Diskussion:Authentifizierung/Archiv

aus Wikipedia, der freien Enzyklopädie
Letzter Kommentar: vor 18 Jahren von Schluderbacher in Abschnitt Wissen kann immer verraten werden?
Zur Navigation springen Zur Suche springen

Man kann im deutschen heutzutage auch Authentikation sagen. Damit würde man die im Artikel differenzierten Begriffe Authentifizierung und Authentisierung zusammenfassen. Wäre es nicht besser, den Artikel in Authentikation umzubenennen, da es ja hier schließlich um beide Themen geht? --FreeFred 11:37, 12. Aug 2006 (CEST)


  • man ist an einem Ort (Beispiel: ein bestimmter Rechner)

Das ist leider keine Authentisierung! Der Rechner / die Software kann damit die Identität der Person NICHT feststellen (nicht ohne dass nicht vorher eine andere Authentifizierung z.B. an einer Tür gemacht worden wäre).

   * man kann etwas (Beispiel Unterschrift: man kann die Unterschrift, die auf der EC-Karte steht, auch auf den Kassenbon schreiben)

Die Unterschrift ist ein typisches biometrisches Merkmal. Ein Schrift-Sachverständiger kann zwei Unterschriften vergleichen wie ein andere zwei Fingerabdrücke.

=> Es gibt nur drei Authentisierungsarten. Das ist auch das, was in der einschlägigen Fachliteratur zu finden ist.

---

Ich habe die Unterschrift mal ergänzt, besser? Fuzz 14:20, 23. Apr 2005 (CEST)


Recht clever erklärt!

und unter welchen der vier Wege fällt die Handschrift? z.B. die handschriftliche Unterschrift auf der EC Karte?


Geht es in diesem Artikel nicht eher um Autorisierung?
Nach meinem Wissen stellt die Autorisierung nur eine Möglichkeit dar, einen Zugang zu benutzen (z.B. können sich mehrere Benutzer mit einem Passwort autorisieren) (Zuweisung von Rechten).
Die Authentifizierung dient der eineindeutigen Erkennung eines Benutzers (z.B. Unterschrift, DNA-Probe, digitale Unterschrift (unter der Voraussetzung, daß ein Benutzer seine Autorisierung geheim halten kann.)) (Sicherstellung der Identität). -- Helm 20:12, 11. Sep 2004 (CEST)


Inkonsistenz!

[Quelltext bearbeiten]

In der Defintion von "Authentifizierung" steht: "nicht zu verwechseln mit der Authentisierung" während im entsprechenden Eintrag von "Authentisierung" behauptet wird, "auch als Authentifizierung [...] bezeichnet". Was denn nun?

Meines Erachtens sind "Authentifzierung" und "Authentisierung" Synonyme, es gilt also die zweite Definition.

Ich denke, Authentifizierung und Authentisierung sind Synonyme, wobei ich glaube, mich zu erinnern, dass nur eines davon korrektes Deutsch ist. Meines Wissens wird Hauptsächlich der Begriff Authentifizierung verwendet. "nicht zu verwechseln mit der Authentisierung" sollte wahrscheinl. heißen: "nicht zu verwechseln mit der Autorisierung". --Helm 13:48, 20. Okt 2004 (CEST)

Es ist mathematisch schlichtweg unzutreffend, wenn die Kombination verschiedener Klassifizierungsmerkmale (hier: Unterschrift, Fingerabdruck, PIN usw) als generell "besser" behauptet wird. Vielmehr ist auf die statistische Unabhängigkeit und Kombinationsfähigkeit der Merkmale zu achten.

(Authentisierung == Authentifizierung) != Autorisierung

[Quelltext bearbeiten]

Hi,

m. E. ist Authentisierung und Authentifizierung das selbe (vermutlich ist eins davon korrektes Deutsch und das andere nicht) und das Gegenstück dazu ist die Autorisierung. Für mich ist Authentisierung/Authentifizierung die Feststellung der Identität (Hans Müller ist Hans Müller) und Autorisierung die Erlaubnis (Fritz Mayer hat den Schlüssel von Hans Müller, und ist deswegen autorisiert, die Wohnung von Hans Müller zu betreten). Kann das bitte mal jmd. verifizieren bzw. belegen, denn ich glaube, dass der Artikel in seiner momentanen Form schlichtweg falsch ist! --Helm 18:55, 16. Feb 2005 (CET)

Authentifizierung gg. Autorisierung

[Quelltext bearbeiten]

Hi zusammen,

ich wuerde doch gerne mal klären, was der unterschied zw. Autzentifizierung und Autorisierung ist. Nach einigen Diskussionen mit Kollegen ergibt sich für mich folgendes:

  • Authentifizierung ist der Prozeß der Identitätsfeststellung
  • Autorisierung ist das Vergeben einer Erlaubnis.

Ein paar Beispiele aus dem "echten" Leben, um zu verdeutlichen, warum mir dieser Artikel nicht gefällt:

  • Was ist ein authentischer Bayer? Was ist ein autorisierter Bayer?
  • Was ist ein authentischer Reseller? Was ist ein autorisierter Reseller?
  • Vor einem Bierzelt steht ein Security mit einer Namensliste der jmd. nur ins Bierzelt läßt, wenn er eine Einladung hat und auf der Namensliste steht. Ist jmd., der ins Bierzelt darf dann autorisiert oder authentifiziert? (Ist sich der Security wirkl. sicher, daß "Hans Müller" auch "Hans Müller" ist?)

Ist also jmd. mit EC-Karte und PIN am Geldautomaten authentifiziert oder nur autorisiert? --- Nach meiner Auffassung ist er nur autorisiert, da der Automat ja nicht weiß, daß es der echte Kontoinhaber ist. Genau diese Tatsache ist ja das Problem von Betrügereien, es ist leichter sich zu autorisieren als sich zu authentifizieren (und eine 100%ige authentifizierung ist wohl prakt. unmöglich).

---Helm 07:43, 27. Apr 2005 (CEST) ..... Authentifizierung ist doch möglich.....

Ja genau! Doch Authentifizierung in diesem Kontext ist praktisch möglich. Bleiben wir bei dem Bespiel mit der Security vor dem Bierzelt, dann kann die Authentifizierung vorgenommen werden, in dem der Security-Mann die Identität von Herrn "Hans Müller", mit Hilfe seines Personalausweises, verifiziert. Mit diesem Vorgang könnte man der Eventualität aus dem Wege gehen, dass sich ein anderer "Hans Müller" Zutritt zu dem Bierzelt verschafft.

Es könnte z.B. zusätzlich zu dem Namen des Besuchers seine Adresse aufgeführt werden, die durch das vorzeigen des Personalausweises überprüft wird. Stimmt die Adresse auf der Liste mit der im Personalausweis verzeichneten Adresse überein, wird "Hans Müller" der Zutritt gewährt. Somit wird nachgewiesen, dass der richtige "Hans Müller" Zugriff bekommt. Diesen Vorgang der Verifizierung einer Person nennt man Authentifizierung.

Doch Du hast recht.. eine 100%ige Authentifizierung ist in diesem Beispiel schwierig durchzuführen, es würde auf jeden Fall einen hohen Verwaltungsaufwand erfordern. Doch in der Praxis würde die Identität von "Hans Müller" mit Hilfe der Authentifizierung durch ein Passwort bestätigt, in wichtigeren Vorgängen würden gar biometrische Verfahren zum Einsatz kommen...

LG Sandra


Wenn jemand mit EC-Karte und PIN am Geldautomaten steht, ist er noch lange nicht autorisiert!! --FreeFred 11:37, 12. Aug 2006 (CEST)

Gegenüber der Maschine hat er sich autorisiert (durch angabe aller notwendiger Information). Nur authentifiziert wurde er nicht. Agenten in schlechten Filmen autorisieren sich z.B. gegenseitig durch Challenge-Response (Der Frühling ist kalt.-Aber die Vögel fliegen hoch.-Macht aber nichts, Marmalade schmeckt immer.). Danach haben sie sich gegenseitig Autorisiert. Über die jeweilige Authentizität des anderen wissen sie aber nichts. --- Helm 11:18, 13. Aug 2006 (CEST)

Überarbeiten-Baustein gesetzt

[Quelltext bearbeiten]

Die Trennung der Begriffe Authentisierung, Authentifikation, Authentifizierung, Identifizierung, Identifikation, Verifizierung, Verifikation muss genauer durchgeführt werden. Ich selbst muss zugeben, dass das an so vielen Stellen vermischt ist, das ich es selbst nicht absolut sicher trennen kann. --Nerdi ?! 21:23, 6. Mai 2006 (CEST)Beantworten

Ich kümmere mich da mal drum eine bessere Begriffsklärung hinzukriegen. Dafür bin ich mit Deiner Grafik noch nicht ultimativ glücklich. Sie lässt irgendwie erahnen, dass die Kombination von Biometrie und Wissen selten wäre - das ist sie aber nicht! Bei den meisten Fingerprint-Zugangssystemen muss man erst eine PIN eingeben, dann erst den Finger auflegen. Also die drei Kreise sollten m.E. komplett ineinander gehen. Ivyn 17:58, 17. Mai 2006 (CEST)Beantworten

Habe überarbeitet und den Baustein gelöscht. Das Bild ist aber immer noch suboptimal. Ich würde das gerne überarbeiten, habe aber die Quelle nicht. Ich tu das jetzt einstweilen mal raus. Ivyn 23:18, 19. Mai 2006 (CEST)Beantworten

Danke für die Überarbeitung, das ist eine gute Basis. Die Projektdatei des Bildes habe ich hier, ich werde diesen Überschneidungsbereich einmal versuchen einzuarbeiten. ↗ nerdi ¿!  ↗ 15:02, 23. Mai 2006 (CEST)Beantworten

Was sagst du zur neuen Version des Bildes? ↗ nerdi ¿!  ↗ 15:41, 24. Mai 2006 (CEST)Beantworten

Super! Danke! Ivyn 23:06, 2. Jun 2006 (CEST)

Natürlich kommt es in der IT (und sonstwo) häufig vor, dass ein "Ort" (im Sinne von IP-Adresse, Terminal, Rechenzentrum, etc.) die Rechte / Möglichkeiten eines Benutzers bestimmt. Das ist aber keine Authentisierung an sich, da das ganze nur Sinn macht an "Orten" an die nicht alle Leute gelangen können. Und die Methode um zu entscheiden ob Leute an einen Ort gelangen können oder nicht heisst Authentisierung/Autorisierung. In Deinem Besipiel mit der Firma heisst das: Der Zutritt zum Firmengebäude ist z.B. durch Besitz (Firmenausweis) oder eine Biometrie (z.B. Erkennung durch die Dame am Empfang) geschützt. Innerhalb des Gebäudes darfst Du dann mehr, weil Du ja bereits durch eine Authentisierung/Autorisierung durch bist. Wenn Du es durch die Vereinzelungsschleuse und den Beantragungsprozess bis ins Rechenzentrum schaffst, darfst Du dann nochmals mehr.

Der Ort selbst ist aber dabei kein Authentisierungsverfahren sondern lediglich eine Bestätigung dass Du bereits eine bestimmte Authentisierung hinter Dir hast. Von der Argumentation her ist das vergleichbar mit dem Cookie eines Portalsservers. Nach einer erfolgreichen Authentifizierung am Portal bekommst Du ein Cookie, an der Anwendung meldest Du Dich dann mit dem Cookie an. Die Anmeldung per Cookie passt auch nicht in die Kategorisierung. Das ist aber auch korrekt, da auch das Cookie kein eigenes Authentisierungsverfahren ist, sondern lediglich der Nachweis einer bereits anderweitig erfolgten Authentisierung. Und mit dem Ort ist es genauso.

Fazit: Der Ort des Benutzers kann ein wichtiges Kriterium für die Bestimmung seiner Rechte sein, weil ich an bestimmten Orten davon ausgehen kann, dass ein Benutzer an diesen Ort nur nach einer erfolgreichen Authentisierung/Autorisierung gelangen kann. Ein eigenes Authentisierungsverfahren ist er aber nicht.

Hab ich das irgendwie verständlich rübergebracht? Ivyn 00:32, 27. Jun 2006 (CEST)


Ja sehr gut sogar! Es ist vollkommen verständlich! Ich denke dass man den Ort als Wissenskomponente betrachten kann. Durch das WISSEN "WAS kann ich WO" ist der Ort, unabhängig davon wie der Zugang des Orts gesichert ist, erklärt. OK kann ich so akzeptieren! Ich denke man könnte eine kurze Erklärung davon in den Artikel aufnehmen um weiteren Veränderungen des Artikels vorzugreifen.

Wie sieht es beim KÖNNEN (siehe weiter unten) aus? Wie ist das aus eurer Sicht?

Schluderbacher 20:46, 27. Jun 2006 (CEST)


Als Wissenskomponente sehe ich den Ort ehrlich gesagt nicht. Ich sehe den Ort als "Nachweis einer vorhergehenden Authentisierung".

Beispiel Online-Banking: Du gibst Deine PIN (Wissensmerkmal) ein und erhältst ein Cookie. Damit bist Du berechtigt den Kontostand zu sehen. Du machst eine Überweisung und gibst eine TAN ein (Besitzmerkmal). Das Cookie wird geprüft als "Nachweis einer vorhergehenden Authentisierung" ohne dass Du Dein Wissen (die PIN) nochmals eingeben musstest.

Analog mit Ort: Du betrittst das Firmengebäude durch ein Zutrittskontrollsystem mit Deinem Mitarbeiterausweis (Besitz). Damit bist Du berechtigt Faxe zu senden, Kopien zu machen, etc. Du loggst Dich am Netzwerk ein. Der Ort (das Firmengebäude) wird als "Nachweis einer vorhergehenden Authentisierung" benutzt ohne dass Dein Mitarbeiterausweis nochmals am PC gelesen wird und Du erhälst mehr Rechte.

Logischerweise folgt daraus dass ein öffentlicher Ort als "Nachweis einer vorhergehenden Authentisierung" sinnfrei ist. Aber das war eh klar :)

Ach ja: Ich bin mir nicht sicher ob man das Thema so kürzen kann, dass es in den Artikel passt. Wenn sich jemand dran versuchen mag - Gas geben :) Ansonsten sind die Diskussionsseiten genau für sowas da :)

Ivyn 00:29, 29. Jun 2006 (CEST)

Thema Können

[Quelltext bearbeiten]

@Nerdi: Die Unterschrift wird im Wikipedia Artikel über "Biometrie" als biometrisches Merkmal geführt (an dem ich nicht mitgearbeitet habe :)). Wenn Du es hier als "nicht quellenbelegt" rauslöscht, tu es bitte aus Konsistenzgründen auch im Artikel über Biometrie. Da es hier ein Randthema ist gilt es hier m.E. durchaus als belegt, wenn es in einem anderen Wikipedia Artikel der sich mit dem Thema befasst und verlinkt ist angegeben wird.

D.h. mit Deiner Begründung der Löschung gehe ich nicht ganz konform. Mit der Löschung an sich bin ich aber einverstanden - als Beispiele sollten wir im Artikel nur sofort ersichtliche und klare Dinge nehmen. Und dazu gehört die Unterschrift offensichtlich (siehe diese Seite) nicht.

Ivyn 00:36, 29. Jun 2006 (CEST)

Vor- und Nachteile

[Quelltext bearbeiten]

Wissen kann verraten werden??? Dies ist nicht generell so!!!

Richtig ist: Ein Passwort bei welchem die Nachricht zugleich das Geheimnis ist, kann verraten (Abgelauscht, Gesehen, usw.) werden. Es gibt aber die sogenannten Challenge-Response-Verfahren wo nicht das Wissen sondern nur den Beweis, dass man über das Wissen verfügt, übertragen wird!

Ich möchte diesen Punkt löschen oder auf "statische Passwörter" beschränken!!!

Wäre es nicht besser die Vorteile und die Nachteile zu trennen bzw. besser zu strukturieren?

Schluderbacher 22:05, 3. Nov 2006 (CEST)


Wissen kann immer verraten werden?

[Quelltext bearbeiten]

Wissen kann immer verraten werden. Es kann nicht immer abgehört werden (das laeuft aber bei mir eher unter "erraten" - hab ich im Artikel entsprechend geklärt) - aber wenn mein Wissen (also z.B. mein Passwort) die Challenge beantworten kann, dann kann ich das auch verraten (z.B. an meine Sekretärin). Mir fehlt noch ein Beispiel für ein "nicht-verratbares" Wissen - ich glaube nicht dass es da was gibt!

Sätze mit "immer" sind immer suspekt. Eine Situation, in der Wissen nicht verraten werden kann (vorausgesetzt, dass wir unter "verraten" verstehen, dass der Empfänger des Verrats durch diesen Akt der Mitteilung Information gewinnt, ist, wenn bereits alle wissen, was der Verräter weiss. In dem Fall enthüllt der Verräter zwar die Tatsache dass er weiss, aber verrät nicht das Wissen (die Wissensinhalte) selbst. Diese sind vorher schon bekannt. Freilich könnten auch zusätzlich bereits alle wissen, dass der Verräter weiss; in dem Fall enthüllt der Verräter lediglich seine Absicht, zu verraten. Es kann aber in beiden Fällen das Wissen nicht verraten werden. 84.147.231.100 01:31, 22. Nov. 2006 (CET)Beantworten
Deine Argumente sind völlig korrekt, zeigen jedoch nur auf, dass es "bestimmtes" Wissen gibt das nicht (mehr) "verraten" werden kann. Die Tatsache, dass Wissen (wie in Wissenmerkmal) generell freiwillig weitergebbar ist (wie in Verrat) widerlegst Du damit nicht.
Wissen kann nur "verraten" werden wenn die Person an welche das Wissen weitergegeben wird in der Lage ist zu verstehen was mit dem Wissen im Kontext überhaupt gemeint ist. Ein Beispiel: "Ich habe sie definitv gesehen und erkannt!" Dieser Satz enthält Wissen welches für jeden von Euch absolut verständlich und dennoch völlig unbrauchbar ist. Ohne den richtigen Kontext kann es alles mögliche bedeuten. Weiters muss die Person auch die Fähigkeit haben den Wissensinhaber zu verstehen. Ein Gespräch mit einem Japaner der nur Japanisch spricht und die andere Person kann nur Argentinisch wird von gegenseitiger Frustration geprägt sein. Ich denke dies ist schon eine ganze Menge an Voraussetzungen welche gegen ein "immer" sprechen.

Schluderbacher 02:30, 18. Dez. 2006 (CET)Beantworten


BTW: Ein auf einer Platte gespeicherter RSA private Key ohne Passwort ist ein Besitzmerkmal - wer die Platte besitzt hat den Key und merken kann sich den niemand (2048 bit!). Wenn ich den Key mit einem Passwort schütze, dann habe ich eine 2-Faktor Authentisierung mit Wissen und Besitz (der Besitz ist zwar relativ schwach, weil duplizierbar - aber das ist die TAN-Liste auch, die auch als Besitzmerkmal durchgeht) - dementsprechend habe ich die Deine (sehr guten) Erweiterungen der Liste bei "Besitz" etwas relativiert.

Für die Trennung von Vor- und Nachteilen bin ich offen - mein erster Versuch ist daran gescheitert, dass der Vorteil des einen meist ein Nachteil des anderen ist und ich damit massig Redundanzen reinkriege.

Ich freue mich auf die Diskussion ... bin nicht mega-häufig hier werde aber in nächster Zeit öfter vorbeischauen. Ivyn 03:59, 5. Nov. 2006 (CET)Beantworten


Ich sehe hier einen Unterschied zwischen der unfreiwilligen und der freiwilligen Weitergabe von Wissen.

  • Unfreiwillige Weitergabe ist
    • wenn ein statisches Wissen (z.B. ein Passwort) auf dem Weg vom Sender zum Empfänger irgendwo (UND ES GIBT IMMER IRGENDWIE EIN IRGENDWO!!!) :-) gesehen wird
    • oder ein beliebiges Geheimnis ist von seinen Möglichkeiten so eingeschränkt, dass es sich erraten läßt
    • oder ein beliebiges Geheimnis läßt sich durch Tests und Probieren solange prüfen bis das richtige Geheimnis gefunden wird
  • Eine freiwillige Weitergabe fällt für mich eindeutig nicht unter "Verraten" sondern eben unter "Weitergabe". Daher ist Wissen welches NICHT s.o. erratbar, lesbar oder austestbar ist, aus meiner Sicht "nicht zu Verraten".

Zu der Vorteil-Nachteil Einteilung => Ich denke nach, vielleicht fällt mir etwas ein. Schluderbacher 00:15, 8. Nov 2006 (CEST)


Die Unterscheidung "Freiwillige Weitergabe" contra "Unfreiwillige Weitergabe" gefällt mir gut. Ich würde das so in den Artikel einarbeiten - eine Verständnisfrage noch:

Aus meiner Sicht gibt es für jedes Wissensmerkmal beide Möglichkeiten der Weitergabe. Oder fällt Dir ein Gegenbeispiel ein? Ivyn 23:18, 8. Nov. 2006 (CET)Beantworten


Ja habe ich, ein Challenge-Response-Verfahren auf grafischer Basis. Bei diesem Verfahren ist es ab einer bestimmten Sicherheitsstufe nicht möglich sein Wissen zu verraten. Allerdings sollte dies hier nicht einfließen, da ich erstens selbst beruflich an der Entwicklung beteiligt bin und daher nicht objektiv und zweitens wir noch an der Umsetzung arbeiten. Schluderbacher 15:34, 9. Nov 2006 (CEST)