Aktuelles, Branche - geschrieben von dp am Donnerstag, November 18, 2021 14:36 - noch keine Kommentare
Authentisieren, Authentifizieren und Autorisieren: PSW GROUP erklärt Unterschiede
Insbesondere die Begriffe authentisieren und authentifizieren werden gerne synonym verwendet
[datensicherheit.de, 18.11.2021] Authentisieren, authentifizieren und autorisieren seien Begriffe, welche häufig fielen, aber nicht immer korrekt verwendet würden, so die aktuelle Stellungnahme der PSW GROUP: „Insbesondere die Begriffe ,authentisieren‘ und ,authentifizieren‘ werden gern synonym verwendet. Jedoch handelt es sich um verschiedene Prozesse.“ Das Nachweisen der Identität sei das Authentisieren. Bei der Authentifizierung werde der Identitätsnachweis auf Authentizität geprüft. „Und beim Autorisieren handelt es sich um das Gewähren eines Zugangs, nachdem erfolgreich die Identität nachgewiesen wurde“, erläutert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.
Patrycja Schrenk: Beim Autorisieren handelt es sich um das Gewähren eines Zugangs, nachdem erfolgreich die Identität nachgewiesen wurde…
Authentisierung: Aktiver Nachweis der Identität
Nutzer, welche sich gegenüber einem IT-System anmelden möchten, authentisierten sich zunächst, legten also einen Nachweis für ihre Identität vor. Dieser Identitätsnachweis könne auf unterschiedliche Art erfolgen, beispielsweise in Form eines Passworts, eines Musters, einer Passphrase oder einer PIN.
Der Identitätsnachweis könne auch mittels biometrischer Daten wie dem Fingerabdruck erfolgen oder über Informationen, „die ausschließlich die nutzende Person besitzt, etwa digitale Identitäten, Token, Badge, Smartcard oder auch Zertifikate“. Nutzer müssten bei der Authentisierung aktiv handeln und den Beweis erbringen, wirklich zu sein, wer sie zu sein vorgeben. Schrenk: „In der analogen Welt geschieht dies in aller Regel durch Ausweisdokumente, während in der digitalen Welt die oben genannten Wege in Frage kommen.“
Authentifizierung: Überprüfung des Identitätsnachweises
Auf die Authentisierung folge dann die Authentifizierung: Der Identitätsnachweis der Nutzer beim Authentisieren werde in diesem Schritt überprüft. „Übertragen auf das analoge Leben würde in diesem Schritt das Ausweisdokument einer zu authentifizierenden Person auf Echtheit untersucht werden. Eine vertrauenswürdige Instanz verifiziert oder falsifiziert also jene Daten, die Nutzende beim Authentisieren als Identitätsnachweis vorgelegt haben“, so Schrenk. Eine Authentifizierung in der IT funktioniere beispielsweise über den Faktor „Wissen“: Passwörter, PINs, Passphrasen, Muster oder andere geheime Informationen. Auch digitale Authentifizierungen über Besitz, wie Token oder digitale Identität, sowie über Biometrie, also Iris, Fingerabdruck oder Stimme, seien denkbar.
Schrenk führt aus: „Je mehr Faktoren beim Authentifizieren eingesetzt werden, umso sicherer kann ein Anmeldeprozess werden. Es ist vorstellbar, dass Kriminelle einen Faktor, beispielsweise ein Passwort, knacken können. Kommen jedoch ein weiterer oder gar mehrere verschiedene Faktoren hinzu, etwa Iris-Scan und Token, haben es Kriminelle wirklich schwer.“
Autorisierung nach Authentisierung und Authentifizierung: Gewährung bestimmter Rechte
Mit der Authentifizierung ende der Prozess der Anmeldung noch nicht, denn noch müsse der Zugang zu jenen Ressourcen gewährt werden, auf welche nach der erfolgreich nachgewiesenen Identität Zugriff erfolgen dürfe. „Wenn sich jemand mit seiner E-Mail-Adresse, einem Passwort und zusätzlich einem biometrischen Faktor einloggt, dann ist das die Authentisierung, also der Identitätsnachweis.“
Das IT-System prüfe, ob E-Mail-Adresse, Passwort und biometrischer Faktor zusammenpassten – es authentifiziere die Person. Diese sei nun autorisiert, auf bestimmte Daten zuzugreifen. „Aufgrund einer bestehenden Rechteverwaltung sind das aber beispielsweise nur Buchhaltungsdaten und nicht Personaldaten.“
Weitere Informationen unter:
PSW GROUP, Bianca Wellbrock, 14.09.2021
IT-Security / Authentisieren, authentifizieren & autorisieren: Begriffsdefinitionen
Aktuelles, Experten - Jan. 14, 2025 10:47 - noch keine Kommentare
Rat der Verbraucherzentrale zur ePA: Entweder aktive Pflege oder grundsätzlicher Widerspruch
weitere Beiträge in Experten
- Praxistipps: Wie Datenschutz im Alltag funktionieren kann
- Meike Kamp ist Vorsitzende der Datenschutzkonferenz 2025
- E- Rechnungen können gesetzeskonform gemäß GoBD archiviert werden
- Monitor Digitalpolitik: Bitkom-Stellungnahme zu Fortschritten kurz vor den Neuwahlen
- Vorankündigung: 17. Security Forum der Technischen Hochschule Brandenburg
Aktuelles, Branche - Jan. 17, 2025 18:33 - noch keine Kommentare
Warnung vor neuer Phishing-Angriffskampagne über Reisebüro-Konten
weitere Beiträge in Branche
- DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern
- Apple iMessage: ESET warnt vor Phishing-Falle
- Neue Angriffskampagne per E-Mail: Youtube-Influencer im Visier Cyber-Krimineller
- Cyber-Kriminellen bevorzugen Login statt Einbruch
- Aufbewahrungsfristen genau beachten: Welche Unterlagen 2025 DSGVO-konform entsorgt werden dürfen
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren