Authentifizierung im Netzwerk
Authentifizierung im Netzwerk ist ein Vorgang bei dem festgestellt wird, wer eine Person oder eine Maschine ist. Im echten Leben weisen wir uns durch Unterschriften, Pässe und Karten aus. In Netzwerken ist die Authentifizierung durch die räumliche Trennung erschwert. Hier greift man auf asymmetrische Schlüssel, Zertifikate und andere Authentifizierungsmechanismen zurück.
Knackpunkt bei jeder Authentifizierung im Netzwerk ist die Übertragung der Zugangsdaten. Zum Beispiel Benutzername und Passwort. Erfolgt die Übertragung unverschlüsselt, dann kann ein Angreifer die Zugangsdaten abhören und für seine Angriffsversuche missbrauchen.
Im Prinzip ist die Authentifizierung wichtiger als die Verschlüsselung. Denn eine verschlüsselte Kommunikation ist sinnlos, wenn ich nicht sicher sein kann, mit wem ich verbunden bin. Im schlechtesten Fall einige ich mich mit der falschen Gegenstelle auf eine verschlüsselte Kommunikation. Die Daten bekommt dann jemand, der sie nicht bekommen darf.
Im Zusammenhang mit der „Authentifizierung“ tauchen auch häufig die Begriffe "Autorisierung" und „Authentisierung“ auf.
- „Autorisierung“ ist der Vorgang, bei dem ermittelt wird, welche Berechtigung die Person oder Maschine hat und was sie machen darf.
- "Authentifizieren" bzw. "Authentifizierung" würde demnach bedeuten, dass eine elektronische Unterschrift oder Identität beglaubigt bzw. dessen Echtheit bezeugt wird.
- "Authentisieren" bzw. "Authentisierung" würde demnach bedeutet, dass der Nutzer oder Absender seine Identität glaubwürdig machen soll.
In der deutschen Sprache gibt es einen Unterschied zwischen "authentifizieren" und "authentisieren". Im Duden steht dazu folgende Erläuterung:
au|then|ti|fi|zie|ren: die Echtheit bezeugen oder beglaubigen
au|then|ti|sie|ren: glaubwürdig oder rechtsgültig machen
In der Praxis und im allgemeinen Sprachgebrauch wird zwischen beiden Formen jedoch nicht immer unterschieden. Im Allgemeinen spricht man auch dann von Authentifizierung, wenn die Authentisierung gemeint ist. In der englischen Sprache macht man keinen Unterschied zwischen „Authentifizierung“ und „Authentisierung“. Hier heißt es einfach „Authentication“.
Übersicht: Authentifizierung
- Nutzer-Authentifizierung im Internet
- Authentifizierung mit Pre-Shared-Key (Passwort)
- Authentifizierung mit Zertifikat
- Kerberos
- SecurI
Nutzer-Authentifizierung im Internet
Bei der Nutzer-Authentifizierung im Netzwerk geht es darum, dass ein Benutzer, Nutzer oder User persönlich von einem Dienst identifiziert wird, um Zugang zu einem Account, Daten oder Dienst zu erhalten.
Typischerweise erfolgt die Nutzer-Authentifizierung über Benutzername und Passwort. Weil diese Zugangsdaten geklaut werden können, werden Zugänge durch eine 2-Faktor-Authentifizierung gesichert.
Neuere Verfahren kommen ganz ohne Passwort aus und identifizieren den Nutzer anhand des Besitzes eines Geräts.
- Nutzer-Authentifizierung im Internet
- 2FA - Zwei-Faktor-Authentifizierung
- FIDO2 - Fast IDentity Online Version 2
- Passkeys
Authentifizierung mit Pre-Shared-Key (Passwort)
Ein Pre-Shared-Key ist ein Geheimnis, dass vor der Authentifizierung ausgetauscht werden muss. Also beide Seiten der Kommunikation „wissen“ müssen. Es handelt sich dabei um einen unsignierten Schlüssel, der frei wählbar ist.
Damit ein unsignierter Schlüssel ein wenig Sicherheit verspricht, sollte es sich dabei um ein sehr schwer zu erratendes Passwort handeln. In der Regel erreicht man das dadurch, dass das Passwort möglichst viele Stellen lang ist und dass jede Stelle eine große Anzahl unterschiedlicher Zeichen umfassen kann.
Wer das Passwort kennt, bekommt Zugang zu einem gesicherten Netzwerk. Das bedeutet auch, wer ungewollt an das Passwort gelangt, der kann einen fremden Dienst nutzen oder fremde Daten lesen.
Sobald auch nur der Verdacht besteht, dass ein Passwort Dritten bekannt sein könnte, muss es sofort ausgetauscht werden.
Authentifizierung mit Zertifikat
Zertifikate werden nicht nur bei der Authentifizierung, sondern auch bei der gesicherten Übertragung von E-Mails, dem Webseiten-Abruf (SSL/TLS) oder dem Code-Signing verwendet.
Bei der Authentifizierung mit Zertifikaten kommen asymmetrische Verfahren zum Einsatz, die mit einem Schlüsselpaar zur Verschlüsselung oder zum Schlüsselaustausch arbeiten.
Das Schlüsselpaar besteht aus einem öffentlichen Schlüssel, auch Public-Key genannt, und einem geheimen Schlüssel, auch Private-Key genannt. Während der Public-Key zum Beispiel in einem Zertifikat öffentlich gemacht wird, bleibt der Private-Key unter Verschluss.
Bei X.509v3-Zertifikaten wird der öffentliche Schlüssel an eine Identität gekoppelt und durch eine Zertifizierungsstelle bzw. Certification Authority (CA) beglaubigt.
Der Einsatz von Zertifikaten zieht also immer einen hohen Verwaltungsaufwand nach sich. Für eine zertifikatbasierte Authentifizierungsmethode ist eine Organisation und Infrastruktur notwendig, die Zertifikate beantragt, ausstellt und verteilt. Das machen eine oder mehrere Zertifizierungsstellen respektive eine Public Key Infrastructure (PKI).
Software für die Verwaltung von Zertifikaten
- Windows Server
- OpenCA
- TinyCA
- Easy-RA (OpenVPN)
Zero Trust
Zero Trust ist ein Sicherheitskonzept, bei dem generell jedem Netzwerkverkehr, unabhängig von seiner Herkunft, misstraut wird. Teil des Konzepts ist, dass jeder Zugriff einer Zugangskontrolle und jede Verbindung einer Verschlüsselung unterliegt.
Protokolle für die Authentifizierung
- PAP - Password Authentication Protocol
- CHAP - Challenge Handshake Authentication Protocol
- MS-CHAP - Microsoft CHAP
- EAP - Extensible Authentication Protocol
Authentifizierungsverfahren
- Passwort, Pin und Passphrase
- 2FA - Zwei-Faktor-Authentifizierung
- FIDO2
- Passkeys
- IEEE 802.1x / RADIUS
Weitere verwandte Themen:
- NAC - Network Access Control
- WLAN-Authentifizierung
- Grundlagen der Netzwerk-Sicherheit
- Sicherheitskonzepte in der Informations- und Netzwerktechnik
- Wie sicher ist ...?
- Sicherheitsrisiken und Sicherheitslücken in der Netzwerktechnik
Frag Elektronik-Kompendium.de
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Alles was Sie über Kommunikationstechnik wissen müssen.
Kommunikationstechnik-Fibel
Die Kommunikationstechnik-Fibel ist ein Buch über die Grundlagen der Kommunikationstechnik, Übertragungstechnik, Netze, Funktechnik, Mobilfunk, Breitbandtechnik und Voice over IP.