Authentifikation ist ein Identitäts-Beweis gegenüber einer Software, einem Gerät oder einer anderen Person. Dabei ist zwischen einer Authentisierung und einer Authentifizierung zu unterscheiden. Beim Erbringen eines Identitäts-Beweises authentisiert man sich gegenüber einem System, falls es gültig ist, ist man authentifiziert und auch autorisiert.
Man unterscheidet 3 Arten von Authentisierungsverfahren:
- Wissensbasierte Authentifizierung, dabei wird durch die Kenntnis eines Geheimnisses seine behauptete Identität nach. Dazu gezählt werden Passwörter, Passphrases (Sätze als Passwort), Mustersperren und Pins.
- Biometrische Authentifizierung, dabei werden durch die biologischen Eigenschaften des Anmelders seine behauptete Identität nachgewiesen. Dies ist die zukunftsträchtigste Methode da sich die Einzigartigkeit eines jeden Individuums nicht ohne massiven Aufwand kopiert oder umgangen werden kann. Sogar die Usability (Anwenderfreundlichkeit) ist unschlagbar, da das Individuum sich jederzeit dabeihat und sich auch nichts Spezielles merken oder mitnehmen/dabeihaben muss. Man unterscheidet zwischen den physiologischen und behavioralen Charakteristiken. Bei der physiologischen Charakteristik werden die Fingerabdrücke, Irismuster, Stimme, Gesichtszüge und das Venenpattern der Hände. Die behaviorale Charakteristik bezieht sich auf das Verhalten des Individuums, sowie das Tippmuster, Mausbewegungen und erkennbare Bewegungsabläufe. Dies hat auch den Vorteil das der User nur sich selbst sein muss. Als Erkennungsverfahren werden FRR (False Rejection Rate*) und FAR (False Acceptance Rate**) verwendet.
- Besitzbasierte Authentifizierung, dazu gehören Hardware- und Software-Token (Banken TAN-App, Google-Authenticator), One-Time-Password (OTP) Kartenleser mit LCD-Bildschirmen, 2-Faktor-Authentifizierung und Streichlisten und Tabellen.
Ich lasse hier bewusst weitere physische Systeme wie Schlüssel und Wachleute weg. Die rein Wissensbasierte Authentifizierung ist praktisch nicht mehr vorhanden und wird mit einem der beiden anderen Systeme kombiniert. Falls sich bei Dir noch eine rein Wissensbasierte Authentifizierung an Stellen gibt die nicht auch frei zugänglich sein dürfen, solltest Du Dich um eine sicherere Methode kümmern.
*Bei FRR wird aufgrund der fälschlichen Abweisung einer berechtigten Person im Abgleich mit der Datenbasis. Dies kann bei kalten oder verschwitzten Fingern schnell passieren und Du kennst es vielleicht auch vom Smartphone oder Notebook. Hier rechnet man die Falscherkennung einer berechtigten Person durch Authentifizierungsversuche einer berechtigten Person und Multipliziert das Resultat mit 100. Die resultierte Zahl (Prozentwert) sollte möglichst klein sein um eine hohe Gebrauchstauglichkeit zu haben.
**Bei FAR wird aufgrund der fälschlich Berechtigten Rate, dabei wird gemessen wie viele Male eine Übereinstimmung in der Datenbank erkannt wird obwohl die Person nicht berechtigt ist. Diesen Wert teilt man durch die Authentifizierungsversuche einer unberechtigten Person und Multipliziert das Resultat mit 100. Die resultierte Zahl (Prozentwert) sollte möglichst klein sein um eine genügende Erkennung, Zuverlässigkeit und Sicherheit sicherzustellen.