Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Informationen zum Nachdenken

Информация к размышлению

Andere Ausgaben dieser Rubrik (15)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Identifizierung, Authentifizierung, Autorisierung: Worin besteht der Unterschied?

Gelesen: 2072 Kommentare: 0 Rating: 0

Mittwoch, 15. Juni 2022

In dieser Ausgabe möchten wir Ihnen erläutern, wodurch sich die Begriffe „Identifizierung“, „Authentifizierung“ und „Autorisierung“ unterscheiden.

Identifizierung: Halt! Wer da?

Wenn ein Besucher das Büro von Doctor Web betritt – egal, ob er zu einem Bewerbungsgespräch kommt, einen Geschäftstermin hat oder eine Postsendung bringt, – muss er dem Wächter seinen Namen mitteilen. Dadurch erfolgt seine Identifizierung. Der Wächter muss sicherstellen, dass der Besucher in der Besucherliste eingetragen ist.

Genauso „stellt man sich vor“, wenn man sich in einem Online-System (Online-Banking, E-Mail-Postfach, soziale Netzwerke etc.) einloggt. Man wird aufgefordert, eine ID (Login/Benutzerkonto) einzugeben, die vom System als gültig erkannt werden muss. Dabei handelt es sich um eine Identifizierung: Das System prüft, ob der Nutzer (Login/E-Mail-Adresse) existiert.

Das System kann nur registrierte IDs erkennen. Wenn die eingegebene Zeichenfolge in der Systemdatenbank eingetragen ist, gilt die Identifizierung als erfolgreich. Dies ist der erste Schritt beim Verschaffen eines Zugriffs auf die gewünschte Online-Ressource.

Authentifizierung: Weisen Sie sich aus!

Der Nutzer muss das richtige Passwort eingeben, um nachzuweisen, dass das Benutzerkonto ihm gehört. Das System prüft, ob das eingegebene Passwort mit dem Benutzerkonto übereinstimmt. Dabei handelt es sich um eine Authentifizierung.

Der oben erwähnte Besucher muss sich also ausweisen, um vom Wächter authentifiziert zu werden.

Um zu verhindern, dass sich Cyberkriminelle, die die Login-Daten des Nutzers gestohlen haben, im Benutzerkonto einloggen, kann das System zusätzliche Schutzverfahren verwenden. Z.B. kann der Nutzer aufgefordert werden, einen SMS-Bestätigungscode einzugeben. Der richtig eingegebene Bestätigungscode zeugt davon, dass der Nutzer der wirkliche Inhaber des Benutzerkontos ist. Dieses Verfahren nennt sich Zwei-Faktor-Authentifizierung.

In einigen Online-Diensten ist die Zwei-Faktor-Authentifizierung für alle Nutzer erforderlich. Die Zwei-Faktor-Authentifizierung erfolgt mithilfe eines Einmaltokens (Folge zusammengehöriger Zeichen). In der Regel wird dem Nutzer ein Einmalkennwort per SMS gesendet, aber es gibt auch andere 2FA-Verfahren: spezielle USB-Sticks, Bluetooth-Geräte, biometrische Scanner etc. Auch wenn Cyberkriminelle die Login-Daten des Nutzers (durch Phishing, Social Engineering oder mithilfe von Malware) erhalten, können sie sich unmöglich im Benutzerkonto ohne das Token einloggen.

Autorisierung: Zugriff erlaubt

Nach einer erfolgreichen Authentifizierung erfolgt das Einloggen des Nutzers und der Besucher wird ins Büro eingelassen, um am Geschäftstreffen oder am Vorstellungsgespräch teilzunehmen oder die Postsendung einzureichen. Dabei handelt es sich um eine Autorisierung: Dem Nutzer wird Zugriff auf bestimmte Ressourcen gewährt.

Eine erfolgreiche Autorisierung berechtigt den Nutzer, bestimmte Aktionen im System unter der in Schritt 1 eingegebenen ID auszuführen, z.B. Dateien zu öffnen, E-Mails zu senden, Daten zu ändern etc.

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

  • Nutzen Sie sichere und einzigartige Passwörter, die aus mindestens 8 Zeichen bestehen und Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen (!, @, #, $ etc.) enthalten. Falls nur Buchstaben und Ziffern im Passwort erlaubt sind, nutzen Sie längere Passwörter, um die Sicherheit zu erhöhen.
  • Was Passwort-Manager angeht, die Passwörter generieren und automatisch bei der Authentifizierung eingeben, sind wir der Meinung, dass das menschliche Gehirn der beste Passwort-Manager ist.
  • Wenn es Ihnen schwerfällt, lange Zeichenfolgen im Kopf zu behalten, nutzen Sie sinnvolle Sätze als Passwörter. Solche Passwörter sind schwierig zu ermitteln, lassen sich aber leicht merken.
  • Ändern Sie Ihre Passwörter alle 3 bis 6 Monate oder mindestens jährlich.
  • Nutzen Sie die Zwei-Faktor-Authentifizierung, wenn möglich. Idealerweise benötigen Sie zwei Geräte dazu: Die Zwei-Faktor-Authentifizierung ist sinnlos, wenn Sie sich bei der Nutzung eines mobilen Browsers in einem Online-Banking-System mit dem Bestätigungscode authentifizieren, den Sie per SMS auf demselben Gerät erhalten.
  • Teilen Sie niemandem Ihre Passwörter mit. Dies erhöht das Risiko, dass Ihre Daten kompromittiert und gestohlen werden.

WWir hoffen, den Unterschied zwischen Identifizierung, Authentifizierung und Autorisierung klar und fassbar erläutert zu haben. Wenn Sie weitere Fragen haben, stellen Sie sie in den Kommentaren.

#Zwei-Faktor-Authentifizierung #Schutz_vor_Datenverlust #Passwort #SMS #Social_Engineering #Begriffe

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.