Authentifizierung im Netzwerk
Authentifizierung im Netzwerk ist ein Vorgang bei dem festgestellt wird, wer eine Person oder eine Maschine ist. Im echten Leben weisen wir uns durch Unterschriften, Pässe und Karten aus. In Netzwerken ist die Authentifizierung durch die räumliche Trennung erschwert. Hier greift man auf asymmetrische Schlüssel, Zertifikate und andere Authentifizierungsmechanismen zurück.
Knackpunkt bei jeder Authentifizierung im Netzwerk ist die Übertragung der Zugangsdaten. Zum Beispiel Benutzername und Passwort. Erfolgt die Übertragung unverschlüsselt, dann kann ein Angreifer die Zugangsdaten abhören und für seine Angriffsversuche missbrauchen.
Im Prinzip ist die Authentifizierung wichtiger als die Verschlüsselung. Denn eine verschlüsselte Kommunikation ist sinnlos, wenn ich nicht sicher sein kann, mit wem ich verbunden bin. Im schlechtesten Fall einige ich mich mit der falschen Gegenstelle auf eine verschlüsselte Kommunikation. Die Daten bekommt dann jemand, der sie nicht bekommen darf.
Im Zusammenhang mit der „Authentifizierung“ tauchen auch häufig die Begriffe "Autorisierung" und „Authentisierung“ auf.
- „Autorisierung“ ist der Vorgang, bei dem ermittelt wird, welche Berechtigung die Person oder Maschine hat und was sie machen darf.
- "Authentifizieren" bzw. "Authentifizierung" würde demnach bedeuten, dass eine elektronische Unterschrift oder Identität beglaubigt bzw. dessen Echtheit bezeugt wird.
- "Authentisieren" bzw. "Authentisierung" würde demnach bedeutet, dass der Nutzer oder Absender seine Identität glaubwürdig machen soll.
In der deutschen Sprache gibt es einen Unterschied zwischen "authentifizieren" und "authentisieren". Im Duden steht dazu folgende Erläuterung:
au|then|ti|fi|zie|ren: die Echtheit bezeugen oder beglaubigen
au|then|ti|sie|ren: glaubwürdig oder rechtsgültig machen
In der Praxis und im allgemeinen Sprachgebrauch wird zwischen beiden Formen jedoch nicht immer unterschieden. Im Allgemeinen spricht man auch dann von Authentifizierung, wenn die Authentisierung gemeint ist. In der englischen Sprache macht man keinen Unterschied zwischen „Authentifizierung“ und „Authentisierung“. Hier heißt es einfach „Authentication“.
Übersicht: Authentifizierung
- Authentifizierung mit Pre-Shared-Key (Passwort)
- Authentifizierung mit Benutzername und Passwort
- Zwei-Faktor-Authentifizierung (2FA)
- Authentifizierung mit Zertifikat
- Kerberos
- SecurI
Authentifizierung mit Pre-Shared-Key (Passwort)
Ein Pre-Shared-Key ist ein symmetrischer Schlüssel, der vor einer Verbindungsaufnahme ausgetauscht werden muss. Es handelt sich dabei um einen unsignierten Schlüssel, der frei wählbar ist.
Damit ein unsignierter Schlüssel ein wenig Sicherheit verspricht, sollte es sich dabei um ein sehr schwer zu erratendes Passwort handeln. In der Regel erreicht man das dadurch, dass das Passwort möglichst viele Stellen lang ist und dass jede Stelle eine große Anzahl unterschiedlicher Zeichen umfassen kann.
Wer den Schlüssel oder das Passwort kennt, bekommt Zugang zu einem gesicherten Netzwerk oder die Daten einer verschlüsselten Verbindung. Das bedeutet auch, wer ungewollt an den Schlüssel gelangt, der kann auch eine Verbindung belauschen. Sobald auch nur der Verdacht besteht, dass der Schlüssel Dritten bekannt sein könnte, muss er ausgetauscht werden.
Sicherer ist der Einsatz von Zertifikaten, weil man in Kombination mit asymmetrischen Verfahren einen unsignierten Schlüssel sicher austauschen kann.
Authentifizierung mit Benutzername und Passwort
Eine personenbezogene Authentifizierung erfolgt meist mit Benutzername und Passwort. Dazu ist ein beliebiger Benutzername, oft auch eine E-Mail-Adresse, mit einem logischen Account verknüpft. Der betreffende Account ist dann mit einem Passwort verknüpft, dass der Benutzer oder Inhaber des Accounts selber festgelegt hat. Das Passwort muss geheim bleiben.
Zwei-Faktor-Authentifizierung (2FA)
Bei der Zwei-Faktor-Authentifizierung bzw. Two-Factor-Authentication handelt es sich im Prinzip um die Authentifizierung mit Benutzername, Passwort und einem zweiten Faktor. Der erste Faktor ist in der Regel das Passwort. Der Benutzername ist kein Faktor, weil es sich dabei um eine personenbezogene Kennung handelt, die oft bekannt ist. Zum Beispiel ein Name, eine E-Mail-Adresse, eine Telefonnummer und so weiter.
Authentifizierung mit Zertifikat
Zertifikate werden nicht nur bei der Authentifizierung, sondern auch bei der gesicherten Übertragung von E-Mails, dem Webseiten-Abruf (SSL/TLS) oder dem Code-Signing verwendet.
Bei der Authentifizierung mit Zertifikaten kommen asymmetrische Verfahren zum Einsatz, die mit einem Schlüsselpaar zur Verschlüsselung oder zum Schlüsselaustausch arbeiten.
Das Schlüsselpaar besteht aus einem öffentlichen Schlüssel, auch Public-Key genannt, und einem geheimen Schlüssel, auch Private-Key genannt. Während der Public-Key zum Beispiel in einem Zertifikat öffentlich gemacht wird, bleibt der Private-Key unter Verschluss.
Bei X.509v3-Zertifikaten wird der öffentliche Schlüssel an eine Identität gekoppelt und durch eine Zertifizierungsstelle bzw. Certification Authority (CA) beglaubigt.
Der Einsatz von Zertifikaten zieht also immer einen hohen Verwaltungsaufwand nach sich. Für eine zertifikatbasierte Authentifizierungsmethode ist eine Organisation und Infrastruktur notwendig, die Zertifikate beantragt, ausstellt und verteilt. Das machen eine oder mehrere Zertifizierungsstellen respektive eine Public Key Infrastructure (PKI).
Software für die Verwaltung von Zertifikaten
- Windows Server
- OpenCA
- TinyCA
- Easy-RA (OpenVPN)
Zero Trust
Zero Trust ist ein Sicherheitskonzept, bei dem generell jedem Netzwerkverkehr, unabhängig von seiner Herkunft, misstraut wird. Teil des Konzepts ist, dass jeder Zugriff einer Zugangskontrolle und jede Verbindung einer Verschlüsselung unterliegt.
Protokolle für die Authentifizierung
- PAP - Password Authentication Protocol
- CHAP - Challenge Handshake Authentication Protocol
- MS-CHAP - Microsoft CHAP
- EAP - Extensible Authentication Protocol
Authentifizierungsverfahren
Weitere verwandte Themen:
- NAC - Network Access Control
- WLAN-Authentifizierung
- Grundlagen der Netzwerk-Sicherheit
- Sicherheitskonzepte in der Informations- und Netzwerktechnik
- Wie sicher ist ...?
- Sicherheitsrisiken und Sicherheitslücken in der Netzwerktechnik
Teilen
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Alles was Sie über Kommunikationstechnik wissen müssen.
Kommunikationstechnik-Fibel
Die Kommunikationstechnik-Fibel ist ein Buch über die Grundlagen der Kommunikationstechnik, Übertragungstechnik, Netze, Funktechnik, Mobilfunk, Breitbandtechnik und Voice over IP.