Bei der Anmeldung an einer Applikation muss ein Benutzer seine Identität beweisen.
Bei der Authentisierung behauptet ein Benutzer eine bestimmte Person zu sein. Dies geschieht in den meisten Fällen indem er einen Benutzernamen und ein Passwort eingibt.
Ich will meine Steuererklärung auf der E-Government-Plattform „ZHservices“ bearbeiten. Durch die Eingabe meines Benutzernamens und Passwortes behaupte ich, Marcel Suter zu sein.
Bei der Authentifizierung prüft die Applikation die Identität des Benutzers. Zum Beispiel sucht die Applikation in einer User-Tabelle nach einem Datensatz mit dem angegebenen Benutzernamen und Passwort.
ZHservices prüft meinen Benutzernamen und Passwort. Sollten meine Angaben nicht zu einem bekannten User passen, so erhalte ich eine Fehlermeldung.
Die Autorisierung ist die Einräumung von Rechten. Nachdem die Identifizierung einer Person erfolgreich war, bedeutet das noch nicht automatisch, dass diese Person bereitgestellte Daten, Dienste und Leistungen sehen oder nutzen darf. Die Autorisierung entscheidet darüber, welche Berechtigungen und Zugriffsrechte einer Person gewährt werden. Kurz gesagt: Während die Authentifizierung die Identität bestätigt, legt die Autorisierung fest, welche Aktionen oder Ressourcen eine identifizierte Person verwenden darf.
Hat ZHservices meine Identität erfolgreich geprüft, werden mir die entsprechenden Rechte und Funktionen zugeteilt.
Es gibt 3 grundlegende Möglichkeiten die Identität eines Benutzers zu prüfen.
Der Benutzer kennt eine bestimmte Information die nicht allgemein bekannt ist.
Der Benutzer besitzt einen Gegenstand oder eine Schlüssel-Datei.
Nachdem ZHservices meinen Benutzernamen und Passwort geprüft hat, erhalte ich per SMS einen Code auf mein Smartphone. Erst nach Eingabe des korrekten Codes kann ich meine Steuererklärung bearbeiten.
Der Benutzer beweist seine Gegenwart durch ein biometrisches Merkmal.
Beim Speichern und Verarbeiten von biometrischen Merkmalen muss der Datenschutz besonders beachtet werden. Viele dieser Merkmale lassen Rückschlüsse auf Gesundheitszustand und/oder Rassenzugehörigkeit einer Person zu. Sie gelten daher als besonders schützenswerte Daten (DSG Artikel 3 Buchstabe c). Solche Daten dürfen nur mit ausdrücklicher Einwilligung der betroffenen Person erfolgen (DSG Artikel 4 Ziffer 5).
Heutzutage gilt die typische Authentifikation mittels Benutzernamen und Passwort als wenig sicher. Der Benutzername ist in der Regel entweder eine Kombination aus Vor- und Nachnamen oder eine EMail-Adresse. Beides sind Informationen, die problemlos zugänglich sind. Ausserdem verwenden die meisten Benutzer überall die gleichen, einfach zu erratenden Passwörter.
Viele Betreiber von Webservices gehen dazu über, die Authentifikation durch ein weiteres Merkmal zu sichern. Die oben beschriebenen „zhServices“ verwenden eine 2-Faktoren-Authentifizierung indem ein SMS an mein Smartphone geschickt wird. Erst nach Eingabe dieses Codes kann ich die Webservices benutzen.
Für das Login am BZZ setze ich einen Authenticator als zweiten Faktor ein. Dieser besteht aus einer App für das Smartphone, welche in regelmässigen Abständen einen einmal gültigen Code generiert. Bei der Anmeldung muss ich zusätzlich den aktuellen Code eingeben. Auch andere Firmen nutzen eine Smartphone-App als zweiten Faktor.
Siehe auch fido2 und fidoalliance - FIDO2 FIDO2 ist eine Spezifikation für eine starke Authentifizierung mittels eines Hardwaretokens. Dieses Token kann im Gerät integriert sein (Chip im Laptop oder Smartphone) oder als separater Stick vorliegen. Im Gegensatz zu anderen 2-Faktoren-Authentifikationen ermöglicht es FIDO2, eine Authentifikation ohne Passwort zu realisieren. Siehe ct-Artikel vom August 2019.