June 15, 2023

STP039: Authentifizierung und Autorisierung

1 hour 4 minutes

Die Frage, wer wir sind, beschäftigt nicht nur uns selbst, sondern auch alle Anbieter von Diensten aller Art, wenn sie mit Computern zu tun haben. Heute sprechen wir über die Mechanismen, die zur Feststellung einer Person oder ihrer Berechtigungen besonders im Netz verwendet werden.

Shownotes

grundsätzliche Begriffsklärung

Authentifizierung: Nachweis einer behaupteten Eigenschaft einer Entität; hier: der Nachweis der Identität einer Person, eines Gerätes oder eines Prozesses ("Wer ist dieser Benutzer?")

Autorisierung: die Einräumung von Rechten gegenüber einem interessierten Subjekt; hier: das initiale Zuweisen und das wiederholt einleitende Überprüfen von Zugriffsrechten ("Darf dieser Benutzer auf dieses Dokument zugreifen?")

im englischen Sprachgebrauch "authentication" (AuthN) und "authorization" (AuthZ)

AuthN durch einen oder mehrere von drei wesentlichen Arten von Identitätsmerkmalen

Wissen: etwas, dass ich weiß (Passwörter, PINs, etc.)

Besitz: etwas, dass ich habe (Chipkarte, Lichtbildausweis, Mobiltelefon, PC, etc.)

Inhärenz: etwas, dass ich bin (Fingerabdruck, Iris-Abbild, etc.) -> Achtung: Problematisch, weil nicht änderbar!

Multifaktor-Authentifizierung: Wer eines der drei Merkmale gut angreifen kann, kann selten eins der anderen Merkmale gut angreifen.

schlechte Arten von Merkmalen

Magnetstreifenkarte (Besitz-Merkmal): trivial kopierbar -> deswegen heute meist Chipkarten

Chipkarten sind kleine Computer, die sich per Challenge-Response authentisieren können

siehe zum Beispiel ChipTAN

Code per SMS (Besitzfaktor): auf Telefonebene angreifbar durch Malware mit erschlichener SMS-Berechtigung, auf Netzwerkebene angreifbar durch Umleitung der SMS

als Besitzfaktor buchstäblich "besser als nichts"

besser ist eine Authentisierungs-App mit TOTP

zu kreativen Angriffen auf Besitzmerkmale und Biometrie siehe die Vorträge von Starbug

Autorisierungs-Schemata

früher meist Access Control Lists (ACL): jedes Datenobjekt hat eine Liste mit zugriffsberechtigten Benutzerkonten und Gruppen

Beispiel ACL in Unix: Dateisystemeinträge haben rwx-Bits (Lesezugriff, Schreibzugriff, Ausführzugriff) jeweils für das besitzende Benutzerkonto, die besitzende Gruppe und alle Benutzerkonten

heute meist Role-Based Access Control (RBAC) auf der Ebene von semantischen Operationen

Beispiel RBAC in OpenStack: Benutzerkonten oder Benutzergruppen können Rollenzuweisungen erhalten; die Menge der zugewiesenen Rollen bestimmt, welche Aktionen ein Benutzer ausführen kann

Authentisierung im Webkontext: Single Sign-On (SSO) via SAML, OIDC

Idee: Authentisierung bei einem zentralen Identitätsanbieter, dann Verwendung dieser festgestellten Identität in einem Zielsystem

SSO könnte man auch mit LDAP haben, aber SAML/OIDC erlaubt eine Einschränkung, welche Identitätsdaten der autorisierende Dienst vom authentifizierenden Dienst erhält

...more

View all episodes

By Xyrillian Noises