Schlüsseltechnologie

STP039: Authentifizierung und Autorisierung

Listen Later

Die Frage, wer wir sind, beschäftigt nicht nur uns selbst, sondern auch alle Anbieter von Diensten aller Art, wenn sie mit Computern zu tun haben. Heute sprechen wir über die Mechanismen, die zur Feststellung einer Person oder ihrer Berechtigungen besonders im Netz verwendet werden.

Shownotes

  • grundsätzliche Begriffsklärung

    • Authentifizierung: Nachweis einer behaupteten Eigenschaft einer Entität; hier: der Nachweis der Identität einer Person, eines Gerätes oder eines Prozesses ("Wer ist dieser Benutzer?")
    • Autorisierung: die Einräumung von Rechten gegenüber einem interessierten Subjekt; hier: das initiale Zuweisen und das wiederholt einleitende Überprüfen von Zugriffsrechten ("Darf dieser Benutzer auf dieses Dokument zugreifen?")
    • im englischen Sprachgebrauch "authentication" (AuthN) und "authorization" (AuthZ)

    • AuthN durch einen oder mehrere von drei wesentlichen Arten von Identitätsmerkmalen

      • Wissen: etwas, dass ich weiß (Passwörter, PINs, etc.)
      • Besitz: etwas, dass ich habe (Chipkarte, Lichtbildausweis, Mobiltelefon, PC, etc.)
      • Inhärenz: etwas, dass ich bin (Fingerabdruck, Iris-Abbild, etc.) -> Achtung: Problematisch, weil nicht änderbar!
      • Multifaktor-Authentifizierung: Wer eines der drei Merkmale gut angreifen kann, kann selten eins der anderen Merkmale gut angreifen.

      • schlechte Arten von Merkmalen

        • Magnetstreifenkarte (Besitz-Merkmal): trivial kopierbar -> deswegen heute meist Chipkarten
          • Chipkarten sind kleine Computer, die sich per Challenge-Response authentisieren können
          • siehe zum Beispiel ChipTAN
          • Code per SMS (Besitzfaktor): auf Telefonebene angreifbar durch Malware mit erschlichener SMS-Berechtigung, auf Netzwerkebene angreifbar durch Umleitung der SMS
            • als Besitzfaktor buchstäblich "besser als nichts"
            • besser ist eine Authentisierungs-App mit TOTP
            • zu kreativen Angriffen auf Besitzmerkmale und Biometrie siehe die Vorträge von Starbug

            • Autorisierungs-Schemata

              • früher meist Access Control Lists (ACL): jedes Datenobjekt hat eine Liste mit zugriffsberechtigten Benutzerkonten und Gruppen
              • Beispiel ACL in Unix: Dateisystemeinträge haben rwx-Bits (Lesezugriff, Schreibzugriff, Ausführzugriff) jeweils für das besitzende Benutzerkonto, die besitzende Gruppe und alle Benutzerkonten
              • heute meist Role-Based Access Control (RBAC) auf der Ebene von semantischen Operationen
              • Beispiel RBAC in OpenStack: Benutzerkonten oder Benutzergruppen können Rollenzuweisungen erhalten; die Menge der zugewiesenen Rollen bestimmt, welche Aktionen ein Benutzer ausführen kann

              • Authentisierung im Webkontext: Single Sign-On (SSO) via SAML, OIDC

                • Idee: Authentisierung bei einem zentralen Identitätsanbieter, dann Verwendung dieser festgestellten Identität in einem Zielsystem
                • SSO könnte man auch mit LDAP haben, aber SAML/OIDC erlaubt eine Einschränkung, welche Identitätsdaten der autorisierende Dienst vom authentifizierenden Dienst erhält
                  • ...more
                  View all episodesView all episodes
                  Download on the App Store
                  SchlüsseltechnologieBy Xyrillian Noises

                  More shows like Schlüsseltechnologie

                  View all
                  Bits und so by Undsoversum GmbH

                  Bits und so

                  25 Listeners

                  WRINT: Wer redet ist nicht tot by Holger Klein

                  WRINT: Wer redet ist nicht tot

                  15 Listeners

                  Methodisch inkorrekt! by Methodisch inkorrekt!

                  Methodisch inkorrekt!

                  13 Listeners

                  Apfelfunk by Malte Kirchner & Jean-Claude Frick

                  Apfelfunk

                  8 Listeners

                  Das Wissen | SWR by SWR

                  Das Wissen | SWR

                  113 Listeners

                  c’t uplink - der IT-Podcast aus Nerdistan by c’t Magazin

                  c’t uplink - der IT-Podcast aus Nerdistan

                  6 Listeners

                  Stay Forever - Retrogames & Technik by Stay Forever Team

                  Stay Forever - Retrogames & Technik

                  34 Listeners

                  Logbuch:Netzpolitik by Metaebene Personal Media - Tim Pritlove

                  Logbuch:Netzpolitik

                  5 Listeners

                  Computer und Kommunikation by Deutschlandfunk

                  Computer und Kommunikation

                  10 Listeners

                  Der KI-Podcast by ARD

                  Der KI-Podcast

                  12 Listeners

                  KI-Update – ein heise-Podcast by Isabel Grünewald, heise online

                  KI-Update – ein heise-Podcast

                  2 Listeners

                  Passwort - der Podcast von heise security by Dr. Christopher Kunz, Sylvester Tremmel

                  Passwort - der Podcast von heise security

                  3 Listeners

                  Geschichten aus der Mathematik by detektor.fm – Das Podcast-Radio

                  Geschichten aus der Mathematik

                  2 Listeners

                  UNFASSBAR – ein Simplicissimus Podcast by Simplicissimus

                  UNFASSBAR – ein Simplicissimus Podcast

                  25 Listeners

                  Darknet Diaries Deutsch by heise online

                  Darknet Diaries Deutsch

                  0 Listeners