Ein Nutzer authentisiert sich gegenüber einem IT-System indem er einen Nachweis über seine digitale Identität erbringt. Ein IT-System überprüft den Nachweis zur Echtheit der Identität im Rahmen einer Authentifizierung. Ein IT-System vergibt nach einer erfolgreichen Authentifizierung die Autorisierung, die dem Nutzer definierte Rechte einräumt.
Der Nachweis über die Echtheit einer Nutzeridentität kann über verschiedene Verfahren realisiert werden:
Wissen
Der Nutzer kann nachweisen, dass er ein Geheimnis kennt. z.B: Passwort, PIN, Antwort auf eine Frage, usw.
Besitz
Der Nutzer besitzt einen Nachweis zur Authentifizierung. z.B: Personalausweis, SIM-Karte im Smartphone, Hardware Sicherheitsmodul (USB-Stick, Smartcard) Nachweis meist mit Hilfe von Challange-Response-Verfahren.
Sein
Der Nutzer kann über körperliche Anwesenheit identifiziert werden z.B: Biometrie (Fingerabdruck, Gesichtsgeometrie, Iris,..)
Weitere mögliche Faktoren
Beispiele:
Reputation durch vorangegangene Transaktionen
Anhand des in der Vergangenheit gezeigten Verhaltens eines Nutzers, kann erkannt werden, wenn ein Nutzer ungewöhnliche Aktionen durchführt. (z.B. ungewöhnliche Zahlungen mit der Kreditkarte)
Genutzte Technologie
Die genutzte Technologie gibt einen Hinweis, ob es sich um den Nutzer handelt und wie das Angriffspotential über das Endgerät eingeschätzt werden kann. z.B:
- Notebook oder Smartphone
- fremdes IT-System (Einschätzung der Vertrauenswürdigkeit)
- Standort
- Zeitpunkt des Zugriffs
Standort
Der Standort gibt geografische und netzbasierte Informationen über das Vertrauensniveau des Orts (sichere oder nicht sichere Umgebung.
Zeit
Es kann anhand der Zeit des Authentifizierungsprozesses die Notwendigkeit und Echtheit der Anmeldung eingeschätzt werden. z.B: Anmeldung im Firmennetz während des Urlaubs oder nachts