Tag Archiv für Authentifizierung

Authentifizierung vs Autorisierung

Authentifizierung

Eine Authentifizierung dient dem Nachweis, im Besitz bestimmter Rechte zu sein. Häufig sind Rechte direkt an eine Person gebunden. In diesen Fällen besteht die Authentifizierung in einer eindeutigen Identifizierung. Dieser Nachweis der Identität erfolgt abhängig von den Sicherheitsanforderungen auf unterschiedliche Weise. Oft genügt die Kenntnis eines Passwortes, um sich zu identifizieren. Sind die Sicherheitsanforderungen höher, kommt oft das Prinzip „Besitz und Wissen“ zur Anwendung. Dies geschieht z.B. bei Geldabhebungen am Geldautomaten. Hierzu sind der Besitz der Karte sowie die Kenntnis der PIN-Nummer erforderlich. Noch strengere Authentifizierungsverfahren nutzen beispielsweise biometrische Merkmale wie den Fingerabdruck.
Bisweilen ist die Ausübung eines Rechts nicht personengebunden. Ein einfaches Beispiel sind die zahlreichen im Web angebotenen Einkaufsgutscheine. Die Inanspruchnahme des Gutscheins ist meist nicht an eine Person gebunden. Durch Eingabe eines Gutscheincodes muss lediglich nachgewiesen werden, im Besitz eines solchen Gutscheins zu sein.

Autorisierung

War die Authentifizierung eines Anwenders erfolgreich, erteilt das System die Autorisierung. Die Autorisierung ist ein technischer Vorgang, der die Person in die Lage versetzt, bestimmte Aktionen durchführen zu können. Bei Zugangskontrollsystemen besteht die Autorisierung z.B. einfach darin, dass sich eine Tür öffnet. In anderen Fällen wird Zugang zu einem IT-System gewährt. Meist verfügen unterschiedliche Benutzer eines Systems über verschiedene Zugriffsrechte. Die korrekte Zuweisung der individuellen Rechte ist ebenfalls Bestandteil der Autorisierung.

Die Abgrenzung zwischen Authentifizierung und Autorisierung

Ein Anmeldevorgang an einem IT-System umfasst stets beides. Die Authentifizierung wird vom Benutzer initiiert. Sie dient dem Nachweis, zur Ausübung bestimmter Rechte befugt zu sein. Die anschließende Autorisierung erfolgt automatisch durch das System selbst. Im Zuge der Autorisierung werden dem Benutzer seine Zugriffsrechte zugewiesen.

HTTP Authentifizierung

http-authentifizierung

Die HTTP Authentifizierung besteht in einer Identifizierung, ob der Client berechtigt ist, auf die angeforderten Ressourcen zuzugreifen.
Wenn ein Passwort und ein Nutzername vonnöten sind, um gewisse Inhalte einzusehen, meldet der Webserver dem verwendeten Browser den Statuscode 401 Unauthorized und den Header WWW-Authenciate. Daraufhin ermittelt der Browser die Daten, indem er den Benutzernamen und das Passwort abfragt und diese Daten an den Server sendet. Nun nutzt der Server entweder durch bestimmte Authentifizierungsmodelle bereitgestellte Direktiven oder die Notation von Direktiven in der zentralen Serverkonfigurationsdatei.

Drei Arten der HTTP Authentifizierung werden an dieser Stelle kurz vorgestellt, die Basic-Authentifzierung, die Digest-Authentifizierung und die NTML HTTP-Authentifizierung.

Bei der Basis-Authentifizierung handelt es sich um die am meisten verwendete HTTP Authentifizierung. Sie besteht zunächst in einer Anforderung der Authentifizierung und der darauffolgenden Suche des Browsers nach dem Benutzernamen und des Passwortes, daraufhin sendet er beides base-64-codiert an den Server. Der Nachteil dieses Verfahrens ist, dass sowohl der Benutzername als auch das Passwort codiert, aber nicht verschlüsselt werden, das heißt sie können problemlos ausgelesen werden.

Die Digest-Authentifizierung funktioniert, indem der Server dem Nutzer zusammen mit dem WWW-Authenticate-Header eine zufällig generierte Zahlenfolge zusendet. Der Browser berechnet daraufhin den Hashcode, der sich aus dem Benutzernamen, dem Passwort und der zufälligen Zahlenfolge zusammensetzt und schickt diesen an den Server, der daraufhin die Prüfsumme berechnet und abgleicht. Der Vorteil an dieser Authentifizierung besteht darin, dass das einfache Abhören der Kommunikation dem Angreifer nichts nutzt, da sich die Daten durch die eingesetzte Hashfunktion nicht einfach rekonstruieren lassen.

Bei der dritten Variante, der NTLM HTTP-Authentifizierung handelt es sich um eine sicherere Variante der Digest-Authentifizierung, die einen mehrfachen Austausch zwischen Client und Server erfordert.
Zunächst sendet der Client den Benutzernamen an den Server, der daraufhin eine Zufallszahl an den Client sendet. Dieser verschlüsselt die Zufallszahl mithilfe des Hashwertes des Passwortes und schickt sie zurück, woraufhin der Server die Verschlüsselung ebenfalls anwendet und die von ihm erstellten Daten mit denen des Benutzers abgleicht.

HTTP Authentifizierung wird für gewöhnlich auf kleineren Homepages verwendet, da sie keine Programmierung in einer Schriftsprache erfordert.

WLAN Authentifizierung

Die WLAN Authentifizierung ist einer der entscheidendsten Schritte bei der Inbetriebnahme eines Netzwerks über den WLAN-Standard. Da in diesem Fall keine klare Festlegung anhand von Kabeln erfolgen kann, muss sich das System auf innovative Verfahren stützen. Aus diesem Grund ist der gesamte Authentifizierungsprozess auf den 802.1X-Standard definiert. Es kann aus zwei verfügbaren Methoden gewählt werden.

Die für die Authentifizierung im WLAN verfügbaren Verfahren

Wenn die Methode über PEAPMS-CHAPv2 verwendet wird, kann man von dem so genannten Challenge-Handshake-Verfahren profitieren. Dieses Verfahren wird häufig bei der WLAN Authentifizierung eingesetzt.
Eine alternative Möglichkeit stellt das EAP-TLS dar. Es ist eine Weiterentwicklung der bekannten SSL-Technik. Die Arbeitsgänge orientieren sich an den digitalen Zertifikaten nach dem X.509v3-Standard.
quellcode
Die Besonderheit hierbei ist es, dass sowohl Benutzer- als auch Computerzertifikate für den Vorgang der Authentifizierung verwendet werden können. Um eine WLAN Authentifizierung vorteilhaft durchführen zu können, wird die IEEE 802.1X-Technik benötigt. Zusätzlich erscheint der RADIUS-Standard unabdingbar, da nur so die essentiellen Authentifizierungsanforderungen an einen RADIUS-Server weitergeleitet werden können. Ein Access Point, welcher den IEEE 802.1X-Standard unterstützt, wird ebenfalls die Sicherheitsmerkmale durch WPA oder WPA2 unterstützen.

Die Arbeitsweisen der Verfahren für die WLAN Authentifizierung

Der erste Schritt besteht darin, ein bestehendes Netzwerk zu erkennen. Dies erfolgt in der Regel automatisch und ist fester Bestandteil der Arbeitsweisen beider Methoden. Anschließend erfolgt der Versuch, sich mit dem aufgefundenen Netz zu verbinden. Da ein moderner Wireless Access Point so konfiguriert wurde, dass eine Authentifizierung verlangt wird, sendet der Client diese Informationen zum Access Point. Wenn nun die EAP-TLS-Technik verwendet wird, ist hiermit das Benutzerzertifikat gemeint. Wer hingegen PEAP-MS-CHAPv2 nutzt, kann von einer Nutzung der Anmeldeinformationen von Windows profitieren. Anschließend werden die eingeholten Informationen über RADIUS an den bereits vorab eingestellten RADIUS-Server weitergeleitet. Der nächste Schritt besteht darin, eine Authentifizierung gegen das Active Directory durchzuführen. Nachdem die Ergebnisse zurück an den Wireless Access Point übertragen wurden, wird dem Client bei einer Übereinstimmung der Zugang zum WLAN-Netz gewährt.

Authentifizierung

Besonders im Internet wird man häufig mit dem Begriff der Authentifizierung konfrontiert. Er ist abgeleitet vom Englischen Verb authenticate, was auf Deutsch nichts Anderes bedeutet als sich als echt erweisen, sich verbürgen, glaubwürdig sein.

Eine Authentifizierung dient schon dem Schutz des eigenen Computers, wenn man ausschließen will, dass ihn etwa ein Familienmitglied für eigene Zwecke nutzt. Jeder Rechner – unabhängig vom Betriebssystem – erlaubt die Einrichtung eines Passwort-Schutzes, der vor Inbetriebnahme das Eintippen des Benutzernamens sowie eines eigens von ihm festgelegten Codenamens erfordert. Natürlich lassen sich darüber hinaus auch sensible Dateien oder beispielsweise beruflich genutzte Programme, die vor fremdem Zugriff gesichert werden sollen, in einen “Schlüsselbund” des Rechners übernehmen und mittels Passwort dann nur noch nach erfolgreicher Authentifizierung nutzen.

Außerordentlich wichtig ist eine Abschirmung vor unbefugtem Zugriff natürlich dann, wenn ein Missbrauch des Rechners erhebliche finanzielle Schäden für den Besitzer haben könnte. Auch wenn manche Programme (wie etwa Webbrowser) es erlauben, häufig verwendete Standard-Eingaben wie Konto- oder Kreditkartennummern für wiederkehrende Transaktionen zu speichern, sollte man derartige Möglichkeiten nur dann nutzen, wenn sie explizit mit vorheriger Authentifizierung des Nutzers angewendet werden dürfen.

Klar, dass jegliche Kundenkonten, die online verwaltet werden – ob nun Online-Banking, ein Account bei Auktionsplattformen oder Versandhäusern, eine Mitgliedschaft bei Clubs oder Interessengemeinschaften – stets “verbarrikadiert” und erst mit persönlicher Authentifizierung des Nutzers freigegeben werden. Denn ungeschützte Daten dieser Art wären sonst ein Festessen für jeden Kriminellen, der jeden Leichtsinn eines Computernutzers gnadenlos ausbeutet. Da reicht schon ein Moment der Unachtsamkeit, wenn ein Laptop mit Geschäftsdaten auf einem Flughafen während einer Wartezeit unbeaufsichtigt bleibt.
Sehr bekannte Beispiele hierfür sind die WLAN Authentifizierung und die HTTP Authentifizierung.

Übrigens lässt sich natürlich mit dem Hilfsmittel der Authentifizierung von Besuchern auch eine eigene Homepage sichern, wenn man zum Beispiel Spam-Mailer von unerwünschten Gästebuch-Einträgen fern halten will. Sogenannte Captcha-Tools – die bestimmte Buchstabenkombinationen nach dem Zufallsprinzip einblenden – wehren von Automaten gesteuerte Zugriffe ab.

Der Begriff Authentifizierung steht of im Zusammenhang mit dem Begriff Autorisierung. Erfahren sie hier, was der Unterschied zwischen Authentifizierung und Autorisierung ist.