Aktuelles, Branche - geschrieben von dp am Donnerstag, November 18, 2021 14:36 - noch keine Kommentare
Authentisieren, Authentifizieren und Autorisieren: PSW GROUP erklärt Unterschiede
Insbesondere die Begriffe authentisieren und authentifizieren werden gerne synonym verwendet
[datensicherheit.de, 18.11.2021] Authentisieren, authentifizieren und autorisieren seien Begriffe, welche häufig fielen, aber nicht immer korrekt verwendet würden, so die aktuelle Stellungnahme der PSW GROUP: „Insbesondere die Begriffe ,authentisieren‘ und ,authentifizieren‘ werden gern synonym verwendet. Jedoch handelt es sich um verschiedene Prozesse.“ Das Nachweisen der Identität sei das Authentisieren. Bei der Authentifizierung werde der Identitätsnachweis auf Authentizität geprüft. „Und beim Autorisieren handelt es sich um das Gewähren eines Zugangs, nachdem erfolgreich die Identität nachgewiesen wurde“, erläutert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.
Patrycja Schrenk: Beim Autorisieren handelt es sich um das Gewähren eines Zugangs, nachdem erfolgreich die Identität nachgewiesen wurde…
Authentisierung: Aktiver Nachweis der Identität
Nutzer, welche sich gegenüber einem IT-System anmelden möchten, authentisierten sich zunächst, legten also einen Nachweis für ihre Identität vor. Dieser Identitätsnachweis könne auf unterschiedliche Art erfolgen, beispielsweise in Form eines Passworts, eines Musters, einer Passphrase oder einer PIN.
Der Identitätsnachweis könne auch mittels biometrischer Daten wie dem Fingerabdruck erfolgen oder über Informationen, „die ausschließlich die nutzende Person besitzt, etwa digitale Identitäten, Token, Badge, Smartcard oder auch Zertifikate“. Nutzer müssten bei der Authentisierung aktiv handeln und den Beweis erbringen, wirklich zu sein, wer sie zu sein vorgeben. Schrenk: „In der analogen Welt geschieht dies in aller Regel durch Ausweisdokumente, während in der digitalen Welt die oben genannten Wege in Frage kommen.“
Authentifizierung: Überprüfung des Identitätsnachweises
Auf die Authentisierung folge dann die Authentifizierung: Der Identitätsnachweis der Nutzer beim Authentisieren werde in diesem Schritt überprüft. „Übertragen auf das analoge Leben würde in diesem Schritt das Ausweisdokument einer zu authentifizierenden Person auf Echtheit untersucht werden. Eine vertrauenswürdige Instanz verifiziert oder falsifiziert also jene Daten, die Nutzende beim Authentisieren als Identitätsnachweis vorgelegt haben“, so Schrenk. Eine Authentifizierung in der IT funktioniere beispielsweise über den Faktor „Wissen“: Passwörter, PINs, Passphrasen, Muster oder andere geheime Informationen. Auch digitale Authentifizierungen über Besitz, wie Token oder digitale Identität, sowie über Biometrie, also Iris, Fingerabdruck oder Stimme, seien denkbar.
Schrenk führt aus: „Je mehr Faktoren beim Authentifizieren eingesetzt werden, umso sicherer kann ein Anmeldeprozess werden. Es ist vorstellbar, dass Kriminelle einen Faktor, beispielsweise ein Passwort, knacken können. Kommen jedoch ein weiterer oder gar mehrere verschiedene Faktoren hinzu, etwa Iris-Scan und Token, haben es Kriminelle wirklich schwer.“
Autorisierung nach Authentisierung und Authentifizierung: Gewährung bestimmter Rechte
Mit der Authentifizierung ende der Prozess der Anmeldung noch nicht, denn noch müsse der Zugang zu jenen Ressourcen gewährt werden, auf welche nach der erfolgreich nachgewiesenen Identität Zugriff erfolgen dürfe. „Wenn sich jemand mit seiner E-Mail-Adresse, einem Passwort und zusätzlich einem biometrischen Faktor einloggt, dann ist das die Authentisierung, also der Identitätsnachweis.“
Das IT-System prüfe, ob E-Mail-Adresse, Passwort und biometrischer Faktor zusammenpassten – es authentifiziere die Person. Diese sei nun autorisiert, auf bestimmte Daten zuzugreifen. „Aufgrund einer bestehenden Rechteverwaltung sind das aber beispielsweise nur Buchhaltungsdaten und nicht Personaldaten.“
Weitere Informationen unter:
PSW GROUP, Bianca Wellbrock, 14.09.2021
IT-Security / Authentisieren, authentifizieren & autorisieren: Begriffsdefinitionen
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren