Die Authentifizierung ist der Nachweis einer behaupteten Eigenschaft einer Entität. Hierfür authentisiert sich der Benutzer am System, der diesen wiederum authentifiziert. Authentifizierung ist über verschiedene Methoden möglich. Üblich sind drei Wege:
- Nachweis der Kenntnis einer Information (Wissen), wie Passwort.
- Verwendung eines Besitztums, wie einen Schlüssel.
- Biometrie, z.B. Fingerabdruck.
Wissen kann natürlich vergessen, verteilt, weitergegeben und verraten werden. Wissen kann ferner eventuell erraten werden, beispielsweise durch Informationen in sozialen Netzwerken, die der Nutzer selbst Preis gibt. Das Mitführen von Wissen erfordert keine Hilfsmittel, wobei Passwortmanager durchaus praktisch sind. Typische Beispiele für Wissen sind Passwörter, PINs und Sicherheitsfragen.
Das Erstellen von Besitz kostet, wobei man auch ein Fallback benötigt, falls dieser verloren oder kaputt geht oder gestohlen wird. Je nachdem, welchen Besitz man wählt, kann dieser sich auch selbst schützen. Beispiele hierfür sind Chipkarten, RFID-Karten, physische Schlüssel, SIM-Karten, Zertifikate und vieles mehr.
Als drittes zählt die Biometrie, also persönliche Eigenschaften, die jeder mit sich herum trägt und die einen bestimmen. Biometrie kann nicht an andere Personen weitergegeben werden, allerdings benötigt es meist zusätzliche Hardware, um sich damit zu Authentifizieren. Zudem können manche Merkmale bspw. durch Unfälle oder auch durch FFP2-Masken kurzzeitig oder auch längerfristig nicht oder schlecht erkennbar sein. Zu Biometrieverfahren bei der Authentifizierung zählen Fingerabdruck, Gesichtserkennung, Tipppverhalten und Stimmerkennung.
Die Kombination von Methoden wird auch Mehr-Faktor-Authentifizierung bezeichnet. Häufig werden dann zwei Methoden kombiniert, auch Zwei-Faktor-Authentifizierung genannt. Durch geeignete Kombination von Methoden können deren Defizite, meist geringere Sicherheit, vermindert werden. Gleichzeitig entstehen dadurch höhere Kosten oder und Aufwand.
Nicht alle Methoden werden als gleich gut angesehen. Einen kurzen Überblick über Methoden und deren Angriffsvektoren zeigt Daniel Miessler.