Verstehen des Authentifizierungsmodells
Unterschied zwischen Authentifizierung
und Autorisierung
Ob Sie Geld von Ihrem Konto abheben, ein bewachtes Gebäude betreten oder
an Bord eines Flugzeugs gehen: Der Zugriff auf eine eingeschränkte
Ressource setzt immer sowohl eine Authentifizierung
als auch eine Autorisierung voraus.
Diese beiden Vorgänge sind miteinander verwandt
und werden häufig verwechselt. Um den Unterschied zwischen der Authentifizierung
und der Autorisierung zu verstehen, betrachen Sie einmal
folgendes Beispiel, das wohl die meisten nachvollziehen werden können:
Sie wollen ein Flugzeug besteigen. Bevor dies möglich ist, müssen
Sie sowohl Ihren Personalausweis oder Reisepass als auch Ihr Flugticket vorweisen.
Dank Ihres Ausweises kann das Flughafenpersonal
feststellen, wer Sie sind. Die Übeprüfung der Idendität ist hier
die Authentifizierung. Das Personal
überprüft aber auch Ihr Ticket, um sicherzustellen,
dass das Flugzeug, welches Sie besteigen wollen, auch das richtige ist. Zu überprüfen,
ob Sie zum Einstieg in das Flugzeug berechtigt
sind, ist die Autorisierung.
In Netzwerken erfolgt die Authentifizierung häufig durch
EIngabe eines Benutzernamens und eines Kennworts. Der Benutzernam identifiziert
Sie,
und das Kennwort bietet dem Computersystem ein gewisses Maß an Sicherheit,
dass Sie auch derjenige sind, der Sie vorgeben zu sein.
Nach Abschluss der Authentifizierung geht der Computer davon aus, dass Sie die
betreffende Person sind. Er weiß allerdings noch nicht, ob
Sie auch auf die angefeorderte Ressource zugreifen dürfen. So sollten beispielsweise
Mitarbeiter des Helpdesks das Recht haben, das Kennwort
eines Benutzers zurücksetzen zu dürfen, während Mitarbeiter aus
der Buchhaltung lediglich ihre eigenen Kennwörter ändern dürfen
sollten.
Zur Autorosierung des Benutzers verwendet das Computersystem normalerseise eine
Zugriffssteuerungsliste (Access Controll List, ACL).
Die ACL enthält eine Liste der Benutzer und Benutzergruppen, die auf eine
Ressource zugreifen dürfen.
Netzwerk Authentifizierungssysteme
Damit ein Benutzer in einem Netzwerk mit einiger Sicherheit, dass er derjenige
ist, der er zu sein vorgibt, authentifiziert werden kann, muss
er zwei Informationselemente eingeben:
Eine Identität
Einen Identitätsnachweis
In den meisten Netzwerken identifizieren sich Benutzer durch Eingabe eines Benutzernamens
oder einer E-Mail Adresse. Fürden Nachweis
der Identität gibt es jedoch verschiedene Möglichkeiten.
Traditionell wird zum Nachweis der Benutzeridentität
ein Kennwort verwendet. Ein Kennwort ist eine Art gemeinsamer Schlüssel.
Der Benutzer kennt sien Kennwort, und der Server, der den Benutzer authentitifzieren
soll, hat dieses Kennwort entweder lokal gespeichert
oder verfügt über andere Informationen, die zur Kennwortprüfung
verwendet werden können.
Kennwörter weisen Ihre Identität nach, denn sie
sind etwas, das Sie wissen. Eine andere
Möglichkeit des Identitätsnachweises ist etwas, das
Sie haben oder sind.
Viele moderne Computersysteme authentifizieren Benutzer durch Auslesen vn Informationen,
die auf einer Smartcard
gespeichert sind - etwas, das Sie haben. Andere Computersysteme glauben nur
dann ,dass Sie derjenige sind, der Sie vorgeben zu sein,
wenn Sie dies mit etwas nachweisen, das Sie sind. Das ist mithilfe der Biometrie
möglich. Hierbei werden eindeutige Körpermerkmale wie
ein Fingerabdruck, die Netzhaut Ihres Auges oder Ihre Gesichtsmerkmale abgetastet.
Kennwörter können erraten und Smartcards gestohlen
werden. Eine Authentifizierungsmethode allein kann manchmal zu wenig sein, um
die
Sicherheitsanforderungen Ihrer Organisationen zu erfüllen. Die Multifaktor
- Authentifizierung kombiniert zwei oder mehr
Authentifizierungsmethoden und verringert die Wahrscheinlichkeit erheblich,
dass ein ein Angreifer während der Authentifizierung die
Identität eines Benutzers vortäuschen kann. Das gängiste Beispiel
für die Multifaktor Authentifizierung ist die Kombination einer Smartcard
mit einem Kennwort. Dabei wird das Kennwort benötigt, um einen Schlüssel
auszulesen, der auf der Smartcard gespeichert ist. Um sich an
einem solchen System authentifizieren zu können, müssen Sie über
ein Kennwort (etwas, das Sie wissen) und eine Smartcard
(etwas, das Sie haben) verfügen.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006