Einführung in die Authentifizierung
Beispielszenario: Mitarbeiterzugriffssystem der „Tech Solutions GmbH“
Im Kurs werden wir das Konzept der Authentifizierung anhand eines Szenarios der „Tech Solutions GmbH“ untersuchen. Die Firma möchte ein sicheres Zugriffssystem für ihre Mitarbeiter implementieren, das den Zugang zu internen Ressourcen schützt und sicherstellt, dass nur autorisierte Benutzer Zugriff haben.
1.1 Definition und Bedeutung der Authentifizierung
Definition: Authentifizierung ist der Prozess, durch den überprüft wird, ob eine Person oder ein Gerät tatsächlich diejenige ist, für die sie sich ausgibt.
Bedeutung:
- Schutz vor unbefugtem Zugriff: Verhindert, dass unberechtigte Benutzer Zugang zu sensiblen Informationen und Systemen erhalten.
- Sicherstellung der Integrität und Vertraulichkeit: Gewährleistet, dass Daten nur von autorisierten Benutzern gelesen und geändert werden können.
Abgrenzung zu Autorisierung und Identifikation:
- Identifikation: Feststellung der Identität einer Person oder eines Systems (z.B. durch Benutzername).
- Authentifizierung: Verifikation der behaupteten Identität (z.B. durch Passwort).
- Autorisierung: Zuweisung von Rechten und Zugriffsberechtigungen basierend auf der authentifizierten Identität.
Beispiel: Ein Mitarbeiter, John Doe, möchte auf das interne Netzwerk der Tech Solutions GmbH zugreifen. Er gibt seinen Benutzernamen (Identifikation) und sein Passwort (Authentifizierung) ein. Basierend auf seiner Rolle wird ihm der Zugriff auf bestimmte Ressourcen gewährt (Autorisierung).
1.2 Ziele und Herausforderungen
Ziele der Authentifizierung:
- Sicherstellung der Vertraulichkeit: Schutz der Daten vor unbefugtem Zugriff.
- Integrität der Daten: Sicherstellung, dass die Daten nicht manipuliert werden.
- Verfügbarkeit: Authentifizierungssysteme müssen zuverlässig und jederzeit verfügbar sein.
Herausforderungen:
- Benutzerfreundlichkeit: Balance zwischen Sicherheit und Benutzerfreundlichkeit finden.
- Komplexität: Verwaltung und Integration verschiedener Authentifizierungsmethoden.
- Sicherheitsbedrohungen: Schutz vor Angriffen wie Phishing, Brute-Force-Angriffen und Man-in-the-Middle-Angriffen.
2. Grundlagen der Authentifizierung
2.1 Prinzipien der Authentifizierung
Vertraulichkeit: Schützung der Authentifizierungsinformationen vor unbefugtem Zugriff.
Integrität: Sicherstellung, dass Authentifizierungsdaten nicht manipuliert werden können.
Verfügbarkeit: Sicherstellung, dass Authentifizierungsdienste jederzeit verfügbar sind.
2.2 Authentifizierungsfaktoren
Wissen (Knowledge): Etwas, das der Benutzer weiß (z.B. Passwort, PIN).
Besitz (Possession): Etwas, das der Benutzer besitzt (z.B. Token, Smartphone).
Biometrie (Inherence): Etwas, das der Benutzer ist (z.B. Fingerabdruck, Gesichtserkennung).
Beispiel im Szenario:
- Wissen: John Doe verwendet ein sicheres Passwort.
- Besitz: John Doe erhält einen Hardware-Token für zusätzliche Sicherheit.
- Biometrie: John Doe verwendet seinen Fingerabdruck, um auf bestimmte sensible Bereiche zuzugreifen.
Beispiel einer Authentifizierungsmatrix:
| Authentifizierungsfaktor | Beispiel | Nutzung im Szenario |
|---|---|---|
| Wissen | Passwort, PIN | Passwort für den Zugriff auf das Netzwerk |
| Besitz | Hardware-Token, Smartphone | Hardware-Token für VPN-Zugang |
| Biometrie | Fingerabdruck, Gesichtserkennung | Fingerabdruck für den Zugriff auf das HR-System |
2.3 Single-Factor vs. Multi-Factor Authentication (MFA)
Single-Factor Authentication: Nutzung eines einzigen Authentifizierungsfaktors (z.B. nur Passwort).
Multi-Factor Authentication (MFA): Kombination von zwei oder mehr Authentifizierungsfaktoren zur Erhöhung der Sicherheit.