Identität?
Wer jemand ist
Authentisierung (authentication) vs. Authentifizierung (authentication) vs. Autorisierung (authorization)
Authentisierung: Voralge eines Nachweises zur Identifikation
Authentifizierung: Überprüfung eines Nachweises zur Identifikation
Autorisierung: Überprüfung, ob ein Person für die Nutzung / den Zugang zu einer IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist
Zutritt vs. Zugang vs. Zugriff
Zutritt: Betreten von abgegrenzten Bereichen wie z.B. Räumen oder geschützten Arealen in einem Gelände
Zugang: Nutzung von IT-Systemen, System-Komponenten und Netzen
Zugriff: Nutzung von Informationen bzw. Daten
Gründe für Authentisierung / Authentifizierung
Nachweis der Identität
Voraussetzung für Kontrolle des Zutritts, Zugangs und Zugriffs
Nachweis Zurechenbarkeit/ Verantwortlichkeit
=> Herstellung von Vertrauen zwischen 2 Kommunikationspartnern
Herausforderungen der Authentisierung
■ Valider Zutritt/Zugang soll einfach möglich sein
■ Unberechtigte sollen zuverlässig vom Zugang abgehalten werden
■ → Angreifer:innen reicht u.U. ein einzelner Account
Methoden der Authentisierung?
Wissen (Pins, textuelle Passwörter, etc.)
Besitz (Tokens, Chipkarten, etc.)
Biometrische Merkmale (Gesicht, Fingerabdruch, Stimme, etc.)
Beispiele für schlechte Passwörter?
Familie
Stars
Username = Passwort
Beispiele für Passwörter Angriffe
Raten, Default-Passwörter
Brute Force
Wörterbuch-Attacken
Rainbow Tables
Social Engineerin
Sniffing
Abwehrmethoden zu Passwörter Angriffen
Sichere (verschlüsselte) Speicherung von Passwörter vom System
User-Training
Passwort Wechsel bei Verdacht auf Security Incidents
Fehlanmeldungen/ letzte Anmeldung anzeigen
2-Faktor / Multifaktor-Authetifizierung
Kombination von Methoden (2 oder mehr(
FIDO2?
Fast IDentity Online 2
Passkeys?
Bei einem Passkey handelt es sich um ein kryptografisches Element, dass für dich unsichtbar ist und anstelle von Passwörtern verwendet wird.
Zugriffskontrollstrategie?
Regelwerk, das besagt was erlaubt oder nicht erlaubt ist.
Zugriffskontrollmodell?
Formalismus, um eine Zugriffskontrollstragie zu beschreiben
Objekt?
Subjekt?
Zugriffsoperation?
Zugriffsrecht?
Schutzdomäne?
Zugriffsmonitor?
Objekt: Passiver, zu schützender Informationsträger
Subjekt: Aktive Elemente, die im Auftrag von Anwendern Zugriffe auf Informationen erfüllt
Zugriffsoperation: Art, um auf ein Objekt zuzugreifen (read, write, execute, …)
Zugriffsrecht: Rechte für Zugriffe auf Dateien, Datenträge, Prozesse, etc.
Schutzdomäne: Gruppierung von identischen Zugriffsrechten
Zugriffsmonitor: Setzt Zugriffskontrollstrategie durch
Wie lautet die Funtion f des Grundmodells der Autorisierung?
f
f(s;o;a)
s - Menge aller Subjekte
o - Menge aller Objekte
a - Menge aller möglichen Zugriffsarten
Zugriffsmatrix?
Wie können Subjekte gruppiert werden?
Eigentümer: Hat uneingeschränkten Zugriff
Gruppe: Aller innerhalb einer speziellen Gruppe haben dieselben Zugriffsrechte
Jeder: Alle user in einem System können bestimmte Zugriffsrechte gewährt werden
DAC?
Discretionary Access Control (DAC):
-> Besitzer/ Eigentümer legt Berechtigungen auf Objekte selbst fest
-> Zugriff auf Objekte alle von der Identität abhängig
RBAC?
Role-based Access Control (RBAC):
Zugriff auf Objekt wird durch Rolle festgelegt
Benutzer haben Rollen, von denen die Zugriffsrechte abhängen
Rolle = Sammlung von Funktionen, die für eine Arbeit gebraucht wird
Benutzer können mehrere Rollen haben
Hierarchisches Rollenkonzept
MAC?
Mandatory Access Control (MAC):
Zentrale Festlegung der maximalen Zugriffsrecht von Benutzer
Objekte und Benutzer haben Einstufungen (öffentlich, vertraulich, etc.)
-> Benutz könner ein Objekt nur lesen, wenn ihre Einstufun mindestens der des Objektes entspricht
Weitergabe von Rechten nur eingeschränkt möglich
Herausforderungen von Zugriffskontrollstrategien?
Concept of Least Privilege
Single Sign On
Technische Umsetzung
Identität
Last changed2 years ago