Freigeben über


Grundlagen der NIST-Authentifizierung

In diesem Artikel lernen Sie die Terminologie in den Leitlinien des National Institute of Standards and Technology (NIST) kennen. Darüber hinaus werden die Konzepte der TPM-Technologie (Trusted Platform Module) und Authentifizierungsfaktoren definiert.

Begriff

In der folgenden Tabelle finden Sie die Terminologie von NIST.

Begriff Definition
Assertion Eine Anweisung von einem Verifier an eine vertrauende Seite, die Informationen über den Abonnentenenthält. Eine Assertion kann überprüfte Attribute enthalten
Authentifizierung Der Prozess der Überprüfung der Identität eines Antragstellers
Authentifizierungsfaktor Etwas, das Sie sind, wissen oder haben. Jeder Authentifikator weist mindestens einen Authentifizierungsfaktor auf
Authentifikator Etwas, das der Antragsteller besitzt und steuert und das zum Authentifizieren der Identität des Antragstellers verwendet wird
Anforderer Die Identität eines Antragstellers, dessen Identität mit einem oder mehreren Authentifizierungsprotokollen überprüft werden soll
Anmeldeinformationen Ein Objekt oder eine Datenstruktur, die eine Identität verbindlich mit mindestens einem Teilnehmer-Authentifikator verknüpft, den ein Teilnehmer besitzt und kontrolliert
Credential Service Provider (CSP) Eine vertrauenswürdige Entität, die Teilnehmerauthenifikatoren ausgibt oder registriert und elektronische Anmeldeinformationen für Teilnehmer ausgibt
Vertrauende Seite Eine Entität, die die Assertion eines Prüfmechanismus oder Authentifikatoren eines Antragstellers und Anmeldeinformationen verwendet, in der Regel um Zugriff auf ein System zu gewähren
Subject Person, Organisation, Gerät, Hardware, Netzwerk, Software oder Dienst
Subscriber Eine Partei, die Anmeldeinformationen oder einen Authentikator von einem Kryptografiedienstanbieter erhalten hat
Trusted Platform Module (TPM) Ein manipulationssicheres Modul, das kryptografische Vorgänge einschließlich Schlüsselgenerierung ausführt
Verifier Eine Entität, die die Identität des Antragstellers durch Prüfen des Besitzes und der Kontrolle von Authentikatoren prüft

Informationen zur Trusted Platform Module-Technologie

Ein TPM weist hardwarebasierte, sicherheitsbezogene Funktionen auf: Ein TPM-Chip (oder hardwaregestütztes TPM) ist ein sicherer Kryptografieprozessor, der Sie bei Aktionen wie Generieren, Speichern und Einschränken der Verwendung kryptografischer Schlüssel unterstützt.

Informationen zu TPMs und Windows finden Sie unter Trusted Platform Module.

Hinweis

Ein Software-TPM ist ein Emulator, der die Funktionalität von Hardware-TPM imitiert.

Authentifizierungsfaktoren und ihre Stärken

Authentifizierungsfaktoren lassen sich in drei Kategorien gruppieren:

Grafik der Authentifizierungsfaktoren, gruppiert nach etwas, das jemand ist, weiß oder hat

Die Stärke des Authentifizierungsfaktors wird dadurch bestimmt, wie sicher Sie sind, dass es sich um etwas handelt, das nur der Teilnehmer ist, weiß oder hat. Die NIST-Organisation bietet eingeschränkte Anleitungen zur Stärke des Authentifizierungsfaktors. Nutzen Sie die Informationen im folgenden Abschnitt, um zu erfahren, wie Microsoft die Stärke bewertet.

Etwas, das Sie wissen

Kennwörter sind das bekannteste Element und stellen die größte Angriffsfläche dar. Folgende Abhilfemaßnahmen verbessern das Vertrauen in den Teilnehmer. Es handelt sich um effektive Gegenmaßnahmen gegen Kennwortangriffe wie Brute-Force-, Lausch- und Social-Engineering-Angriffe:

Etwas, das Sie haben

Die Stärke von etwas, das Sie besitzen, basiert auf der Wahrscheinlichkeit, dass der Teilnehmer es in seinem Besitz hält, ohne dass ein Angreifer darauf zugreifen kann. Beim Schutz vor internen Bedrohungen hat beispielsweise ein persönliches mobiles Gerät oder ein Hardwareschlüssel eine höhere Affinität. Das Gerät (oder der Hardwareschlüssel) ist sicherer als ein Desktopcomputer in einem Büro.

Etwas, das Sie sind

Wenn Sie die Anforderungen für etwas festlegen, das Sie sind, sollten Sie bedenken, wie leicht es für einen Angreifer ist, etwas wie ein biometrisches Merkmal zu erschleichen oder zu fälschen. NIST arbeitet an einem Framework für biometrische Daten, akzeptiert jedoch derzeit keine biometrischen Daten als Einzelfaktor. Biometrische Daten müssen Teil der Multi-Faktor-Authentifizierung (MFA) sein. Der Grund für diese Vorsichtsmaßnahme ist, dass biometrische Daten im Gegensatz zu Kennwörtern nicht immer eine exakte Übereinstimmung garantieren. Weitere Informationen finden Sie unter Stärke der Funktion für Authentifikatoren – Biometrie (SOFA-B).

SOFA-B-Framework zur Quantifizierung der Stärke biometrischer Daten:

  • Rate falscher Übereinstimmungen
  • Rate falscher Fehlschläge
  • Fehlerrate bei der Erkennung von Präsentationsangriffen
  • Aufwand für die Durchführung eines Angriffs

Einstufige Authentifizierung

Die Single-Factor-Authentifizierung kann mithilfe eines Authentifikators implementiert werden, der etwas überprüft, das Sie kennen oder sind. Ein Faktor des Typs „Etwas, das Sie sind“ wird als Authentifizierungsfaktor akzeptiert, aber nicht als Authentifikator selbst.

Funktionsweise der Single-Factor-Authentifizierung

Multi-Factor Authentication

Sie können MFA implementieren, indem Sie einen MFA-Authentifikator oder zwei Single-Factor-Authentifikatoren verwenden. Ein MFA-Authentifikator erfordert für eine einzelne Authentifizierungstransaktion zwei Authentifizierungsfaktoren.

MFA mit zwei Single-Factor-Authentifikatoren

MFA erfordert zwei Authentifizierungsfaktoren, die unabhängig voneinander sein können. Beispiel:

  • Auswendig gelerntes Geheimnis (Kennwort) und Out-of-Band (SMS)

  • Auswendig gelerntes Geheimnis (Kennwort) und einmaliges Kennwort (Hardware oder Software)

Diese Methoden ermöglichen zwei unabhängige Authentifizierungstransaktionen mit Microsoft Entra ID.

MFA mit zwei Authentifikatoren

MFA mit einem Multi-Faktor-Authentifikator

Die Multi-Faktor-Authentifizierung erfordert einen Faktor (etwas, das Sie wissen oder sind), um einen zweiten Faktor verfügbar zu machen. Die Benutzererfahrung ist einfacher als bei mehreren unabhängigen Authentifikatoren.

MFA mit einem einzelnen Multi-Faktor-Authentifikator

Ein Beispiel ist die App Microsoft Authenticator im kennwortlosen Modus: Der Benutzer hat Zugriff auf eine abgesicherte Ressource (vertrauende Seite) und erhält eine Benachrichtigung über die Authenticator-App. Der Benutzer gibt ein biometrisches Merkmal (etwas, das Sie sind) oder eine PIN (etwas, das Sie wissen) ein. Durch diesen Faktor wird der kryptografische Schlüssel auf dem Smartphone entsperrt (etwas, das Sie haben), den Prüfmechanismus überprüft.

Nächste Schritte

NIST-Übersicht

Weitere Informationen zu AALs

Authentifizierungsszenarien für Azure AD

NIST-Authentifikatortypen

Erzielen von NIST AAL1 mit Microsoft Entra ID

Erzielen der NIST-Authentifikatorsicherheitsstufe 2 mit Microsoft Entra ID

Erzielen der NIST-Authentifikatorsicherheitsstufe 3 mit Microsoft Entra ID