Authentifizierungsstrategien
Konzeptuelle Übersicht über Muster und Mechanismen zur Verifizierung von Identitäten in IT-Systemen.
Klassifikation
- KomplexitätMittel
- AuswirkungTechnisch
- EntscheidungstypArchitektur
- OrganisationsreifeFortgeschritten
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Fehlkonfiguration führt zu offenen Autorisierungswegen
- Token-Diebstahl bei unzureichender Lagerung oder Transport
- Abhängigkeit von Dritt-IdP kann Verfügbarkeit beeinflussen
- Verwendung kurzlebiger Access- und gesicherter Refresh-Tokens
- Zentrale Audit-Logs und regelmäßige Sicherheitsüberprüfungen
- Standardprotokolle (OIDC/OAuth2) statt proprietärer Lösungen
I/O & Ressourcen
- Anforderungsprofil (Sicherheitslevel, Geräte, Nutzerzahlen)
- Bestehende Identitätsdaten und Account-Modelle
- Infrastruktur für Schlüssel-/Zertifikatsverwaltung
- Definition einer empfohlenen Authentifizierungs-Strategie
- Konfigurations- und Integrationsvorgaben für IdP/Services
- Monitoring- und Revoke-Prozesse
Beschreibung
Authentication Strategies beschreibt Muster und Mechanismen zur Verifizierung von Identitäten in verteilten Systemen. Es erklärt Unterschiede zwischen Passwörtern, token-basierten Verfahren, OAuth, OpenID Connect und Mutual TLS. Fokus liegt auf Schutzbedarf, Skalierbarkeit, Integrationsaspekten sowie Einsatzkriterien, typischen Risiken und Empfehlungen für sichere Implementierung.
✔Vorteile
- Reduzierung von Angriffsflächen durch moderne Verfahren
- Verbesserte Benutzererfahrung bei Single Sign-On
- Bessere Skalierbarkeit durch tokenisierte Authentifizierung
✖Limitationen
- Komplexität bei Integration und Protokollkompatibilität
- Betriebsaufwand für Schlüssel- und Zertifikatsmanagement
- Nicht alle Endgeräte unterstützen moderne Verfahren (z. B. WebAuthn)
Trade-offs
Metriken
- Erfolgsrate von Authentifizierungen
Anteil erfolgreicher gegenüber aller Authentifizierungsversuche innerhalb eines Zeitraums.
- Zeit bis zur Authentifizierung
Durchschnittliche Dauer vom Login-Request bis zur validen Session/Token-Ausgabe.
- Anzahl gestohlener oder kompromittierter Tokens
Anzahl erkannter Vorfälle mit Token-Komprimittierung oder Missbrauch.
Beispiele & Implementierungen
OAuth 2.0 für Drittanbieterzugriff
Verwendung von OAuth für autorisierten API-Zugriff durch Drittdienste unter kurzlebigen Tokens.
SAML SSO im Unternehmen
Zentraler Identitätsanbieter bietet SSO für verschiedene Unternehmensanwendungen über SAML.
Client-Credentials für Backend-Services
Maschinenidentitäten nutzen Client-Credentials-Flow für automatisierte Service-Authentifizierung.
Implementierungsschritte
Anforderungsanalyse und Auswahl geeigneter Protokolle
Proof-of-Concept mit ausgewähltem IdP und Flow
Schrittweise Rollout, Monitoring und Schulung von Teams
⚠️ Technische Schulden & Engpässe
Tech Debt
- Legacy-Passwortspeicher ohne moderne Hashing-Standards
- Kurzfristig implementierte Hacks zur Kompatibilität mit Alt-Clients
- Fehlende Automatisierung für Schlüssel- und Zertifikatsrotation
Bekannte Engpässe
Beispiele für Missbrauch
- Speicherung von Passwörtern im Klartext in Datenbanken
- Verwendung unsicherer Hashalgorithmen für Passwort-Hashes
- Akzeptieren von Access-Tokens ohne Überprüfung der Signatur
Typische Fallen
- Unterschätzen der Komplexität von Token-Refresh und Revoke
- Fehlende Prüfung von Redirect-URIs bei OAuth-Clients
- Übermäßiges Logging sensibler Authentifizierungsdaten
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Regulatorische Vorgaben für Speicherung von Identitätsdaten
- • Limitierung durch unterstützte Protokolle der Clients
- • Betriebliche Kosten für HSMs/PKI bei Zertifikaten