Wie sich Identifizierung, Authentifizierung und Autorisierung unterscheiden

Es passiert jedem von uns jeden Tag. Wir werden ständig von verschiedenen Systemen identifiziert, authentifiziert und autorisiert. Dennoch verwechseln viele Menschen die Bedeutung dieser Wörter und verwenden oft die Begriffe Identifizierung oder Autorisierung, obwohl sie eigentlich von Authentifizierung sprechen.

Das ist nicht weiter schlimm, solange es sich nur um ein alltägliches Gespräch handelt und beide Seiten verstehen, worüber sie sprechen. Es ist jedoch immer besser, die Bedeutung der verwendeten Wörter zu kennen, und früher oder später werden Sie auf einen Geek treffen, der Sie mit Erklärungen in den Wahnsinn treiben wird, ob es sich nun um Autorisierung oder Authentifizierung, weniger oder weniger, welches oder jenes usw. handelt.

Was bedeuten also die Begriffe Identifizierung, Authentifizierung und Autorisierung, und wie unterscheiden sich die Verfahren voneinander? Schauen wir zunächst bei Wikipedia nach:

• „Identifizierung ist der Akt der Angabe der Identität einer Person oder Sache.“
• „Authentifizierung ist der Akt des Nachweises der Identität eines Computersystembenutzers“ (z. B. durch Vergleich des eingegebenen Passworts mit dem in der Datenbank gespeicherten Passwort).
• „Autorisierung ist die Funktion der Festlegung von Zugriffsrechten/Privilegien auf Ressourcen.“

Sie sehen, warum Leute, die mit den Konzepten nicht wirklich vertraut sind, sie verwechseln könnten.

Mit Hilfe von Waschbären Identifizierung, Authentifizierung und Autorisierung erklären

Nun, der Einfachheit halber, lassen Sie uns ein Beispiel verwenden. Nehmen wir an, ein Benutzer möchte sich bei seinem Google-Konto anmelden. Google eignet sich gut als Beispiel, weil der Anmeldevorgang in mehrere grundlegende Schritte unterteilt ist. So sieht er aus:

• Zunächst fragt das System nach einem Login. Der Benutzer gibt ihn ein, und das System erkennt ihn als echte Anmeldung. Dies ist die Identifizierung.
• Google fragt dann nach einem Passwort. Der Nutzer gibt es ein, und wenn das eingegebene Passwort mit dem gespeicherten Passwort übereinstimmt, dann stimmt das System zu, dass der Nutzer tatsächlich echt zu sein scheint. Dies ist die Authentifizierung.
• In den meisten Fällen fragt Google dann auch nach einem einmaligen Verifizierungscode aus einer Textnachricht oder einer Authentifizierungs-App. Wenn der Nutzer auch diesen Code korrekt eingibt, bestätigt das System schließlich, dass er oder sie der echte Inhaber des Kontos ist. Dies ist die Zwei-Faktor-Authentifizierung.
• Schließlich gibt das System dem Benutzer das Recht, Nachrichten in seinem Posteingang zu lesen und so weiter. Das ist Autorisierung.

Authentifizierung ohne vorherige Identifizierung macht keinen Sinn; es wäre sinnlos, mit der Überprüfung zu beginnen, bevor das System weiß, wessen Authentizität es überprüfen soll. Man muss sich erst vorstellen.

In diesem Sinne wäre eine Identifizierung ohne Authentifizierung unsinnig. Jeder könnte jedes Login eingeben, das in der Datenbank existiert – das System bräuchte das Passwort. Aber jemand könnte das Passwort ausspähen oder einfach erraten. Besser ist es, einen weiteren Nachweis zu verlangen, den nur der wirkliche Benutzer haben kann, z. B. einen einmaligen Verifizierungscode.

Dagegen ist eine Autorisierung ohne Identifizierung, geschweige denn Authentifizierung, durchaus möglich. Sie können zum Beispiel Ihr Dokument in Google Drive öffentlich zugänglich machen, so dass es für jedermann verfügbar ist. In diesem Fall könnten Sie einen Hinweis sehen, dass Ihr Dokument von einem anonymen Waschbären eingesehen wird. Obwohl der Waschbär anonym ist, hat das System ihn autorisiert, d. h. ihm das Recht eingeräumt, das Dokument einzusehen.

Hätten Sie jedoch das Leserecht nur bestimmten Nutzern eingeräumt, hätte sich der Waschbär identifizieren (durch Angabe seines Logins) und dann authentifizieren müssen (durch Angabe des Passworts und eines einmaligen Verifizierungscodes), um das Recht zum Lesen des Dokuments zu erhalten (Autorisierung).

Wenn es darum geht, den Inhalt Ihrer Mailbox zu lesen, wird Google niemals einem anonymen Waschbären erlauben, Ihre Nachrichten zu lesen. Der Waschbär müsste sich als Sie vorstellen, mit Ihrem Login und Passwort, dann wäre er kein anonymer Waschbär mehr, sondern Google würde ihn als Sie identifizieren.

So, jetzt wissen Sie, inwiefern sich Identifikation von Authentifizierung und Autorisierung unterscheidet. Ein weiterer wichtiger Punkt: Die Authentifizierung ist vielleicht der wichtigste Prozess, wenn es um die Sicherheit Ihres Kontos geht. Wenn Sie ein schwaches Passwort für die Authentifizierung verwenden, könnte ein Waschbär Ihr Konto kapern. Deshalb:

• Erstellen Sie starke und eindeutige Passwörter für alle Ihre Konten.
• Wenn Sie Probleme haben, sich Ihre Passwörter zu merken, hilft Ihnen ein Passwort-Manager weiter. Er kann auch bei der Erstellung von Passwörtern helfen.
• Aktivieren Sie die Zwei-Faktor-Authentifizierung mit einmaligen Verifizierungscodes in Textnachrichten oder einer Authentifizierungsanwendung für jeden Dienst, der sie unterstützt. Andernfalls kann ein anonymer Waschbär, der Ihr Passwort in die Finger bekommen hat, Ihre geheime Korrespondenz lesen oder etwas noch Schlimmeres tun.