der Stil eines berühmten Autors nachgeahmt werden. Wenn ein Originalmanuskript, ein maschinengeschriebener Text oder eine Aufnahme verfügbar ist, kann das Medium selbst (oder seine Verpackung - von einer Schachtel bis zu E-Mail-Headern) dazu beitragen, die Echtheit des Dokuments zu beweisen oder zu widerlegen. Text, Audio- und Videodateien können jedoch in neue Medien kopiert werden, so dass möglicherweise nur der Informationsinhalt selbst zur Authentifizierung verwendet werden kann. Es wurden verschiedene Systeme entwickelt, die es den Autoren ermöglichen, den Lesern eine zuverlässige Authentifizierung zu ermöglichen, dass eine bestimmte Nachricht von ihnen stammt oder von ihnen weitergeleitet wurde. Dazu gehören Authentifizierungsfaktoren wie:
- Ein schwer zu reproduzierendes physisches Artefakt, wie z. B. ein Siegel, eine Unterschrift, ein Wasserzeichen, ein spezielles Briefpapier oder ein Fingerabdruck.
- Ein gemeinsames Geheimnis, z. B. eine Passphrase, im Inhalt der Nachricht.
- Eine elektronische Signatur; eine Public-Key-Infrastruktur wird häufig verwendet, um kryptografisch zu garantieren, dass eine Nachricht vom Inhaber eines bestimmten privaten Schlüssels unterzeichnet wurde. ⓘ
Das entgegengesetzte Problem ist die Aufdeckung von Plagiaten, bei denen Informationen von einem anderen Autor als eigene Arbeit ausgegeben werden. Ein gängiges Verfahren zum Nachweis von Plagiaten ist die Entdeckung einer weiteren Kopie desselben oder eines sehr ähnlichen Textes, der eine andere Zuordnung aufweist. In einigen Fällen kann eine übermäßig hohe Qualität oder ein nicht übereinstimmender Stil den Verdacht auf ein Plagiat erwecken. ⓘ
Alphabetisierung und Authentifizierung von Literatur
In der Literaturwissenschaft ist die Authentifizierung ein Prozess des Lesers, der den Wahrheitsgehalt eines Aspekts der Literatur in Frage stellt und diese Fragen dann durch Nachforschungen verifiziert. Die grundlegende Frage bei der Authentifizierung von Literatur lautet: Glaubt man ihr? Ein Authentifizierungsprojekt ist daher eine Lese- und Schreibaktivität, bei der die Schüler den entsprechenden Forschungsprozess dokumentieren (). Es stärkt die kritische Kompetenz der Schüler. Das Dokumentationsmaterial für Literatur geht über erzählende Texte hinaus und umfasst wahrscheinlich auch Informationstexte, Primärquellen und Multimedia. Der Prozess umfasst in der Regel sowohl Internet- als auch praktische Bibliotheksrecherchen. Bei der Authentifizierung historischer Romane achten die Leser darauf, dass die wichtigsten historischen Ereignisse und die dargestellte Kultur (z. B. Sprache, Kleidung, Essen, Geschlechterrollen) für die damalige Zeit glaubwürdig sind. ⓘ
Geschichte und Stand der Technik
In der Vergangenheit wurden Fingerabdrücke als die zuverlässigste Authentifizierungsmethode verwendet, aber Gerichtsverfahren in den USA und anderswo haben grundlegende Zweifel an der Zuverlässigkeit von Fingerabdrücken aufkommen lassen. Auch außerhalb des Rechtssystems sind Fingerabdrücke leicht zu fälschen, und der oberste Beamte für Computersicherheit der British Telecom stellte fest, dass "nur wenige" Fingerabdrucklesegeräte nicht schon durch die eine oder andere Fälschung ausgetrickst wurden. Hybride oder zweistufige Authentifizierungsmethoden bieten eine überzeugende Lösung, z. B. private Schlüssel, die mit dem Fingerabdruck in einem USB-Gerät verschlüsselt werden. ⓘ
Im Zusammenhang mit Computerdaten wurden kryptografische Methoden entwickelt (siehe digitale Signatur und Challenge-Response-Authentifizierung), die derzeit nur dann nicht gefälscht werden können, wenn der Schlüssel des Urhebers nicht kompromittiert wurde. Dass der Urheber (oder jemand anderes als ein Angreifer) von einer Kompromittierung weiß (oder nicht weiß), ist irrelevant. Es ist nicht bekannt, ob diese kryptographisch basierten Authentifizierungsmethoden nachweislich sicher sind, da sie durch unvorhergesehene mathematische Entwicklungen in Zukunft anfällig für Angriffe werden könnten. Sollte dies der Fall sein, könnte dies einen Großteil der bisherigen Authentifizierung in Frage stellen. Insbesondere kann ein digital unterzeichneter Vertrag in Frage gestellt werden, wenn ein neuer Angriff auf die der Signatur zugrunde liegende Kryptographie entdeckt wird. ⓘ
Autorisierung
Der Prozess der Autorisierung unterscheidet sich von dem der Authentifizierung. Während bei der Authentifizierung überprüft wird, ob Sie der sind, für den Sie sich ausgeben, wird bei der Autorisierung überprüft, ob Sie das tun dürfen, was Sie tun wollen. Obwohl die Autorisierung oft unmittelbar nach der Authentifizierung erfolgt (z. B. beim Einloggen in ein Computersystem), bedeutet dies nicht, dass die Autorisierung die Authentifizierung voraussetzt: Ein anonymer Agent könnte zu einer begrenzten Anzahl von Aktionen autorisiert werden. ⓘ
Zugangskontrolle
Eine bekannte Anwendung von Authentifizierung und Autorisierung ist die Zugangskontrolle. Ein Computersystem, das nur von befugten Personen benutzt werden soll, muss versuchen, Unbefugte zu erkennen und auszuschließen. Der Zugang wird daher in der Regel durch ein Authentifizierungsverfahren kontrolliert, mit dem die Identität des Benutzers mit einem gewissen Grad an Vertrauen festgestellt und die für diese Identität festgelegten Rechte gewährt werden. ⓘ
Wissen
Charakteristika:
- kann vergessen werden
- kann dupliziert, verteilt, weitergegeben und verraten werden
- kann eventuell erraten werden
- die Preisgabe von Wissen kann kompromittiert werden
- die Mitführung von Wissen erfordert keine praktischen Hilfsmittel ⓘ
Beispiele für Authentifikation anhand von Wissen:
- Passwort
- PIN
- Antwort auf eine bestimmte Frage (Sicherheitsfrage)
- Zero-Knowledge-Beweis ⓘ
Besitz
Charakteristika:
- Erstellung des Merkmals (ggf. auch der Kontrollstellen) unterliegt vergleichsweise hohen Kosten (benötigt oft einen speziellen Fertigungsvorgang und einen physischen Verteilungsprozess)
- Verwaltung des Besitzes ist unsicher und mit Aufwand verbunden (muss mitgeführt werden)
- kann verlorengehen
- kann gestohlen werden
- kann übergeben, weitergereicht oder (in manchen Fällen) dupliziert werden
- kann ersetzt werden
- kann benutzerindividuelle Daten speichern
- kann sich selbst schützen und aktiv verändern (Smartcard, SecurID) ⓘ
Beispiele für Authentifikation anhand von Besitz:
- Chipkarte, auch bekannt als Smartcard oder als Signaturkarte
- Magnetstreifenkarte
- RFID-Karte
- physischer Schlüssel
- Schlüssel-Codes auf einer Festplatte
- SIM-Karte beim mTAN-Verfahren
- Zertifikat z. B. für die Verwendung mit SSL
- TAN- und iTAN-Liste
- One Time PIN Token (z. B. SecurID)
- USB-Stick mit Passworttresor
- USB-Festplatte mit integrierter PIN-Eingabetastatur ⓘ
Körperliches Merkmal/Biometrie
Charakteristika:
- ist eine öffentliche Information
- wird durch Personen immer mitgeführt
- kann nicht an andere Personen weitergegeben werden
- nach Erfassung des Merkmals ist eine Verteilung der erfassten Daten zum Abgleich an Kontrollpunkten notwendig
- benötigt zur Erkennung eine spezielle Vorrichtung (Technik)
- kann i. A. nicht sicher, sondern nur mit einer Wahrscheinlichkeit (< 1) erfolgreich mit einem Referenzmuster verglichen werden
- fälschliche Akzeptanz ist möglich (false acceptance)
- fälschliche Zurückweisung ist möglich (false rejection)
- eine Lebenderkennung kann erforderlich sein (damit z. B. ein künstlicher Fingerabdruck oder abgeschnittener Finger zurückgewiesen wird)
- ist im Laufe der Zeit oder durch Unfälle veränderlich und damit schlechter erkennbar
- bei ungünstiger Wahl des Merkmals sind bestimmte Personengruppen, denen das Merkmal fehlt, ausgeschlossen
- kann nicht ersetzt werden
- kann Probleme beim Datenschutz aufwerfen ⓘ
Beispiele für Authentifikation anhand von biometrischen Merkmalen:
- Fingerabdruck
- Gesichtserkennung
- Tippverhalten
- Stimmerkennung
- Iriserkennung
- Retinamerkmale (Augenhintergrund)
- Handschrift (Unterschrift)
- Handgeometrie (Handflächenscanner)
- Handlinienstruktur
- Erbinformation (DNS) ⓘ
Sicherung der Übertragung
Während der Authentifikation werden Daten übertragen. Werden diese Daten abgehört, können sie von einem Angreifer verwendet werden, um eine falsche Identität vorzuspiegeln. Um die Gefahr der Preisgabe auszuschließen, werden Verfahren wie Challenge-Response-Authentifizierung und Zero Knowledge verwendet, bei denen das sich authentisierende Subjekt nicht mehr die Identifizierungsdaten selbst übermittelt, sondern nur einen Beweis dafür, dass es diese Identifizierungsdaten zweifelsfrei besitzt. Ein Beispiel aus der Challenge-Response-Authentifizierung ist, dass eine Aufgabe gestellt wird, deren Lösung nur von einem Gegenüber stammen kann, welches ein bestimmtes Wissen bzw. einen bestimmten Besitz hat. Somit kann ein Gegenüber authentifiziert werden, ohne dass dieses sein Wissen bzw. seinen Besitz preisgeben musste. Es ist jedoch zu bemerken, dass auch auf solche Verfahren Angriffsmöglichkeiten bestehen. ⓘ
Andere Systeme lösen das Problem, indem die Identifizierungsdaten nur einmal benutzt werden. Ein Beispiel hierfür ist das TAN-System. Allerdings können abgehörte oder ausspionierte Identifizierungsdaten später benutzt werden, wenn die Erstbenutzung und damit die Invalidierung der Daten während des Abhörvorgangs verhindert werden können. Einmalpasswort-Systeme vermindern dieses Problem durch eine Kopplung der Identifizierungsdaten an die aktuelle Zeit. ⓘ
Eine andere Möglichkeit zur Sicherung der Übertragung ist die sogenannte „Second-Channel“-Kommunikation, bei der ein Teil der Identifizierungsdaten über einen zweiten Kanal transferiert wird. Ein Beispiel ist der Versand einer SMS beim mobile TAN (mTAN) System. ⓘ
Im Rahmen von kryptographischen Protokollen werden oft zusätzliche Zufallszahlen als sogenannte „Nonce“- oder „Salt“-Werte verwendet, um die Wiederholung einer Identifizierung zu verhindern. ⓘ
Mit U2F und UAF hat die FIDO-Allianz im Dezember 2014 zwei freie Industriestandards veröffentlicht, die zum Nachweis der Zugriffsberechtigung für beliebig viele und verschiedene Web-basierte Dienste eingesetzt werden. ⓘ
Authentifizierung als IT-Dienst
Sichere und praktikable Authentifizierung-Möglichkeiten für IT-Dienste anzubieten, wird heute als eine eigenständige und übergeordnete Aufgabe gesehen. Man spricht von „Authentication as a Service“ (AaaS) und von „Authentifizierungs- und Autorisierungs-Infrastruktur“ (AAI). Auf der Ebene von Unternehmen oder Universitäten werden Authentifizierungsdienste im Rahmen eines zentralen Identitätsmanagements organisiert. Auch wird mit dem neuen Personalausweis von staatlicher Seite ein elektronischer Authentifizierungsdienst angeboten. ⓘ
Der Authentifizierungsdienst tritt als dritte vermittelnde Instanz neben einen IT-Dienst und den Nutzer des IT-Dienstes. Man bezeichnet den Authentifizierungsdienst dabei auch als den „Identity-Provider“. Will der Nutzer den Dienst nutzen, wird er zunächst an den Identity-Provider umgelenkt. Die Authentifizierung findet zwischen Nutzer und Identity-Provider statt. Nach erfolgreicher Authentifizierung stellt der Identity-Provider eine sogenannte Assertion aus, die der Nutzer erhält und die er dem IT-Dienst vorzeigt. Der IT-Dienst muss natürlich dem Identity-Provider vertrauen, dass er Nutzer korrekt authentifiziert, und er muss eine Möglichkeit haben, die Herkunft der Assertion zu prüfen. Beispiele für solche Verfahren sind Shibboleth, CAS und OpenID. ⓘ