Logo Logo
GitHub Designed by Logto
authentication
Auf GitHub bearbeiten

Was ist Authentifizierung (Authentication, AuthN)?

Authentifizierung ist der Prozess der Überprüfung der Identitätszugehörigkeit (z. B. Benutzer oder Dienst). Sie ist die Grundlage von Identitäts- und Zugriffsmanagement (IAM)-Systemen und unerlässlich für die Sicherung von Anwendungen und Diensten.

Was ist Authentifizierung (Authentication, AuthN)?

Authentifizierung (Authentication, AuthN) steht für Authentifizierung, ein Mechanismus, der in Software integriert ist, um einen Benutzer basierend auf seinen Anmeldedaten zu identifizieren, bevor der Zugriff auf Ressourcen gewährt wird. Zum Beispiel beinhaltet die häufigste Anmeldemethode eine E-Mail und ein Passwort. Das System verwendet diese Anmeldedaten, um zu überprüfen, ob der Benutzer die richtige Identität hat, um darauf zuzugreifen.

Im Kontext von Identitäts- und Zugriffsmanagement (Identity and access management, IAM) geht es bei der Authentifizierung darum, die Zugehörigkeit einer Identität zu überprüfen, anstatt die Person oder Entität dahinter zu identifizieren. Wenn beispielsweise ein Familienmitglied deine Anmeldedaten verwendet, um sich anzumelden, ist es nicht du, aber das System erkennt es als dieselbe Identität.

Eine Identität kann nicht nur einen Benutzer, sondern auch einen Dienst oder ein Gerät repräsentieren. Zum Beispiel kann sich ein Dienst bei einem anderen mit einem API-Schlüssel (API key) authentifizieren.

Mit der Weiterentwicklung der Technologie sind Authentifizierungsmethoden fortschrittlicher und multidisziplinärer geworden. Obwohl der Begriff technisch klingen mag, ist er ein Schlüsselkonzept in der Cybersicherheit, da alle Anwendungen und Software auf Authentifizierung angewiesen sind, um sichere Benutzerinformationen und deren Zugriff auf ein System zu gewährleisten.

Authentifizierungsfaktoren

Authentifizierungsfaktoren sind die Kategorien von Beweisen, die verwendet werden, um die Identität eines Benutzers während des Authentifizierungsprozesses zu überprüfen. Sie helfen sicherzustellen, dass nur autorisierte Benutzer Zugriff auf Systeme oder Ressourcen erhalten. Diese Faktoren werden typischerweise in drei Haupttypen unterteilt, die oft als die „drei Faktoren der Authentifizierung“ bezeichnet werden.

  • Wissensfaktor: Etwas, das du weißt (z. B. Passwort, PIN)
  • Besitzfaktor: Etwas, das du hast (z. B. Smartphone, Sicherheitstoken)
  • Inhärenzfaktor: Etwas, das du bist (z. B. Fingerabdruck, Gesichtserkennung)

Hier sind zwei Beispiele:

Multi-Faktor-Authentifizierung (Multi-factor authentication, MFA) ist eine gängige Praxis, die mehrere Faktoren kombiniert, um die Sicherheit zu erhöhen. Wenn du dich beispielsweise bei deinem Bankkonto anmeldest, musst du möglicherweise ein Passwort (Wissensfaktor) und einen einmaligen Code aus einer Authentifizierungs-App (Besitzfaktor) angeben.

Passkey ist ein moderner Authentifizierungsfaktor, der mehrere Faktoren kombinieren kann und resistent gegen Phishing-Angriffe ist.

Was sind gängige Arten der Authentifizierung (Authentication, AuthN)?

Nachdem wir die wichtigsten Komponenten und Authentifizierungsfaktoren behandelt haben, gehen wir zu den Authentifizierungstypen über. Systeme und Produkte verwenden verschiedene Authentifizierungsmethoden, und diese Methoden können sich in ihren Definitionen und der Art und Weise, wie Benutzer sie verstehen, überschneiden. Bei der Auswahl von Authentifizierungsmethoden solltest du dich auf die Bedürfnisse deines Produkts konzentrieren und versuchen, das Benutzererlebnis mit der Sicherheit in Einklang zu bringen.

Passwortauthentifizierung

Passwortauthentifizierung ist eine weit verbreitete Methode zur Überprüfung der Identität eines Benutzers beim Zugriff auf ein System oder eine Anwendung. Sie erfordert, dass der Benutzer beispielsweise eine E-Mail-Adresse oder andere ähnliche Kennungen wie Benutzername und Telefonnummer angibt, die als eindeutiger Bezeichner dienen, sowie ein Passwort, eine geheime Zeichenfolge, die nur dem Benutzer bekannt ist, um seine Zugehörigkeit zur E-Mail zu bestätigen.

Der Prozess beginnt damit, dass der Benutzer seine E-Mail und sein Passwort in ein Anmeldeformular eingibt. Das System überprüft dann diese Anmeldedaten mit seiner Datenbank registrierter Benutzer. Wenn die Anmeldedaten übereinstimmen, wird dem Benutzer der Zugriff gewährt; andernfalls wird der Zugriff verweigert. Bei erfolgreicher Authentifizierung kann das System eine Sitzung erstellen oder ein Token ausstellen, um den angemeldeten Zustand des Benutzers aufrechtzuerhalten.

Diese Methode ist einfach und weit verbreitet, was es den Benutzern leicht macht, sie zu verstehen und zu verwenden. Sie bringt jedoch Herausforderungen mit sich. Passwörter können durch Phishing, Brute-Force-Angriffe oder Datenverletzungen kompromittiert werden. Darüber hinaus können Benutzer es als unpraktisch empfinden, sich mehrere Passwörter für verschiedene Dienste zu merken. Um diese Probleme zu lösen, wird die E-Mail- und Passwortauthentifizierung häufig mit Sicherheitsmaßnahmen wie der Zwei-Faktor-Authentifizierung (2FA) verbessert, die eine zusätzliche Verifizierungsebene hinzufügt, oder indem die Verwendung starker, eindeutiger Passwörter gefördert wird, die sicher verwaltet werden.

Trotz ihrer Herausforderungen bleibt die E-Mail- und Passwortauthentifizierung eine grundlegende Methode zur Identitätsüberprüfung, die oft mit zusätzlichen Maßnahmen für verbesserte Sicherheit kombiniert wird.

Passwortlose Authentifizierung

Passwortlose Authentifizierung kann auf verschiedene Weise verstanden werden. Im Allgemeinen bezieht sie sich auf jede Benutzerauthentifizierungsmethode, die nicht auf Passwörtern basiert. Passwortlose Authentifizierung ist eine Methode zur Überprüfung der Identität eines Benutzers, ohne traditionelle Passwörter zu erfordern. Stattdessen verlässt sie sich auf alternative Technologien und Faktoren, um Benutzer sicher zu authentifizieren. Diese Methoden umfassen Einmalpasswort (One-time password, OTP) per E-Mail oder SMS oder Authentifizierungs-App, biometrische Authentifizierung wie Fingerabdrücke oder Gesichtserkennung, Magic Links, die an die E-Mail des Benutzers gesendet werden, Passkeys, die auf einem Gerät gespeichert sind, oder soziale Anmeldungen mit Konten von Anbietern wie Google oder Facebook.

Dieser Ansatz verbessert die Sicherheit, indem er Risiken im Zusammenhang mit Passwörtern wie Phishing, Brute-Force-Angriffen und Datenverletzungen reduziert. Er verbessert auch das Benutzererlebnis, indem er die Notwendigkeit beseitigt, sich Passwörter zu merken und zu verwalten, während er die Wartungskosten durch die Reduzierung von Passwortzurücksetzungsanfragen senkt.

Soziale Authentifizierung

Soziale Authentifizierung ist eine Methode zur Überprüfung der Identität eines Benutzers, indem er sich mit seinen bestehenden Anmeldedaten von einer Social-Media- oder Identitätsanbieterplattform wie Google, Facebook, Twitter oder LinkedIn bei einer Anwendung oder Website anmeldet. Anstatt für jede Anwendung einen neuen Benutzernamen und ein Passwort zu erstellen, können sich Benutzer mit einem Konto authentifizieren, dem sie bereits vertrauen.

Wenn ein Benutzer eine soziale Anmeldeoption auswählt, wird er zur gewählten Plattform weitergeleitet, um seine Anmeldedaten zu bestätigen. Nach der Authentifizierung stellt die Plattform der Anwendung ein Token oder Benutzerinformationen wie Name, E-Mail-Adresse oder Profilbild zur Verfügung, um ihre Identität zu überprüfen. Dieser Prozess ist sicher und vereinfacht oft das Anmeldeerlebnis für Benutzer.

Soziale Authentifizierung reduziert die Reibung für Benutzer, verbessert die Sicherheit durch die Nutzung der Infrastruktur des Identitätsanbieter (Identity provider, IdP) , und ermöglicht es Anwendungen, schnell verifizierte Benutzerdaten zu sammeln. Sie ist besonders beliebt in Anwendungen, bei denen der einfache Zugang und die Integration mit sozialen Plattformen Priorität haben.

Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung (Multi-factor authentication, MFA) ist ein Sicherheitsprozess, der erfordert, dass ein Benutzer seine Identität mit zwei oder mehr unterschiedlichen Authentifizierungsfaktoren überprüft. Diese Faktoren fallen typischerweise in drei Kategorien, wie die oben genannten Authentifizierungsfaktoren: etwas, das du weißt, etwas, das du hast, und etwas, das du bist.

Durch die Kombination mehrerer Faktoren verbessert MFA die Sicherheit erheblich. Selbst wenn ein Faktor, wie ein Passwort, kompromittiert wird, macht die zusätzliche(n) Verifizierungsebene(n) es viel schwieriger für unbefugte Benutzer, Zugriff zu erhalten.

MFA wird häufig in Systemen verwendet, die höhere Sicherheitsstufen erfordern, wie Online-Banking, Unternehmensnetzwerke, finanziell sensible Produkte und Cloud-Dienste. Anstatt eine Methode der Authentifizierung zu sein, ist es genauer eine Sicherheitsmaßnahme für die Authentifizierung.

Biometrische Authentifizierung

Biometrische Authentifizierung ist ein Sicherheitsprozess, der die Identität eines Benutzers basierend auf einzigartigen physischen oder Verhaltensmerkmalen überprüft. Diese Merkmale, wie Fingerabdrücke, Gesichtszüge oder Sprachmuster, sind hochindividuell und schwer zu replizieren, was diese Methode sicher und zuverlässig macht.

Der Prozess beginnt mit der Registrierung, bei der die biometrischen Daten eines Benutzers erfasst und sicher als Referenz gespeichert werden. Während der Authentifizierung erfasst das System die aktuellen biometrischen Daten des Benutzers und vergleicht sie mit der gespeicherten Referenz. Wenn die Daten übereinstimmen, wird der Zugriff gewährt; andernfalls wird er verweigert.

Diese Methode ist bequem, da Benutzer sich keine Passwörter merken oder physische Tokens mit sich führen müssen. Sie wird häufig in Anwendungen wie Smartphones, Banking-Apps, sicheren Einrichtungen und Gesundheitssystemen verwendet, um schnellen, zuverlässigen und benutzerfreundlichen Zugang zu bieten.

Enterprise Single Sign-On (SSO) mit einem Identitätsanbieter (IdP)

Enterprise SSO mit einem Identitätsanbieter (Identity provider, IdP) ermöglicht es Benutzern, sich einmal anzumelden und auf mehrere Anwendungen oder Dienste zuzugreifen, ohne sich erneut authentifizieren zu müssen. Der IdP ist ein vertrauenswürdiger Dienst, der Benutzeridentitäten verwaltet und die Authentifizierung übernimmt.

So funktioniert es:

  1. Der Benutzer meldet sich über den IdP an (z. B. Google oder Azure AD).
  2. Der IdP authentifiziert den Benutzer und stellt ein Token oder eine Assertion aus.
  3. Das Token wird mit anderen verbundenen Apps oder Diensten geteilt, um Zugriff ohne zusätzliche Anmeldungen zu gewähren.

Diese Einrichtung vereinfacht den Benutzerzugang und zentralisiert das Identitätsmanagement für die Sicherheit.

Machine-to-Machine-Authentifizierung

Machine-to-Machine (M2M) Authentifizierung ist ein Prozess, der die Identität von Geräten, Anwendungen oder Diensten überprüft, die miteinander kommunizieren, ohne menschliches Eingreifen. Sie stellt sichere Interaktionen zwischen Maschinen sicher, oft in IoT (Internet of Things)-Umgebungen, APIs oder cloudbasierten Diensten.

Bei der M2M-Authentifizierung verwenden Maschinen anstelle von Benutzernamen und Passwörtern wie bei der traditionellen Benutzerauthentifizierung sichere Anmeldedaten wie API-Schlüssel, Zertifikate oder Tokens (z. B. OAuth 2.0 ). Diese Anmeldedaten werden verwendet, um zu überprüfen, ob eine Maschine oder ein Dienst berechtigt ist, auf eine andere Maschine oder Ressource zuzugreifen.

Wenn beispielsweise eine mobile App mit einem Cloud-Server kommuniziert, um Benutzerdaten abzurufen, authentifiziert der Server die App mit einem API-Schlüssel oder Token, um zu bestätigen, dass es sich um einen legitimen Client handelt. Ebenso authentifizieren sich in IoT-Geräten wie intelligenten Thermostaten oder Wearables mit ihren Steuersystemen oder Datenservern mithilfe von Zertifikaten oder sicheren Tokens.

M2M-Authentifizierung ist wichtig, um Datensicherheit und Vertrauen in automatisierten Systemen sicherzustellen, insbesondere in Umgebungen, in denen sensible Informationen ausgetauscht werden.

Was sind die besten Praktiken und Schlüsselprinzipien für die Implementierung von Authentifizierung (AuthN)?

Die Implementierung von Authentifizierungsfunktionen erfordert den Fokus auf Schlüsselprinzipien. Die Verwendung vertrauenswürdiger Protokolle wie OAuth 2.0 oder OpenID Connect und die Verschlüsselung sensibler Daten wird dringend empfohlen. Darüber hinaus hilft das Anbieten von Optionen wie sozialen Anmeldungen, passwortlosen Methoden wie Passkeys und die Unterstützung verschiedener Authentifizierungsmethoden—wie Benutzername/Passwort, Biometrie oder SSO—dem System, die vielfältigen Bedürfnisse der Benutzer zu erfüllen.

Authentifizierung (AuthN) in OIDC, SAML und OAuth 2.0

Anstatt ein selbst entwickeltes Authentifizierungssystem zu erstellen, wird empfohlen, etablierte Frameworks und Protokolle zu verwenden, da sie von Sicherheitsexperten getestet und überprüft wurden. Es gibt verschiedene Authentifizierungsframeworks und -protokolle, die definieren, wie die Authentifizierung durchgeführt werden sollte. Zwei gängige sind:

  • OpenID Connect (OIDC) : Eine Identitätsschicht, die auf OAuth 2.0 aufbaut und Authentifizierungsfunktionen hinzufügt. Es ist relativ modern und wird häufig für neue Anwendungen verwendet.
  • Security Assertion Markup Language (SAML) : Ein Protokoll zum Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien. Es wird häufig in Unternehmensumgebungen verwendet.

Die Wahl des Frameworks hängt von deinem Anwendungsfall und deinen Anforderungen ab. Für neue Anwendungen wird OIDC aufgrund seines modernen Designs und der Unterstützung von JSON Web Token (JWT) empfohlen.

Das direkte Arbeiten mit diesen Protokollen kann jedoch immer noch komplex und zeitaufwendig sein. Beide Protokolle haben steile Lernkurven und erfordern eine sorgfältige Implementierung, um die Sicherheit zu gewährleisten. Stattdessen kann die Verwendung eines Identitätsanbieter (Identity provider, IdP) , der diese Protokolle unterstützt oder auf ihnen basiert, den Authentifizierungsprozess erheblich vereinfachen. Ein guter Identitätsanbieter bietet auch zusätzliche Funktionen wie Multi-Faktor-Authentifizierung (Multi-factor authentication, MFA) und Single Sign-on (SSO) für deine zukünftigen Bedürfnisse.

Was sind die Unterschiede zwischen AuthZ und AuthN?

Wenn über AuthN gesprochen wird, kommt AuthZ natürlich ins Gespräch. Authentifizierung (AuthN) bestätigt die Identität und beantwortet die Frage „Wer bist du?“ durch Anmeldedaten wie Passwörter oder Biometrie. Autorisierung (AuthZ) bestimmt „Was kannst du tun?“ indem sie den Zugriff basierend auf Rollen oder Richtlinien gewährt oder verweigert. AuthN kommt zuerst, um die Identität zu überprüfen, gefolgt von AuthZ, um Berechtigungen zu verwalten.

Hier ist ein Beispiel: Wenn du dich mit deinem Benutzernamen und Passwort bei deinem E-Mail-Konto anmeldest, ist das Authentifizierung (AuthN)—der Nachweis, wer du bist. Sobald du angemeldet bist, entscheidet das System, ob du deine E-Mails lesen, Nachrichten senden oder auf Admin-Einstellungen zugreifen kannst, basierend auf deiner Rolle. Das ist Autorisierung (AuthZ)—die Definition dessen, was du tun darfst.

Siehe auch