Begriffsbestimmungen

Prozesse im Rahmen einer Anmeldung

  • Die Authentisierung ist das Übermitteln Ihrer Zugangsdaten (z. B. Username und Kennwort),
  • die Authentifizierung die Überprüfung dieser Zugangsdaten,
  • die Autorisierung die Berechtigung das angefragte Service zu nutzen.
  • Unter Accounting versteht man das Aufzeichnen, wer das Service wann, wie und von wo genutzt hat,
  • und die Identifizierung verknüpft die Zugangsdaten mit Personen bzw. Identitäten.

Authentisierungstoken

Unter „Token“ versteht man alle Gegenstände, die Informationen zum Zweck der Identifikation und Authentisierung/Authentifizierung erzeugen, speichern und übertragen können.

Man unterscheidet 3 verschiedene Typen:

  • Verbunden
    Hier muss eine bestimmte Hardware an ein Gerät angeschlossen werden.
    Beispiel: Bankmatkarte, die ins Lesegerät eingesteckt wird.
  • Kontaktlos
    Eine Hardwarekomponente muss nahe an ein Gerät herangebracht werden.
    Beispiel: Bankomatkarte mit NFC-Chip.
  • Getrennt
    Eine Hard- oder Softwarekomponente, die entweder einen Code erzeugt oder in der eine Frage bestätigt werden muss.
    Beispiel: Online-Banking und Authentisierung mit App der Bank.

2FA-Methoden für getrennte Token

Es gibt eine Vielzahl von Methoden, u. a.
  • TAN-Listen
    Sollten eigentlich nirgends mehr zum Einsatz kommen.
  • SMS
    Wird inzwischen nur mehr selten eingesetzt, da es hier genügt eine Kopie der SIM-Karte zu bekommen, um zu einem gültigen 2. Faktor zu gelangen.
  • HOTP
    Dabei werden Einmal-Kennwörter (One-Time Passwords → OTP) generiert, die in einer bestimmten Reihenfolge gültig sind, ähnlich den früher verwendeten TAN.
  • TOTP
    Das Kennwort ist nur eine begrenzte Zeit (30/60 Sekunden) lang gültig.
  • Push
    Sie müssen über Ihren 2. Faktor bestätigen, dass Sie sich gerade anmelden. Wird oft zusätzlich abgesichert, indem man ein bestimmtes Auswahlfeld anklicken muss.
  • FIDO2
    Am Gerät bzw. in der Nähe des Geräts, mit dem Sie sich anmelden wollen, muss eine kompatible Hardware vorhanden sein, die für diesen User registriert ist und die die Authentisierung durchführt.
    Im Prinzip also eine Kombination aus Verbunden/Kontaktlos und Getrennt und bietet wohl den höchsten Schutz.

Weitere Begriffe

  • Account
    Unter einem Account wird eine Kombination aus einer Benutzer-ID/einem Benutzernamen und einem Kennwort verstanden. Diese beiden Elemente bilden die sogenannten Zugangsdaten.
  • MFA
    Wenn man den 2. Faktor noch mit einem zusätzlichen Faktor absichert (PIN, Biometrie wie Fingerabdruck oder Gesichtserkennung) spricht man von Multifaktor-Authentisierung.
  • MitM
    Bei einem Man-in-the-Middle-Angriff versucht ein Angreifer Sie auf eine Seite zu locken, die der Seite, die Sie eigentlich aufrufen wollen, nachgebaut wurde.
    Die dort von Ihnen eingegebenen Daten werden dann dazu verwendet sich an Ihrer Stelle im „echten“ System anzumelden, der Angreifer hat dann Zugriff auf Ihre Daten.
    Wenn das innerhalb der Gültigkeitsdauer eines 2. Faktors passiert, schützt Sie auch ein (zeitbasierter) 2. Faktor nicht!
  • MFA Bombing
    Bei Push-Token sendet man so viele Bestätigungen, bis der Zugriff freigegeben wird (auch MFA Fatigue genannt).