Was ist Authentifizierung?
Authentifizierungsmethoden und bewährte Verfahren
Seit den Anfängen der Zivilisation hat die Menschheit nach sicheren und dennoch bequemen Möglichkeiten zur Authentifizierung von Identitäten gesucht, um nur denjenigen Zugang zu gewähren, die dazu berechtigt sind, und um Bedrohungsakteuren einen Schritt voraus zu sein. Gesichtsmerkmale, Token, Kryptographie, Unterschriften, Fingerabdrücke und Passwörter waren nur einige der Authentifizierungsmethoden, die vor dem digitalen Zeitalter verwendet wurden. Eine Weiterentwicklung dieser Techniken ist die Grundlage der heutigen Authentifizierung.
So verlassen wir uns beispielsweise nicht mehr auf das menschliche Auge, um Gesichtsmerkmale zu erkennen, sondern auf biometrische Instrumente, um eine Person anhand ihrer Iris, Retina, ihres Fingerabdrucks, ihrer Stimme oder anderer biologischer Merkmale zu authentifizieren. In ähnlicher Weise geben Sicherheitssysteme anstelle von physischen Token digitale Token an Benutzer aus, die ihre Identität erfolgreich nachgewiesen haben.
Dennoch finden Bedrohungsakteure immer wieder Wege, um die Authentifizierung zu umgehen. In früheren Zeiten haben Kriminelle möglicherweise Siegel gefälscht, um die Sicherheit zu umgehen. Heutestehlen mehrCyberkriminelle Authentifizierungs-Token, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen, manchmal mit verheerenden Folgen. So haben beispielsweise Hacker Sitzungs-Token gekapert, um auf spektakuläre Weise drei YouTube-Kanäle der Linus Media Group zu übernehmen.
Die Cybersecurity-Teams von Technologieriesen wie Google, Microsoft und Apple sind ständig bemüht, ihre Authentifizierungssysteme zu verbessern, um Benutzer und Unternehmen gleichermaßen vor immer raffinierteren und häufigeren Cybersecurity-Angriffen zu schützen.
Viele Nutzer bevorzugen jedoch mehr Bequemlichkeit als Sicherheit, was die langsame MFA-Akzeptanz von Microsoft-Nutzern trotz 25,6 Milliarden Account-Hijacking-Versuchen mit gestohlenen, rohen Passwörtern im Jahr 2021 erklären würde. Dies könnte auch erklären, warum Microsoft die Basic Authentifizierung für Exchange Online zugunsten einer modernen Authentifizierung mit Optionen wie MFA, Smartcards, zertifikatsbasierter Authentifizierung (CBA) und Identitätsanbietern von Drittanbietern ( Security Assertion Markup Language (SAML))deaktiviert hat.
Lesen Sie unseren ausführlichen Leitfaden, um mehr zu erfahren:
- Bedeutung der Authentifizierung.
- Zwei-Faktor-Authentifizierung vs. Multi-Faktor-Authentifizierung.
- Authentifizierung vs. Autorisierung.
- Methoden der Authentifizierung.
- Passwortlose Authentifizierung.
Bedeutung der Authentifizierung
Authentifizierung ist eine Methode der Cybersicherheit, mit der die Identität eines Systems oder eines Benutzers überprüft wird. Die gängigste Authentifizierungsmethode sind Benutzernamen und Passwörter. Andere Authentifizierungsmethoden, wie z. B. die biometrische Überprüfung, sind ausgefeilter und gründlicher. Ein Beispiel für eine Authentifizierung wäre, wenn Sie versuchen, auf Ihre E-Mail zuzugreifen, müssen Sie Ihren Benutzernamen und Ihr Kennwort eingeben, um auf Ihre Mailbox zuzugreifen.
Warum ist Authentifizierung wichtig?
Die Authentifizierung ist entscheidend für den Schutz unserer Sicherheit und unserer Privatsphäre. Wir führen viele verschiedene Aktionen online durch, vom Arbeiten und Kommunizieren bis zum Einkaufen oder Speichern privater Daten, in der Regel aus der Ferne. Authentifizierung trägt dazu bei, die Integrität digitaler Bereiche wie Banken, Cloud-Computing-Plattformen, Social-Media-Seiten und anderer zu bewahren, indem sie das Risiko eines unbefugten Zugriffs mindert. Dank der Authentifizierung können wir physisch unsichtbaren Systemen und Identitäten vertrauen.
Einige Authentifizierungstools können auch einen Cyberangriff verlangsamen oder stoppen. So kann beispielsweise ein Cyberkrimineller mit einem gestohlenen Benutzernamen und Kennwort in ein Konto eindringen, um Daten zu stehlen, Malware einzuschleusen oder einen Man-in-the-Middle-Angriff (MitM) zu starten. In einem System mit tiefer gehenden Authentifizierungsprotokollen können ihre seitlichen Bewegungen jedoch gestoppt werden.
Die Authentifizierung ist auch deshalb wichtig, weil sie die Verantwortlichkeit der Benutzer erhöht. Ein authentifizierter Benutzer ist weniger geneigt, böswillige Aktivitäten auszuführen, da er weiß, dass er verfolgt wird. Authentifizierung kann Organisationen in einigen Branchen helfen, Sicherheits- und Datenschutzgesetze einzuhalten, indem sie die Datensicherheit verbessert.
Wozu dient die Authentifizierung?
Die Authentifizierung kann für verschiedene Zwecke genutzt werden:
- Gerätesicherheit: Alle Arten von Geräten mit Betriebssystemen implementieren Authentifizierung für die Sicherheit, einschließlich Desktops, Laptops, Smartphones, Tablets und sogar eine breite Palette von Internet-of-Things-Geräten (IoT).
- Kontosicherheit: Mehrere Plattformen nutzen die Authentifizierung, um die Kontosicherheit zu erhöhen. E-Mail- und Social-Media-Konten beispielsweise nutzen Authentifizierung, um zu verhindern, dass Unbefugte auf Konten zugreifen. Finanzplattformen schützen Online-Banking, digitale Zahlungen und E-Commerce mit Authentifizierung vor Betrug.
- Cloud Computing: Da immer mehr Unternehmen auf Cloud-Computing-Plattformen wie Microsoft Azure umsteigen, wird die Authentifizierung für die Sicherheit von Anlagen, Daten und Abläufen eingesetzt. Die Authentifizierung wird auch für die Sicherheit von Unternehmen mit ortsfesten Anlagen verwendet, z. B. für Netzwerke und Systeme, die Remote-Arbeiten ermöglichen.
- Zugangskontrolle: Die Authentifizierung dient nicht nur der externen Sicherheit, sondern auch der internen Sicherheit. Unternehmen können die Authentifizierung nutzen, um sicherzustellen, dass Mitarbeiter nur auf Netzwerke, Anwendungen und Daten zugreifen können, wenn sie diese benötigen.
Authentifizierung vs. Autorisierung
Obwohl Authentifizierung und Autorisierung ähnlich erscheinen und die beiden Begriffe manchmal fälschlicherweise synonym verwendet werden, handelt es sich um zwei unterschiedliche Konzepte im Bereich der Cybersicherheit. Die lange Erklärung ist, dass Autorisierung der Prozess der Identitätsüberprüfung durch Anmeldedaten, Gesichtsmerkmale, Stimme oder ein Authentifizierungstoken ist. Autorisierung ist das, was nach der Authentifizierung geschieht. Sobald das System die Identität eines Systems oder einer Person authentifiziert hat, erlaubt es der Entität den Zugriff auf Ressourcen oder die Durchführung von Aktionen auf der Grundlage ihrer Berechtigungen.
Die kurze Erklärung von Authentifizierung und Autorisierung ist, dass erstere festlegt, ob eine Entität Zugang hat, und letztere bestimmt, mit welchen Ressourcen sie nach der Autorisierung arbeiten kann.
Häufig verwendete Authentifizierungsfaktoren
Jeder, der schon einmal ein modernes Betriebssystem verwendet oder mit einer Cloud-Computing-Plattform gearbeitet hat, weiß, dass es viele verschiedene Arten von Authentifizierungsmethoden und -werkzeugen gibt, wie PINs (Persönliche Identifikationsnummern), Fingerabdrücke, Token und IP-Adressen. Diese Methoden oder Werkzeuge fallen in verschiedene Kategorien, die als Authentifizierungsfaktoren bezeichnet werden.
Wissensfaktoren
Ein Wissensfaktor ist alles, was ein Benutzer weiß, wie ein Passwort oder die Antwort auf eine Sicherheitsfrage. Wissensfaktoren sind in der Regel schnell, aber anfällig für Hackerangriffe. Passwörter zum Beispiel können gestohlen werden. Schwache Passwörter sind anfällig für Brute-Force-Angriffe wie wictionaryattacks.
Wir empfehlen Ihnen dringend, zu lernen, wie Sie ein sicheres Passwort zum Schutz Ihrer Kontenerstellen. Sie können auch einen top Passwort-Manager verwenden, um Ihre Liste komplexer Anmeldedaten zu verwalten.
Faktoren des Besitzes
Ein Besitzfaktor kann sicherer sein als ein Wissensfaktor, da er voraussetzt, dass ein Benutzer im Besitz eines bestimmten Gegenstands ist, z. B. eines Tokens oder eines Smartphones, um seine Identität nachzuweisen. So kann ein System beispielsweise ein Einmalpasswort an das Smart Device eines Benutzers senden, wenn dieser versucht, sich Zugang zu verschaffen. Allerdings sind auch die Besitzfaktoren nicht perfekt, da der Besitz entwendet oder gestohlen werden kann.
Vererbungsfaktoren
Einer der sichersten Authentifizierungsfaktoren ist der Vererbungsfaktor, da er auf den einzigartigen physischen Merkmalen eines Benutzers wie einem Fingerabdruck oder einer Iris beruht.
Der größte Nachteil der Vererbung ist, dass die Hardware des Systems in der Lage sein muss, biometrische Daten aufzunehmen und zu verarbeiten, obwohl die meisten modernen Geräte über solche Funktionen verfügen.
Ein Vererbungsfaktor kann sich in seltenen Fällen auch als zu wirksam erweisen. So gab es beispielsweise mehrere Fälle, in denen die nächsten Angehörigen keinen Zugriff auf die Kryptowährung ihres verstorbenen Kindes hatten, weil das Gerät durch einen Erbschaftsfaktor geschützt war.
Standortfaktoren
Ein Unternehmen, z. B. ein Streaming-Dienst, kann einen Standortfaktor wie Geoblocking verwenden, um den Zugang für Nutzer aus bestimmten Orten zu beschränken. Ein Streaming-Dienst wie Netflix USA kann beispielsweise Nutzern aus Kanada den Zugriff auf bestimmte Inhalte verwehren. Für Standortfaktoren gibt es jedoch in der Regel Umgehungsmöglichkeiten. So könnte eine Person in Kanada theoretisch einprivates VPN ( ) nutzen, um ihren Standort zu verschleiern und auf Netflix USA zuzugreifen.
Verhaltensfaktoren
Bei einem verhaltensbasierten Authentifizierungsfaktor muss ein Benutzer bestimmte Aktionen durchführen, um seine Identität zu beweisen. Er muss zum Beispiel bestimmte Muster zeichnen oder ein reudimentäres Rätsel lösen, um zu beweisen, dass er ein Mensch und kein Bot ist. Googles reCAPTCHA verwendet eine Risikoanalyse-Engine und verfolgt Mausbewegungen, um menschliches Verhalten zu überprüfen.
Arten der Authentifizierung
Passwortbasierte Authentifizierung
Bei der häufigsten Form der Authentifizierung, der kennwortbasierten Authentifizierung, wird die Identität eines Benutzers überprüft, indem er ein Kennwort angibt, das vollständig mit dem gespeicherten übereinstimmt. Das System lehnt ein Passwort ab, das auch nur um ein Zeichen vom gespeicherten Passwort abweicht.
Wie bereits erwähnt, können Hacker schwache Passwörter sehr schnell erraten, indem sie die neuesten Tools verwenden. Deshalb sollten Nutzer Passwörter mit mindestens 10 Zeichen Länge und Komplexität festlegen und diese regelmäßig ändern.
Multi-Faktor-Authentifizierung (MFA)
MFA wurde aus der Not heraus geboren. Selbst das ausgefeilteste Passwort kann gestohlen werden. Bei der Multi-Faktor-Authentifizierung müssen unbefugte Benutzer ihre Identität möglicherweise auf andere Weise authentifizieren, wenn sie das Sicherheitssystem des Systems auslösen. Wenn ein System beispielsweise bei einem Anmeldeversuch ein neues Gerät oder eine neue IP-Adresse identifiziert, kann es eine PIN oder ein Token verlangen, selbst wenn der Benutzer die richtigen Anmeldedaten vorlegt.
Zwei-Faktor-Authentifizierung (2FA)
Viele Menschen fragen sich nach dem Unterschied zwischen 2FA und MFA. Die Antwort ist, dass 2FA im Wesentlichen eine Teilmenge von MFA ist. Wie bereits erwähnt, verlangt MFA zwei oder mehr Authentifizierungsfaktoren. 2FA verlangt nur zwei, in der Regel ein Passwort und einen Passcode, der an ein E-Mail-Konto oder ein mobiles Gerät gesendet wird. Auf können Sie dieGrundlagen der Zwei-Faktor-Authentifizierung nachlesen, um mehr zu erfahren.
Während die Nutzer von Social-Media-Seiten 2FA zum Schutz ihrer Konten verwenden, machen einige Plattformen die Sicherheit ihrer Konten leider zu Geld. Vielleicht haben Sie zum Beispiel über Twitter und die Zwei-Faktor-Authentifizierung gelesen, wo die Plattform die Sicherheitseinstellungen drastisch verändert hat. Seit dem 19. März können Nutzer die SMS-basierte 2FA nicht mehr nutzen, ohne ein Abonnement zu bezahlen.
Allerdings haben die Nutzer (vorerst) andere Möglichkeiten. Zum Beispiel können sie eine Zwei-Faktor-Authentifizierung auf Twitter einrichten, die einen Hardware-Schlüssel für erweiterte Sicherheitverwendet. Ein Hardwareschlüssel ist ein besseres Sicherheitstool als eine SMS, die für einen Swap-Angriff anfällig ist.
Ein-Faktor-Authentifizierung (SFA)
Wie der Name schon sagt, müssen Benutzer bei SFA nur ein einziges Authentifizierungsmerkmal angeben. In der Regel ist ein Passwort die gängigste Art der SFA. Obwohl SFA bequemer sein kann als MFA, kann sie deutlich unsicherer sein, insbesondere wenn die Authentifizierungsart schwach ist. SFA ist auch anfällig für Social Engineering-Angriffe wie Phishing.
Zertifikatsbasierte Authentifizierung
Bei dieser Art der Authentifizierung verwendet ein System ein digitales Zertifikat. Die zertifikatsbasierte Authentifizierung ist sicherer als Passwörter, da die Zertifikate anspruchsvoll sind, Schlüssel verwenden und von der ausstellenden Behörde widerrufbar sind. Hochrangige Organisationen, wie z. B. Regierungen, verwenden diese kryptografische Technik zur Erhöhung der Sicherheit.
Biometrische Authentifizierung
Wie bereits erwähnt, stützt sich die biometrische Authentifizierung auf einzigartige physische Merkmale wie Fingerabdrücke, Stimmen und Iris, um Systeme zu schützen. Die biometrische Authentifizierung ist die sicherste und bequemste Form der Authentifizierung.
Token-basierte Authentifizierung
Webanwendungen, APIs und andere Systeme verwenden häufig Token, um Benutzer zu authentifizieren. Kurz gesagt ist ein Token ein eindeutiger Identifikator, der an einen autorisierten Benutzer ausgegeben wird. Während die Verwendung von Token aufgrund der Zunahme von hybriden Arbeitsumgebungen zunimmt, nimmt auch der Diebstahl von Token zu.
Basic Authentifizierung
Ein einfaches Authentifizierungssystem fragt nur nach einem Benutzernamen und einem Passwort, um einen Benutzer zu authentifizieren. Systeme, die einfache Methoden verwenden, sind anfälliger für Hacker. Heutzutage verwenden nur noch interne Testressourcen oder öffentliche Systeme wie öffentliches WLAN eine einfache Authentifizierung. Basic Authentifizierung ist der Hauptgrund, warum Benutzer bei der Nutzung von öffentlichem WLAN vorsichtiger sein müssen.
Passwortlose Authentifizierung
Da Benutzer und Organisationen mehr Komfort bei der Sicherheit verlangen, werden passwortlose Authentifizierungsoptionen wie Biometrie, Sicherheitsschlüssel, Token und Einmalcodes in Unternehmensumgebungen und auf Verbraucherplattformen immer beliebter.
Neben dem zusätzlichen Komfort kann die kennwortlose Authentifizierung auch mehr Sicherheit bieten, da viele Benutzer weiterhin schwache Kennwörter verwenden oder Opfer von Phishing-Angriffen werden, die auf die Anmeldedaten abzielen.
Wissensbasierte Authentifizierung (KBA)
KBA ist eine Art der Authentifizierung, bei der das Wissen einer Person über die Informationen geprüft wird, die sie gespeichert hat, um ihre Identität zu bestätigen. Beispiele für KBA sind die Beantwortung von Fragen nach der Straße, in der sie aufgewachsen sind, nach ihrer Lieblingsfarbe oder dem Mädchennamen ihrer Mutter.
Es gibt mehrere Gründe, warum KBA eine schwache Authentifizierungsmethode ist. Da immer mehr Benutzerdaten auf Message Boards und Social-Media-Plattformen wie LinkedIn und Facebook öffentlich zugänglich sind, ist es für einen Bedrohungsakteur einfacher, die erforderlichen Daten zu beschaffen, um KBA zu umgehen. Außerdem ist die Wahrscheinlichkeit, dass Benutzer komplexe Antworten auf geheime Fragen geben, geringer als die, komplexe Passwörter zu verwenden.
Gegenseitige Authentifizierung
Die gegenseitige Authentifizierung, auch bekannt als Zwei-Wege-Authentifizierung, ist eine Art der Authentifizierung, bei der sich beide Parteien in einer Verbindung gegenseitig verifizieren, normalerweise mit digitalen Zertifikaten. Obwohl die gegenseitige Authentifizierung am häufigsten von Kommunikationsprotokollen wie Transport Layer Security (TLS) und Secure Sockets Layer (SSL) verwendet wird, nutzen auch viele Internet of Things (IoT)-Geräte diese Technik bei Verbindungen von Gerät zu Gerät.
SMS-Authentifizierung
Die SMS-Authentifizierung verwendet Textnachrichten als Bestandteil der MFA. Die SMS-Authentifizierung funktioniert am besten, wenn die Authentifizierungsmethoden unverfälscht sind. So hatte beispielsweise ein Mobilfunkanbieter die geniale Idee, die SMS-Authentifizierung mit einer Anzeige zu kombinieren, was Bedrohungsakteuren die Entwicklung überzeugenderer smishing Angriffe ermöglichen könnte.
Netzwerk- oder Server-Authentifizierung
Netzwerk-Authentifizierung bezieht sich auf die Identifizierung von Benutzern, die versuchen, Zugang zu einem Netzwerk oder Server zu erhalten. Diese Art der Authentifizierung wird in Kommunikationsprotokollen, VPNs, Firewalls und Systemen verwendet, die den Zugang zu Anwendungen kontrollieren.
Authentifizierung mit geheimem Schlüssel
In einem System, das die Authentifizierung mit geheimen Schlüsseln verwendet, teilen sich der Benutzer und das System einen kryptografischen Sitzungsschlüssel, der nur den beiden Parteien bekannt ist. Diese Schlüssel sind symmetrisch. Das heißt, sie funktionieren sowohl für die Verschlüsselung als auch für die Entschlüsselung. Kommunikationsprotokolle wie Secure Sockets Layer (SSL) verwenden die Autorisierung mit geheimen Schlüsseln, um die Sicherheit der Datenübertragung zu gewährleisten, beispielsweise zwischen einem Webbrowser und einer Website.
Physischer Sicherheitsschlüssel
Ein physischer Sicherheitsschlüssel ist ein Stück Hardware, das einem Benutzer hilft, seine Identität zu beweisen und ist ein Beispiel für einen Besitzfaktor. Ein physischer Sicherheitsschlüssel generiert in der Regel einen eindeutigen Code, der einem System zur Authentifizierung mitgeteilt wird. Physische Sicherheitsschlüssel wurden vor über einem Jahrzehnt nur von hochrangigen Organisationen wie Banken und Geheimdiensten verwendet.
Viele verschiedene Plattformen wie Spiele, E-Commerce und soziale Medien ermöglichen es den Nutzern heutzutage jedoch, ihre Konten mit physischen Sicherheitsschlüsseln zu schützen. So können Nutzer beispielsweiseunter die Facebook-Hardwareschlüssel-Authentifizierung für iOS und Android aktivieren, um ihre Konten mit einem zusätzlichen Sicherheitsfaktor zu versehen.
Bewährte Authentifizierungsverfahren
- Achten Sie auf Malware, die darauf abzielt, Anmeldeinformationen oder sensible Daten zu stehlen, z. B. einige Arten von Trojanern, Spyware und Keyloggern. Informieren Sie sich auchunter , wie man einen Keylogger entfernt, denn er kann Tastatureingaben, Screenshots und andere Informationen sammeln, um ein Authentifizierungssystem auszutricksen.
- Legen Sie Passwörter fest, die mindestens zehn Zeichen lang sind und eine Mischung aus Zahlen, Symbolen und Alphabet enthalten.
- Vermeiden Sie es, bekannte Muster in Passwörtern zu verwenden, wie z. B. ein Geburtsdatum oder den Namen einer beliebten Persönlichkeit.
- Bewahren Sie Ihre Anmeldedaten niemals offen sichtbar auf, z. B. auf einem Blatt Papier auf Ihrem Schreibtisch. Verschlüsseln Sie Passwörter in Geräten.
- Helfen Sie Ihrem Passwort auf die Sprünge, indem Sie MFA-Methoden wie die biometrische Identifizierung oder einen Sicherheitsschlüssel verwenden.
- Seien Sie auf der Hut vor Social-Engineering-Angriffen, die darauf abzielen, Ihre Anmeldedaten zu stehlen.
- Vermeiden Sie die Wiederverwendung Ihres Passworts; andernfalls kann ein gestohlenes Passwort dazu führen, dass mehrere Konten missbraucht werden.
- Ändern Sie Ihr Passwort regelmäßig. Versuchen Sie, einen seriösen Passwortmanager zu verwenden.
- Fordern Sie den Netzwerkadministrator Ihres Unternehmens auf, die Sitzungsdauer zu begrenzen, um Session Hijacking zu verhindern.
- Administratoren müssen Authentifizierungsprotokolle und Netzwerkdaten überwachen, um schnell auf verdächtige Aktivitäten reagieren zu können, z. B. auf mehrere Zugriffsversuche von verdächtigen IP-Adressen.
- Unternehmen sollten die Einführung einer Zero-Trust-Architektur für mehr Sicherheit in Betracht ziehen.