Das passiert jedem von uns jeden Tag. Wir werden ständig von verschiedenen Systemen identifiziert, authentifiziert und autorisiert. Und doch verwechseln viele Menschen die Bedeutungen dieser Worte, indem sie oft die Begriffe Identifikation oder Autorisierung verwenden, obwohl sie in Wirklichkeit von Authentifizierung sprechen.
Das ist keine große Sache, solange es nur ein alltägliches Gespräch ist und beide Seiten verstehen, worüber sie reden. Es ist jedoch immer besser, die Bedeutung der Wörter zu kennen, die man verwendet. Früher oder später wird man auf jemanden treffen, der einen mit Erklärungen und ob es nun um Autorisierung oder Authentifizierung geht oder nicht, dies und das usw.
Was bedeuten also die Begriffe Identifikation, Authentifizierung und Autorisierung und wie unterscheiden sich die Prozesse voneinander? Fragen wir zunächst einmal Wikipedia:
- „Identifikation ist die Feststellung der Identität eines Objekts oder einer Person.“
- „Authentifizierung ist der Akt des Nachweises […] der Identität eines Computersystem-Benutzers“ (z.B. durch den Vergleich des eingegebenen Passwortes mit dem in der Datenbank gespeicherten Passwort).“
- „DieAutorisierung […] gewährt nach der Prüfung die Zugangsrechte/Privilegien zu Ressourcen“.
Die Verwechslungsgefahr verständlich, wenn man mit den Konzepten nicht wirklich vertraut ist.
Identifikation, Authentifikation, und Autorisierung anhand Waschbären erklärt
Der Einfachheit halber gehen wir vom folgenden Beispiel aus: Nehmen wir an, ein Nutzer möchte sich in sein Google-Konto einloggen. Google eignet sich gut als Beispiel, da der Anmeldevorgang sauber in mehrere grundlegende Schritte unterteilt ist:
- Zuerst fragt das System nach einem Login. Der Benutzer gibt seinen Login-Namen (hier die E-Mail-Adresse) ein und System erkennt den Account. Hierbei handelt es sich um die Identifikation.
- Danach fragt Google den Nutzer nach einem Passwort. Durch das Eingeben des Passworts, das hier als Nachweis dient, authentisiert sich der Nutzer. Das eingegebene Passwort wird von Google darauffolgend mit der Datenbank abgeglichen. Stimmt es mit dem gespeicherten Daten überein, weiß das System, dass der Nutzer möglicherweise der Besitzer des Kontos ist. Das ist die sogenannte Authentifizierung.
- In den meisten Fällen fragt Google dann auch nach einem einmaligen Verifizierungscode (SMS oder Authentifizierungs-App). Wenn der Nutzer auch diesen korrekt eingibt, ist das System schließlich zu 100% sicher, die eingeloggte Person tatsächlich der Eigentümer des Kontos ist. Dies ist Zwei-Faktor-Authentifizierung.
- Schließlich gibt das System dem Benutzer das Recht, Nachrichten in seinem Posteingang und dergleichen zu lesen. Dies ist Autorisierung.
Eine Authentifizierung ohne vorherige Identifizierung macht keinen Sinn. Es wäre nämlich sinnlos, mit der Überprüfung zu beginnen, bevor das System nicht weiß, wessen Authentizität zu überprüfen ist. Man muss sich zunächst dem Gegenüber vorstellen.
Genauso wäre eine Identifizierung ohne Authentifizierung albern. Jeder könnte x-beliebige Login-Daten verwenden, die in der Datenbank existieren. Das System würde vielleicht weiterhin ein Passwort verlangen, aber jemand könnte heimlich einen Blick auf das Passwort werfen oder es einfach erraten. Deshalb ist es sicherer, wenn der Authentifizierungsprozess nach weiteren Beweisen zu fragt, die nur der wirkliche Benutzer haben kann, wie zum Beispiel einen einmaligen Verifizierungscode.
Dagegen ist eine Autorisierung ohne Identifizierung, geschweige denn Authentifizierung, durchaus möglich. Beispielsweise können Sie Ihr Dokument in Google Drive öffentlich zugänglich machen, so dass es für jeden zugänglich ist. In diesem Fall sehen Sie möglicherweise einen Hinweis, dass Ihr Dokument von einem anonymen Waschbären eingesehen wird. Auch wenn der Waschbär anonym ist, hat das System ihn autorisiert, also ihm das Recht gewährt, das Dokument zu lesen.
Hätten Sie jedoch nur bestimmten Benutzern das Leserecht erteilt, hätte sich der Waschbär (durch Angabe seines Logins) identifizieren und (durch die Angabe des Passworts und Verifizierungscodes) authentisieren müssen. Das System würde darauffolgend den Nutzer (anhand des Abgleichs und Überprüfung der Angaben mit der Datenbank) authentifiziert und den Waschbär autorisiert (um das Dokument zu lesen).
Wenn es darum geht, den Inhalt Ihres Posteingangs zu lesen, wird Google niemals einen anonymen Waschbären autorisieren. Der Waschbär müsste sich dann mit Ihrem Login und Passwort als Sie ausgeben und wäre dann kein anonymer Waschbär mehr, da Google ihn als Sie autorisieren würde.
Jetzt wissen Sie also, inwiefern sich Identifikation von Authentifizierung und Autorisierung unterscheidet. Noch ein wichtiger Punkt: Die Authentifizierung ist vielleicht der wichtigste Prozess im Hinblick auf die Sicherheit Ihres Kontos. Wenn Sie zur Authentifizierung ein schwaches Passwort verwenden, könnte ein Waschbär Ihr Konto knacken. Deshalb empfehlen wir:
- Die Nutzung von starken und einzigartigen Passwörtern für alle Accounts, die Sie besitzen.
- Wenn Sie Schwierigkeiten haben, sich an Ihre Passwörter zu erinnern, steht Ihnen ein [KPM PLACEHOLDER]Passwort-Manager[/KPM PLACEHOLDER] zur Seite. Er kann Ihnen auch beim Generieren von Passwörtern helfen.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung mit einmaligen Verifizierungscodes per SMS oder einer 2FA-Anwendung für jeden Dienst, der sie unterstützt. Andernfalls kann ein anonymer Waschbär, der Ihr Passwort in seine Pfoten bekommen hat, Ihre Post durchstöbern oder etwas noch Böseres tun.