Aktuelles, Branche - geschrieben von dp am Donnerstag, November 18, 2021 14:36 - noch keine Kommentare
Authentisieren, Authentifizieren und Autorisieren: PSW GROUP erklärt Unterschiede
Insbesondere die Begriffe authentisieren und authentifizieren werden gerne synonym verwendet
[datensicherheit.de, 18.11.2021] Authentisieren, authentifizieren und autorisieren seien Begriffe, welche häufig fielen, aber nicht immer korrekt verwendet würden, so die aktuelle Stellungnahme der PSW GROUP: „Insbesondere die Begriffe ,authentisieren‘ und ,authentifizieren‘ werden gern synonym verwendet. Jedoch handelt es sich um verschiedene Prozesse.“ Das Nachweisen der Identität sei das Authentisieren. Bei der Authentifizierung werde der Identitätsnachweis auf Authentizität geprüft. „Und beim Autorisieren handelt es sich um das Gewähren eines Zugangs, nachdem erfolgreich die Identität nachgewiesen wurde“, erläutert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.
Patrycja Schrenk: Beim Autorisieren handelt es sich um das Gewähren eines Zugangs, nachdem erfolgreich die Identität nachgewiesen wurde…
Authentisierung: Aktiver Nachweis der Identität
Nutzer, welche sich gegenüber einem IT-System anmelden möchten, authentisierten sich zunächst, legten also einen Nachweis für ihre Identität vor. Dieser Identitätsnachweis könne auf unterschiedliche Art erfolgen, beispielsweise in Form eines Passworts, eines Musters, einer Passphrase oder einer PIN.
Der Identitätsnachweis könne auch mittels biometrischer Daten wie dem Fingerabdruck erfolgen oder über Informationen, „die ausschließlich die nutzende Person besitzt, etwa digitale Identitäten, Token, Badge, Smartcard oder auch Zertifikate“. Nutzer müssten bei der Authentisierung aktiv handeln und den Beweis erbringen, wirklich zu sein, wer sie zu sein vorgeben. Schrenk: „In der analogen Welt geschieht dies in aller Regel durch Ausweisdokumente, während in der digitalen Welt die oben genannten Wege in Frage kommen.“
Authentifizierung: Überprüfung des Identitätsnachweises
Auf die Authentisierung folge dann die Authentifizierung: Der Identitätsnachweis der Nutzer beim Authentisieren werde in diesem Schritt überprüft. „Übertragen auf das analoge Leben würde in diesem Schritt das Ausweisdokument einer zu authentifizierenden Person auf Echtheit untersucht werden. Eine vertrauenswürdige Instanz verifiziert oder falsifiziert also jene Daten, die Nutzende beim Authentisieren als Identitätsnachweis vorgelegt haben“, so Schrenk. Eine Authentifizierung in der IT funktioniere beispielsweise über den Faktor „Wissen“: Passwörter, PINs, Passphrasen, Muster oder andere geheime Informationen. Auch digitale Authentifizierungen über Besitz, wie Token oder digitale Identität, sowie über Biometrie, also Iris, Fingerabdruck oder Stimme, seien denkbar.
Schrenk führt aus: „Je mehr Faktoren beim Authentifizieren eingesetzt werden, umso sicherer kann ein Anmeldeprozess werden. Es ist vorstellbar, dass Kriminelle einen Faktor, beispielsweise ein Passwort, knacken können. Kommen jedoch ein weiterer oder gar mehrere verschiedene Faktoren hinzu, etwa Iris-Scan und Token, haben es Kriminelle wirklich schwer.“
Autorisierung nach Authentisierung und Authentifizierung: Gewährung bestimmter Rechte
Mit der Authentifizierung ende der Prozess der Anmeldung noch nicht, denn noch müsse der Zugang zu jenen Ressourcen gewährt werden, auf welche nach der erfolgreich nachgewiesenen Identität Zugriff erfolgen dürfe. „Wenn sich jemand mit seiner E-Mail-Adresse, einem Passwort und zusätzlich einem biometrischen Faktor einloggt, dann ist das die Authentisierung, also der Identitätsnachweis.“
Das IT-System prüfe, ob E-Mail-Adresse, Passwort und biometrischer Faktor zusammenpassten – es authentifiziere die Person. Diese sei nun autorisiert, auf bestimmte Daten zuzugreifen. „Aufgrund einer bestehenden Rechteverwaltung sind das aber beispielsweise nur Buchhaltungsdaten und nicht Personaldaten.“
Weitere Informationen unter:
PSW GROUP, Bianca Wellbrock, 14.09.2021
IT-Security / Authentisieren, authentifizieren & autorisieren: Begriffsdefinitionen
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren