Authentifizierung und Zugriffskontrolle
Authentifizierung überprüft, wer eine Partei ist, und die Zugriffskontrolle entscheidet, was diese Partei tun darf; zusammen sind sie die Gatekeeper, die die Sicherheitsrichtlinien in jedem Mehrbenutzersystem durchsetzen.
Definition
Authentifizierung ist der Prozess, Vertrauen in eine beanspruchte Identität herzustellen, während Zugriffskontrolle die Durchsetzung von Regeln ist, die bestimmen, welche authentifizierten Subjekte welche Operationen an welchen Ressourcen durchführen dürfen.
Scope
Dieses Thema behandelt die Identitätsprüfung (Passwörter, Multi-Faktor-Authentifizierung, Biometrie, kryptografische Anmeldeinformationen, Single Sign-On) sowie die Modelle und Mechanismen zur Autorisierung (Zugriffskontrolllisten, Capabilities, rollenbasierte und attributbasierte Zugriffskontrolle, das Prinzip der geringsten Rechte). Es befasst sich mit föderierten Identitäten und Protokollen wie OAuth und SAML. Ausgenommen sind die kryptografischen Primitive, die den Anmeldeinformationen zugrunde liegen, und die Netzwerk-Layer-Kontrollen, die unter Netzwerksicherheit behandelt werden.
Core questions
- Wie kann ein System zuverlässig überprüfen, dass eine Partei diejenige ist, die sie vorgibt zu sein?
- Welche Kompromisse gibt es zwischen den Authentifizierungsfaktoren Wissen, Besitz und Inhärenz?
- Wie drücken und erzwingen Zugriffskontrollmodelle (DAC, MAC, RBAC, ABAC) Richtlinien?
- Wie wird das Prinzip der geringsten Rechte in der Praxis angewendet?
- Wie wird die Identität über Organisationen hinweg mittels Single Sign-On föderiert?
Key concepts
- Authentifizierungsfaktoren
- Multi-Faktor-Authentifizierung
- Passwörter und Speicherung von Anmeldeinformationen
- Biometrie
- Zugriffskontrolllisten und Capabilities
- rollenbasierte Zugriffskontrolle (RBAC)
- attributbasierte Zugriffskontrolle (ABAC)
- geringste Rechte
- Single Sign-On und föderierte Identität
Key theories
- Authentifizierungsfaktoren und Multi-Faktor-Authentifizierung
- Die Identität wird durch etwas, das man weiß (Passwort), hat (Token oder Telefon) oder ist (Biometrie), überprüft; die Kombination unabhängiger Faktoren erhöht die Hürde gegen den Diebstahl von Anmeldeinformationen erheblich, da die Kompromittierung eines Faktors nicht ausreicht.
- Zugriffskontrollmodelle und geringste Rechte
- Die Autorisierung wird durch Modelle strukturiert – diskretionäre und obligatorische Zugriffskontrolle, rollenbasiert (RBAC) und attributbasiert (ABAC) –, die, geleitet vom Prinzip der geringsten Rechte, jedem Subjekt nur die benötigten Rechte gewähren und so den Schaden einer Kompromittierung begrenzen.
Mechanisms
Authentifizierungsmechanismen überprüfen einen Faktor: den Vergleich eines gesalzenen Passwort-Hashs, die Validierung eines Einmalcodes oder einer Hardware-Token-Signatur oder den Abgleich einer biometrischen Vorlage. Kryptografische Authentifizierung (Public-Key-Zertifikate, FIDO2/WebAuthn) beweist den Besitz eines privaten Schlüssels, ohne ein Geheimnis zu senden. Die Autorisierung konsultiert dann eine Richtlinie: Zugriffskontrolllisten weisen Ressourcen Berechtigungen zu, Capabilities weisen sie Subjekten zu, und RBAC/ABAC berechnen Entscheidungen aus Rollen oder Attributen. Föderierte Identitätsprotokolle (OAuth, OIDC, SAML) ermöglichen es einem Anbieter, für einen Benutzer gegenüber vielen Diensten zu bürgen.
Clinical relevance
Authentifizierung und Zugriffskontrolle sind die Bereiche, in denen die meisten realen Angriffe erfolgreich sind oder scheitern: Gestohlene oder phishable Passwörter verursachen die Mehrheit der Sicherheitsverletzungen, weshalb Multi-Faktor-Authentifizierung und Phishing-resistente Passkeys (WebAuthn) heute dringend empfohlen werden. RBAC regelt Berechtigungen in Unternehmen und Cloud-Plattformen, und Single Sign-On (Google-, Microsoft-Logins) prägt die alltägliche Benutzererfahrung und ihre Sicherheitsrisiken.
Evidence & guidelines
NIST SP 800-63 (Digital Identity Guidelines) definiert Authentifizierungs-Sicherheitsstufen und moderne Passwortrichtlinien (die Länge und die Überprüfung auf Sicherheitsverletzungen gegenüber erzwungener Komplexität bevorzugen). RBAC ist als INCITS 359 standardisiert, und FIDO2/WebAuthn bietet Phishing-resistente Authentifizierung. OAuth 2.0 (RFC 6749) und OpenID Connect standardisieren föderierte Autorisierung und Authentifizierung.
History
Die Zugriffskontrolle reicht bis zu frühen Time-Sharing-Systemen zurück, wobei Lampsons Zugriffskontrollmatrix und das Bell-LaPadula-Modell sie in den 1970er Jahren formalisierten. Die rollenbasierte Zugriffskontrolle wurde 1996 von Sandhu und Kollegen formalisiert und wurde zum Unternehmensstandard. Die Authentifizierung entwickelte sich von Passwörtern über Hardware-Token und Einmalpasswörter zu den heutigen Multi-Faktor- und Phishing-resistenten Passkeys, während föderierte Identität (SAML, dann OAuth/OIDC) Single Sign-On im Web-Maßstab ermöglichte.
Key figures
- Ravi Sandhu
- Ross Anderson
- Jerome Saltzer
- Butler Lampson
- Roger Needham
Related topics
Seminal works
- anderson2020
- sandhu1996
- saltzer1975
Frequently asked questions
- Warum wird Multi-Faktor-Authentifizierung so dringend empfohlen?
- Passwörter allein werden routinemäßig durch Phishing, Wiederverwendung und Datenbankverletzungen gestohlen. Die Anforderung eines zweiten, unabhängigen Faktors (ein Gerät oder Biometrie) bedeutet, dass ein gestohlenes Passwort nicht ausreicht, um sich anzumelden, was die große Mehrheit der Kontoübernahmeangriffe blockiert.
- Was ist der Unterschied zwischen RBAC und ABAC?
- Die rollenbasierte Zugriffskontrolle (RBAC) gewährt Berechtigungen über Rollen, die Benutzern zugewiesen werden, was einfach zu verwalten ist. Die attributbasierte Zugriffskontrolle (ABAC) trifft Entscheidungen anhand von Attributen des Benutzers, der Ressource und des Kontexts (wie Zeit oder Ort), was feinere, dynamische Richtlinien auf Kosten einer höheren Komplexität ermöglicht.