Schlüsseltechnologie

STP039: Authentifizierung und Autorisierung

Listen Later

Die Frage, wer wir sind, beschäftigt nicht nur uns selbst, sondern auch alle Anbieter von Diensten aller Art, wenn sie mit Computern zu tun haben. Heute sprechen wir über die Mechanismen, die zur Feststellung einer Person oder ihrer Berechtigungen besonders im Netz verwendet werden.

Shownotes

  • grundsätzliche Begriffsklärung

    • Authentifizierung: Nachweis einer behaupteten Eigenschaft einer Entität; hier: der Nachweis der Identität einer Person, eines Gerätes oder eines Prozesses ("Wer ist dieser Benutzer?")
    • Autorisierung: die Einräumung von Rechten gegenüber einem interessierten Subjekt; hier: das initiale Zuweisen und das wiederholt einleitende Überprüfen von Zugriffsrechten ("Darf dieser Benutzer auf dieses Dokument zugreifen?")
    • im englischen Sprachgebrauch "authentication" (AuthN) und "authorization" (AuthZ)

    • AuthN durch einen oder mehrere von drei wesentlichen Arten von Identitätsmerkmalen

      • Wissen: etwas, dass ich weiß (Passwörter, PINs, etc.)
      • Besitz: etwas, dass ich habe (Chipkarte, Lichtbildausweis, Mobiltelefon, PC, etc.)
      • Inhärenz: etwas, dass ich bin (Fingerabdruck, Iris-Abbild, etc.) -> Achtung: Problematisch, weil nicht änderbar!
      • Multifaktor-Authentifizierung: Wer eines der drei Merkmale gut angreifen kann, kann selten eins der anderen Merkmale gut angreifen.

      • schlechte Arten von Merkmalen

        • Magnetstreifenkarte (Besitz-Merkmal): trivial kopierbar -> deswegen heute meist Chipkarten
          • Chipkarten sind kleine Computer, die sich per Challenge-Response authentisieren können
          • siehe zum Beispiel ChipTAN
          • Code per SMS (Besitzfaktor): auf Telefonebene angreifbar durch Malware mit erschlichener SMS-Berechtigung, auf Netzwerkebene angreifbar durch Umleitung der SMS
            • als Besitzfaktor buchstäblich "besser als nichts"
            • besser ist eine Authentisierungs-App mit TOTP
            • zu kreativen Angriffen auf Besitzmerkmale und Biometrie siehe die Vorträge von Starbug

            • Autorisierungs-Schemata

              • früher meist Access Control Lists (ACL): jedes Datenobjekt hat eine Liste mit zugriffsberechtigten Benutzerkonten und Gruppen
              • Beispiel ACL in Unix: Dateisystemeinträge haben rwx-Bits (Lesezugriff, Schreibzugriff, Ausführzugriff) jeweils für das besitzende Benutzerkonto, die besitzende Gruppe und alle Benutzerkonten
              • heute meist Role-Based Access Control (RBAC) auf der Ebene von semantischen Operationen
              • Beispiel RBAC in OpenStack: Benutzerkonten oder Benutzergruppen können Rollenzuweisungen erhalten; die Menge der zugewiesenen Rollen bestimmt, welche Aktionen ein Benutzer ausführen kann

              • Authentisierung im Webkontext: Single Sign-On (SSO) via SAML, OIDC

                • Idee: Authentisierung bei einem zentralen Identitätsanbieter, dann Verwendung dieser festgestellten Identität in einem Zielsystem
                • SSO könnte man auch mit LDAP haben, aber SAML/OIDC erlaubt eine Einschränkung, welche Identitätsdaten der autorisierende Dienst vom authentifizierenden Dienst erhält
                  • ...more
                  View all episodesView all episodes
                  Download on the App Store
                  SchlüsseltechnologieBy Xyrillian Noises

                  More shows like Schlüsseltechnologie

                  View all
                  Freak Show by Metaebene Personal Media - Tim Pritlove

                  Freak Show

                  11 Listeners

                  Methodisch inkorrekt! by Methodisch inkorrekt!

                  Methodisch inkorrekt!

                  16 Listeners

                  Lage der Nation - der Politik-Podcast aus Berlin by Philip Banse & Ulf Buermeyer

                  Lage der Nation - der Politik-Podcast aus Berlin

                  228 Listeners

                  c’t uplink - der IT-Podcast aus Nerdistan by c’t Magazin

                  c’t uplink - der IT-Podcast aus Nerdistan

                  9 Listeners

                  Chaosradio by Chaos Computer Club Berlin

                  Chaosradio

                  7 Listeners

                  heiseshow by heise online

                  heiseshow

                  3 Listeners

                  Logbuch:Netzpolitik by Metaebene Personal Media - Tim Pritlove

                  Logbuch:Netzpolitik

                  6 Listeners

                  Jung & Naiv by Tilo Jung

                  Jung & Naiv

                  44 Listeners

                  Holger ruft an by Übermedien

                  Holger ruft an

                  2 Listeners

                  Die Wochendämmerung - Der stabile Wochenrückblick by Katrin Rönicke und Holger Klein (hauseins)

                  Die Wochendämmerung - Der stabile Wochenrückblick

                  14 Listeners

                  Sicherheitshalber by Der Podcast zur sicherheitspolitischen Lage in Deutschland, Europa und der Welt.

                  Sicherheitshalber

                  46 Listeners

                  Bit-Rauschen: Der Prozessor-Podcast von c’t by c't Magazin

                  Bit-Rauschen: Der Prozessor-Podcast von c’t

                  0 Listeners

                  Legion by rbb | NDR | Undone

                  Legion

                  7 Listeners

                  Haken dran – das Social-Media-Update der c't by Gavin Karlmeier

                  Haken dran – das Social-Media-Update der c't

                  2 Listeners

                  Passwort - der Podcast von heise security by Dr. Christopher Kunz, Sylvester Tremmel

                  Passwort - der Podcast von heise security

                  3 Listeners