authenticatie

Van Wikipedia, de gratis encyclopedie
Spring naar navigatie Spring naar zoeken
Authenticatie en authenticatie in een gebruiker-serverrelatie

Authenticatie (van oud Grieks αὐθεντικός authentikós , Duits , 'betrouwbaar, naar een bepaalde informant' ; [1] Wortelvorm verbonden met het Latijnse facere ' to make' ) is het bewijs ( verificatie ) van een vermeende eigendom (claim) van een entiteit , die bijvoorbeeld een persoon, een apparaat, een document of een stuk informatie kan zijn, en die door zijn bijdrage zijn authenticatie [2] uitvoert.

Het bijbehorende werkwoord is authenticate (Engels: authenticate), wat staat voor getuige zijn van de authenticiteit van iets. [2] In de informatica wordt het onderbouwde woord authenticate vaak gebruikt zowel voor het authenticatieproces als voor het resultaat van deze verificatie, aangezien er in de Engelstalige wereld geen syntactisch onderscheid is tussen de handelingen van de betrokken entiteiten. In de Duitstalige wereld wordt de term authenticatie [2] gebruikt om de authenticiteit te controleren en de term authenticatie [2] om de authenticiteit te bevestigen.

De authenticatie van een entiteit met betrekking tot de geclaimde eigenschap van authenticiteit, wat bijvoorbeeld het verlenen van een “bestaande toegangsautorisatie” of “ authenticiteit ” kan zijn, stelt de geauthenticeerde entiteit in staat verdere acties te ondernemen. De entiteit wordt dan als authentiek beschouwd .

De definitieve bevestiging van een authenticatie wordt ook wel autorisatie genoemd als deze wordt beperkt door bepaalde toegestane modi en/of in een bepaalde context . Authenticatie is geldig totdat de relevante context wordt verlaten of gewijzigd, of totdat de relevante modus wordt verlaten of gewijzigd.

Het proces in context

In het geval van authenticatie tussen twee entiteiten, authenticeert de ene zichzelf terwijl de andere de eerste authenticeert.

De authenticatie is een verificatie van de bewering van authenticiteit . De authenticatie van een wederpartij wordt vaak gebruikt om deze te identificeren en is ook denkbaar in de zin van het vaststellen van een identiteit . Authenticatie is dus in principe het bewijs dat het het origineel is, waarbij een authenticatie niet alleen kan verwijzen naar mensen, maar naar alle materiële of immateriële objecten, b.v. B. elektronische documenten of kunstvoorwerpen.

In het voorbeeld van een computerprogramma dat toegang kan verlenen tot een beveiligd gebied, stelt de gebruiker eerst zijn toegangsautorisatie vast door een gebruikersnaam in te voeren. Bovendien authenticeert hij zichzelf door zijn wachtwoord in te voeren. Het programma identificeert vervolgens de gebruiker op basis van deze informatie en voert vervolgens de authenticatie uit, d.w.z. de verificatie van de bewering over authenticiteit. Pas wanneer deze verificatie succesvol is, krijgt de gebruiker de gespecificeerde toegangsrechten als onderdeel van de autorisatie, meestal voor de duur van een sessie. Dit betekent dat de identiteit van de communicatiepartner zeker is voor het programma, hoewel dit in de loop van de tijd kan veranderen (bijvoorbeeld tijdens een MITM-aanval ) of niet vanaf het begin heeft bestaan ​​(bijvoorbeeld na phishing ). Tijdens het autorisatieproces beslist het programma of de geauthenticeerde gebruiker toegang kan krijgen. Als dit ook lukt, geeft het programma de gebruiker toegang tot het beveiligde gebied.

Methoden:

Een gebruiker kan authenticatie (bewijs van eigen identiteit) op drie verschillende manieren bewerkstelligen:

  • Bewijs van kennis van informatie : hij weet iets, bijvoorbeeld een wachtwoord
  • Gebruik van een eigendom : Hij heeft iets, bijvoorbeeld een sleutel
  • Aanwezigheid van de gebruiker zelf: hij is iets, bijvoorbeeld in de vorm van een biometrisch kenmerk

De keuze van authenticatiemethoden, afhankelijk van het toepassingsgebied, leidt tot verschillende voor- en nadelen op het gebied van bruikbaarheid voor de gebruiker in het dagelijks leven en de beveiligingseisen van het te beschermen eigendom. Een zorgvuldige afweging voorafgaand aan implementatie en inbedrijfstelling zorgt voor het daadwerkelijk bereikte beveiligingsniveau.

kennis

Kenmerken:

  • kan worden vergeten
  • kan worden gedupliceerd, verspreid, doorgegeven en verraden
  • kan mogelijk worden geraden
  • de openbaarmaking van kennis kan worden aangetast
  • het overdragen van kennis vereist geen praktische hulpmiddelen

Voorbeelden van authenticatie op basis van kennis:

bezit

Kenmerken:

  • Het maken van het kenmerk (mogelijk ook de controlepunten) is onderhevig aan relatief hoge kosten (vaak vereist een speciaal fabricageproces en een fysiek distributieproces)
  • Beheer van onroerend goed is onzeker en vergt inspanning (moet met je meegedragen worden)
  • kan verdwalen
  • kan worden gestolen
  • kan worden overhandigd, doorgegeven of (in sommige gevallen) gedupliceerd
  • kan vervangen worden
  • kan gebruikersspecifieke gegevens opslaan
  • kan zichzelf beschermen en actief veranderen (Smartcard, SecurID )

Voorbeelden van authenticatie op basis van bezit:

Fysieke eigenschap / biometrie

Kenmerken:

  • is openbare informatie
  • wordt altijd gedragen door mensen
  • kan niet worden doorgegeven aan andere mensen
  • Nadat de functie is opgenomen, is het noodzakelijk om de opgenomen gegevens te verspreiden voor vergelijking op controlepunten
  • vereist een speciaal apparaat (technologie) voor detectie
  • kan ik. A. kan niet met zekerheid worden vergeleken met een referentiesteekproef, maar alleen met een waarschijnlijkheid (<1)
    • valse acceptatie is mogelijk (valse acceptatie)
    • valse afwijzing is mogelijk (valse afwijzing)
  • Levensdetectie kan nodig zijn (bijvoorbeeld zodat een kunstmatige vingerafdruk of snijvinger wordt afgewezen)
  • verandert in de tijd of als gevolg van ongevallen en is daardoor minder herkenbaar
  • als het kenmerk ongunstig wordt gekozen, worden bepaalde groepen mensen die het kenmerk missen uitgesloten
  • kan niet worden vervangen
  • kan problemen met gegevensbescherming opleveren

Voorbeelden van authenticatie op basis van biometrische kenmerken:

De transmissie beveiligen

Gegevens worden overgedragen tijdens authenticatie. Als deze gegevens worden onderschept, kan een aanvaller deze gebruiken om een ​​valse identiteit te creëren. Om het risico van openbaarmaking uit te sluiten, wordt gebruik gemaakt van methoden als challenge-response authenticatie en zero knowledge , waarbij de authenticerende persoon de identificatiegegevens niet meer zelf doorgeeft, maar alleen het bewijs dat hij zonder enige twijfel over deze identificatiegegevens beschikt. Een voorbeeld van challenge-response authenticatie is dat er een taak wordt ingesteld waarvan de oplossing alleen kan komen van een tegenpartij die een bepaalde kennis of een bepaalde eigenschap heeft. Op deze manier kan een wederpartij worden geauthenticeerd zonder zijn kennis of eigendom prijs te geven. Er moet echter worden opgemerkt dat dergelijke methoden ook kunnen worden aangevallen.

Andere systemen lossen het probleem op door de identificatiegegevens maar één keer te gebruiken. Een voorbeeld hiervan is het TAN-systeem. Afgeluisterde of bespioneerde identificatiegegevens kunnen echter later worden gebruikt als het eerste gebruik en dus de ongeldigverklaring van de gegevens tijdens het afluisterproces kan worden voorkomen. Eenmalige wachtwoordsystemen verminderen dit probleem door de identificatiegegevens te koppelen aan de huidige tijd.

Een andere mogelijkheid om de overdracht te beveiligen is de zogenaamde "tweede kanaal" communicatie, waarbij een deel van de identificatiegegevens via een tweede kanaal wordt overgedragen. Een voorbeeld is het versturen van een SMS met het mobiele TAN (mTAN) systeem.

In het kader van cryptografische protocollen worden vaak aanvullende willekeurige getallen gebruikt als zogenaamde “ nonce ” of “ salt ” waarden om te voorkomen dat een identificatie herhaald wordt.

Met U2F en UAF heeft de FIDO Alliance in december 2014 twee gratis industriestandaarden gepubliceerd die worden gebruikt om toegangsautorisatie voor een aantal verschillende webgebaseerde services te bewijzen.

Combinatie van methoden

Een geschikte combinatie van de methoden kan tekortkomingen in authenticatie verminderen. Daar staat tegenover dat combinaties van meerdere methoden gepaard gaan met hogere kosten en/of meer inspanning. Dynamische systemen die automatisch sterkere of zwakkere authenticatiemethoden selecteren, afhankelijk van de waarde en dus het risico van een transactie of de veiligheid van de gebruikte online verbinding, verhogen echter de gebruikersacceptatie en vermijden productiviteitsverlagende stappen bij transacties met een laag risico. [3]

Een combinatie van twee methoden wordt tweefactorauthenticatie of tweestapsauthenticatie genoemd . Het Federaal Bureau voor Informatiebeveiliging (BSI) definieert dit als sterke authenticatie . [4] Een typisch voorbeeld van de combinatie van kennis en eigendom is een geldautomaat: deze heeft de bankpas en kent het persoonlijk identificatienummer (PIN). Een soortgelijk principe bestaat al op het gebied van mobiele beveiligingsharde schijven. Bij speciale high-security harde schijven is de toegang beveiligd met een smartcard en een 8-cijferige pincode. Op internet wordt toegang vaak verleend met een wachtwoord als eerste stap. Om volledige toegang te krijgen, wordt er echter een unieke code via sms naar de mobiele telefoon gestuurd, die vervolgens ter bevestiging op de website moet worden ingevoerd. Dit wordt vaak gebruikt bij internetbankieren om bijvoorbeeld een transactie te authenticeren. De industriestandaard Universal Second Factor (U2F) wordt gebruikt voor apparaat- en provideronafhankelijke tweefactorauthenticatie.

Het vier-ogen-principe betekent gescheiden authenticatie door twee personen. Dergelijke authenticatie wordt meestal gebruikt voor systemen met hoge beveiligingseisen: voor het openen van kluizen in banken zijn bijvoorbeeld soms twee personen nodig die zichzelf authenticeren door bezit (twee afzonderlijke sleutels).

Een hoofdsleutel is een veilig door kennis en ondersteunde (verborgen) eigendom, die nog steeds een authenticatie-optie biedt voor een totaal verlies van alle andere authenticatiefuncties.

Authenticatie als IT-service

Het aanbieden van veilige en praktische authenticatie-opties voor IT-services wordt tegenwoordig gezien als een onafhankelijke en bovengeschikte taak. Men spreekt van "Authentication as a Service" (AaaS) en van "Authentication and Authorization Infrastructure" (AAI). Op bedrijfs- of universitair niveau worden authenticatiediensten georganiseerd als onderdeel van een centraal identiteitsbeheersysteem . Met de nieuwe identiteitskaart biedt de staat ook een elektronische authenticatiedienst aan.

De authenticatiedienst treedt op als derde intermediaire entiteit naast een IT-dienst en de gebruiker van de IT-dienst. De authenticatiedienst wordt ook wel de “identiteitsprovider” genoemd. Als de gebruiker gebruik wil maken van de dienst, wordt hij eerst doorgestuurd naar de identiteitsprovider. De authenticatie vindt plaats tussen de gebruiker en de identiteitsprovider. Na succesvolle authenticatie geeft de identiteitsprovider een zogenaamde assertion af , die de gebruiker ontvangt en die hij aan de IT-dienst toont. De IT-service moet natuurlijk vertrouwen op de identiteitsprovider om gebruikers correct te authenticeren en moet een manier hebben om de oorsprong van de bewering te controleren. Voorbeelden van dergelijke methoden zijn Shibboleth , CAS en OpenID .

Zie ook

literatuur

  • Sebastian Bösing : Authenticatie en autorisatie bij elektronische juridische transacties: Gekwalificeerde handtekeningsleutel en attribuutcertificaten als juridische instrumenten van digitale identiteit , Nomos, ISBN 3-8329-1535-4
  • Josef von Helden : Verbetering van de authenticatie in IT-systemen door speciale diensten van het besturingssysteem , Shaker Verlag , ISBN 3-8265-0897-1
  • Sebastian Rieger: Uniforme authenticatie in heterogene IT-structuren voor een veilige e-science-omgeving , Cuvillier Verlag; Editie: 1 (2007), ISBN 3-86727-329-4

web links

WikiWoordenboek: Authenticatie - uitleg van betekenissen, woordoorsprong, synoniemen, vertalingen

Individueel bewijs

  1. ^ Wilhelm Pape , Max Sengebusch (arrangement): Beknopt woordenboek van de Griekse taal . 3e druk, 6e druk. Vieweg & Sohn, Braunschweig 1914 ( zeno.org [geraadpleegd op 23 juli 2019] Het woordenboek bevat alleen het bijwoord oud-Grieks αὐθεντικῶς authenticatie opgegeven. Het is een laat Grieks woord, dus de afleiding van het oud-Griekse αὐθέντης zou vaker voorkomen authéntēs , hier in de betekenis van 'auteur'.).
  2. a b c d authenticeren. Duden , geraadpleegd op 3 januari 2018 .
  3. Litowski, Eric en Bettina Wesselmann: op risico gebaseerde authenticatietechnologie: beveiligingsoplossingen op maat. In: LANline . Nee.   6 , 2006, ISSN 0942-4172 ( lanline.de ).
  4. IT-Grundschutz: Woordenlijst. BSI , geraadpleegd op 27 september 2019 .