· 

Authentifizierungsverfahren

1. Einführung

Authentifikation bezeichnet den Beweis, den eine Entität (Anwender, Gerät, ...) zum Nachweis einer behaupteten Identität erbringen muss. Der Identitätsbeweis wird gegenüber einem System oder einer Anwendung erbracht. Im Englischen wird hierfür der Begriff „authentication“ verwendet, der auf zwei verschiedene Arten ins Deutsche übersetzt werden kann: Authentisierung und Authentifizierung

  • Authentisierung Durch eine Authentisierung weist ein Anwender gegenüber einem System nach, dass er die Person ist, die er zu sein vorgibt und legt somit einen Identitätsnachweis vor. Die Authentisierung stellt den ersten Schritt zur Identitätsprüfung dar.
  • Authentifizierung Die Authentifizierung ist die Prüfung der behaupteten Authentisierung. In diesem zeitlich auf die Authentisierung folgenden Schritt überprüft das System die vorliegenden Angaben auf ihre Echtheit.

Da die Begriffe Authentisierung und Authentifizierung nur geringfügige Unterschiede aufweisen, werden sie im Folgenden synonym verwendet. Mit einem Authentifizierungsverfahren ist eine Methode gemeint, durch die ein Anwender seine Identität gegenüber einem System beweisen kann. Hierbei wird ein Schlüssel zum Nachweis der behaupteten Identität eingesetzt. Mit dem Schlüsselraum S sind alle möglichen Ausprägungen der Schlüssel gemeint. Man unterscheidet drei verschiedenen Kategorien von Authentifizierungsverfahren.


2. Wissen

Bei der wissensbasierten Authentifizierung weist der Anwender durch die Kenntnis eines bestimmten Geheimnisses seine behauptete Identität nach. Die bekanntesten wissensbasierten Authentifizierungsmethoden sind Personal Identification Numbers (PINs) und Passwörter, wobei Letztere zu den am weitesten verbreiteten Authentifizierungsmethoden gehören. Passphrases und die Mustersperre zählen ebenfalls zu dieser Kategorie.


3. Besitz

Bei der besitzbasierten Authentifizierung weist der Anwender durch ein Hardware oder Software-Token seine behauptete Identität nach. Während die Beschaffung von Hardware-Tokens, die mit einer lebenslang laufenden Batterie ausgestattet sind und ein zufallsgeneriertes One-Time-Password (OTP) auf einem LCD-Bildschirm anzeigen, für einen breiten Rollout mit hohen Kosten verbunden ist, stellen Software-Tokens z. B. innerhalb einer App-Sandbox OTPs zur Verfügung und können ohne den Kauf neuer Hardware auf mobile Endgeräte heruntergeladen werden. Dieses Verfahren ist häufig Teil einer 2FA-Strategie. Die Schlüssel sind die durch die Hardware-/Software-Tokens generierten basierten OTPs.


4. Biometrie

Bei der biometrischen Authentifizierung weist der Anwender durch seine biologischen Eigenschaften die behauptete Identität nach. Diese Verfahrenskategorie wird oft als die „Zukunft der Authentifizierung“ angesehen, da es sich bei dem Schlüssel um einzigartige Eigenschaften handelt, die nicht ohne erheblichen technischen Aufwand übertrag- bzw. nachbildbar sind und somit als sehr sicher gelten. Außerdem bieten sie ein hohes Maß an Usability, da der Anwender kein Geheimnis erinnern oder einen physischen Gegenstand mit sich tragen muss. Bei der biometrischen Authentifizierung wird zwischen den physiologischen und behavioralen Charakteristika unterschieden:

  • Physiologisch Mit physiologischen Charakteristika sind Merkmale wie Fingerabdrücke, Gesichtsstruktur, Stimme, Iris-/Retinamuster oder das Venenpattern der Hände gemeint.
  • Behavioral Behaviorale Charakteristika beziehen sich auf das Verhalten des Anwenders. Hierzu zählen z. B. das Tippverhalten, Mausbewegungen oder die Art, wie ein Smartphone von einem Tisch aufgehoben wird. Ziel ist es, ein Verhaltensprofil des Anwenders bezogen auf seinen Umgang mit den zu schützenden Systemen zu erstellen. Dies hat aus Usability-Sicht betrachtet den Vorteil, dass der Anwender nur „er selbst“ sein und sein Verhalten mit dem im Hintergrund gespeicherten Profil verglichen werden muss.

Als Qualitätsmerkmale für biometrische Authentifizierungsverfahren werden die False Rejection Rate (FRR) und die False Acceptance Rate (FAR) verwendet.

  • FAR Unter der FAR versteht man die Wahrscheinlichkeit, dass ein biometrisches System einer unberechtigten Person Zugang gewährt. Dies geschieht, wenn das eingegebene biometrische Merkmal fälschlicherweise einen Match mit dem in der Datenbank hinterlegten Sample erzeugt. Berechnet wird sie durch folgende Formel:
\( FAR = 100 \cdot\frac{\text{ Anzahl der Erkennungen einer unberechtigten Person }}{\text{ Authentifizierungsversuche einer unberechtigten Person }} \)

Diese Größe hat einen großen Einfluss auf die Sicherheit biometrischer Systeme. Je geringer die FAR ist, desto präziser und sicherer arbeitet das biometrische Authentifizierungssystem.

  • FRR Unter der FRR versteht man die Wahrscheinlichkeit, dass ein biometrisches System einer berechtigten Person den Zugang verweigert. Dies geschieht, wenn das eingegebene biometrische Merkmal des Berechtigten keinen Match mit dem in der Datenbank hinterlegten Sample erzeugt. Berechnet wird sie durch folgende Formel:
\( FRR = 100 \cdot\frac{\text{ Anzahl der Falscherkennungen einer berechtigten Person }}{\text{ Authentifizierungsversuche einer berechtigten Person }} \)

Diese Größe hat einen großen Einfluss auf die Usability biometrischer Authentifizierungssysteme. Je geringer die FRR ist, desto präziser arbeitet das biometrische Authentifizierungssystem.

Mit den beiden Größen FAR und FRR definiert man die sogenannte Equal Error Rate (EER), die genau dann vorliegt, wenn FAR = FRR. Die EER wird ebenfalls als Qualitätskriterium für biometrische Authentifizierungsverfahren angesehen. Je geringer die EER ist, desto präziser arbeitet das biometrische Authentifizierungssystem.