To give you the best possible experience, this site uses cookies. Review our Privacy Policy and Terms of Service to learn more. Verstanden!
Artwork

Technologie Stefan Majewsky Xyrillian Noises
Inhalt bereitgestellt von Stefan Majewsky and Xyrillian Noises. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Stefan Majewsky and Xyrillian Noises oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.

Ähnelt Schlüsseltechnologie

Player FM - Podcast-App
Gehen Sie mit der App Player FM offline!
Get it on App Store Get it on Google Play

Schlüsseltechnologie « »
STP039: Authentifizierung und Autorisierung

1:04:19
 
Abspielen
Abspielen
Teilen
 

OPUSEpisode-Home
Manage episode 366195886 series 2920733
Inhalt bereitgestellt von Stefan Majewsky and Xyrillian Noises. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Stefan Majewsky and Xyrillian Noises oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.

Die Frage, wer wir sind, beschäftigt nicht nur uns selbst, sondern auch alle Anbieter von Diensten aller Art, wenn sie mit Computern zu tun haben. Heute sprechen wir über die Mechanismen, die zur Feststellung einer Person oder ihrer Berechtigungen besonders im Netz verwendet werden.

Shownotes

  • grundsätzliche Begriffsklärung

    • Authentifizierung: Nachweis einer behaupteten Eigenschaft einer Entität; hier: der Nachweis der Identität einer Person, eines Gerätes oder eines Prozesses ("Wer ist dieser Benutzer?")
    • Autorisierung: die Einräumung von Rechten gegenüber einem interessierten Subjekt; hier: das initiale Zuweisen und das wiederholt einleitende Überprüfen von Zugriffsrechten ("Darf dieser Benutzer auf dieses Dokument zugreifen?")
    • im englischen Sprachgebrauch "authentication" (AuthN) und "authorization" (AuthZ)

  • AuthN durch einen oder mehrere von drei wesentlichen Arten von Identitätsmerkmalen

    • Wissen: etwas, dass ich weiß (Passwörter, PINs, etc.)
    • Besitz: etwas, dass ich habe (Chipkarte, Lichtbildausweis, Mobiltelefon, PC, etc.)
    • Inhärenz: etwas, dass ich bin (Fingerabdruck, Iris-Abbild, etc.) -> Achtung: Problematisch, weil nicht änderbar!
    • Multifaktor-Authentifizierung: Wer eines der drei Merkmale gut angreifen kann, kann selten eins der anderen Merkmale gut angreifen.

  • schlechte Arten von Merkmalen

    • Magnetstreifenkarte (Besitz-Merkmal): trivial kopierbar -> deswegen heute meist Chipkarten
    • Code per SMS (Besitzfaktor): auf Telefonebene angreifbar durch Malware mit erschlichener SMS-Berechtigung, auf Netzwerkebene angreifbar durch Umleitung der SMS
      • als Besitzfaktor buchstäblich "besser als nichts"
      • besser ist eine Authentisierungs-App mit TOTP
    • zu kreativen Angriffen auf Besitzmerkmale und Biometrie siehe die Vorträge von Starbug

  • Autorisierungs-Schemata

    • früher meist Access Control Lists (ACL): jedes Datenobjekt hat eine Liste mit zugriffsberechtigten Benutzerkonten und Gruppen
    • Beispiel ACL in Unix: Dateisystemeinträge haben rwx-Bits (Lesezugriff, Schreibzugriff, Ausführzugriff) jeweils für das besitzende Benutzerkonto, die besitzende Gruppe und alle Benutzerkonten
    • heute meist Role-Based Access Control (RBAC) auf der Ebene von semantischen Operationen
    • Beispiel RBAC in OpenStack: Benutzerkonten oder Benutzergruppen können Rollenzuweisungen erhalten; die Menge der zugewiesenen Rollen bestimmt, welche Aktionen ein Benutzer ausführen kann

  • Authentisierung im Webkontext: Single Sign-On (SSO) via SAML, OIDC

    • Idee: Authentisierung bei einem zentralen Identitätsanbieter, dann Verwendung dieser festgestellten Identität in einem Zielsystem
    • SSO könnte man auch mit LDAP haben, aber SAML/OIDC erlaubt eine Einschränkung, welche Identitätsdaten der autorisierende Dienst vom authentifizierenden Dienst erhält
  continue reading

66 Episoden

#Technologie #Stefan Majewsky #Xyrillian Noises
Artwork

STP039: Authentifizierung und Autorisierung

Schlüsseltechnologie

published

Abspielen Abspielen
iconTeilen
 
OPUSEpisode-Home
Manage episode 366195886 series 2920733
Inhalt bereitgestellt von Stefan Majewsky and Xyrillian Noises. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Stefan Majewsky and Xyrillian Noises oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.

Die Frage, wer wir sind, beschäftigt nicht nur uns selbst, sondern auch alle Anbieter von Diensten aller Art, wenn sie mit Computern zu tun haben. Heute sprechen wir über die Mechanismen, die zur Feststellung einer Person oder ihrer Berechtigungen besonders im Netz verwendet werden.

Shownotes

  • grundsätzliche Begriffsklärung

    • Authentifizierung: Nachweis einer behaupteten Eigenschaft einer Entität; hier: der Nachweis der Identität einer Person, eines Gerätes oder eines Prozesses ("Wer ist dieser Benutzer?")
    • Autorisierung: die Einräumung von Rechten gegenüber einem interessierten Subjekt; hier: das initiale Zuweisen und das wiederholt einleitende Überprüfen von Zugriffsrechten ("Darf dieser Benutzer auf dieses Dokument zugreifen?")
    • im englischen Sprachgebrauch "authentication" (AuthN) und "authorization" (AuthZ)

  • AuthN durch einen oder mehrere von drei wesentlichen Arten von Identitätsmerkmalen

    • Wissen: etwas, dass ich weiß (Passwörter, PINs, etc.)
    • Besitz: etwas, dass ich habe (Chipkarte, Lichtbildausweis, Mobiltelefon, PC, etc.)
    • Inhärenz: etwas, dass ich bin (Fingerabdruck, Iris-Abbild, etc.) -> Achtung: Problematisch, weil nicht änderbar!
    • Multifaktor-Authentifizierung: Wer eines der drei Merkmale gut angreifen kann, kann selten eins der anderen Merkmale gut angreifen.

  • schlechte Arten von Merkmalen

    • Magnetstreifenkarte (Besitz-Merkmal): trivial kopierbar -> deswegen heute meist Chipkarten
    • Code per SMS (Besitzfaktor): auf Telefonebene angreifbar durch Malware mit erschlichener SMS-Berechtigung, auf Netzwerkebene angreifbar durch Umleitung der SMS
      • als Besitzfaktor buchstäblich "besser als nichts"
      • besser ist eine Authentisierungs-App mit TOTP
    • zu kreativen Angriffen auf Besitzmerkmale und Biometrie siehe die Vorträge von Starbug

  • Autorisierungs-Schemata

    • früher meist Access Control Lists (ACL): jedes Datenobjekt hat eine Liste mit zugriffsberechtigten Benutzerkonten und Gruppen
    • Beispiel ACL in Unix: Dateisystemeinträge haben rwx-Bits (Lesezugriff, Schreibzugriff, Ausführzugriff) jeweils für das besitzende Benutzerkonto, die besitzende Gruppe und alle Benutzerkonten
    • heute meist Role-Based Access Control (RBAC) auf der Ebene von semantischen Operationen
    • Beispiel RBAC in OpenStack: Benutzerkonten oder Benutzergruppen können Rollenzuweisungen erhalten; die Menge der zugewiesenen Rollen bestimmt, welche Aktionen ein Benutzer ausführen kann

  • Authentisierung im Webkontext: Single Sign-On (SSO) via SAML, OIDC

    • Idee: Authentisierung bei einem zentralen Identitätsanbieter, dann Verwendung dieser festgestellten Identität in einem Zielsystem
    • SSO könnte man auch mit LDAP haben, aber SAML/OIDC erlaubt eine Einschränkung, welche Identitätsdaten der autorisierende Dienst vom authentifizierenden Dienst erhält
  continue reading

66 Episoden

#Technologie #Stefan Majewsky #Xyrillian Noises

Alle Folgen

×
 
Loading …

Willkommen auf Player FM!

Player FM scannt gerade das Web nach Podcasts mit hoher Qualität, die du genießen kannst. Es ist die beste Podcast-App und funktioniert auf Android, iPhone und im Web. Melde dich an, um Abos geräteübergreifend zu synchronisieren.

 

Ähnelt Schlüsseltechnologie

Höre 500+ Themen zu
Player FM - Podcast-App
Gehen Sie mit der App Player FM offline!
Get it on App Store Get it on Google Play

Kurzanleitung

Top Podcasts
kicker Daily Podcast
Sportradio360
Sportgespräch
Wirtschaft im Gespräch
WDR 2 Kabarett
FM4 Projekt X
Ö1 Leporello
Kultur heute
Das Verbrauchermagazin
Wissenschaftsmagazin
tagesschau (Audio-Podcast)
Unboxing News - Deutschlandfunk Nova
happy, holy & confident® Dein Podcast fürs Herz und den Verstand
Wissenschaft im Brennpunkt
WDR 5 Quarks - Wissenschaft und mehr
Blaue Couch
Einhundert - Deutschlandfunk Nova
Verbrechen
Der Benecke
True Crime Germany
Player FM logo
Hilfe/FAQ | Upgrade | Werben
Kunst|Wirtschaft|Komödien|Wirtschaft|Unterhaltung|Nachrichten|Politik|Religion
Wissenschaft|Fußball|Sport|Geschichtenerzählen|Technologie|Wahre Kriminalfälle
Copyright 2024 | Seitenverzeichnis | Datenschutzbestimmungen | Nutzungsbedingungen | | Urheberrechte ©
Episode being played series thumbnail
icon icon
Geschwindigkeit
Serie Einstellungen
1x
1x
Volume
100%
icon
icon icon
/

View Player FM in ...
Player FM
Browser
Chrome
Safari
Firefox