● 84 entries

Identität und Zugriff

AAA-ModellGrundlegendes Zugriffskontrollmodell aus drei verketteten Funktionen: Authentifizierung, Autorisierung und Accounting.
Abrechnung / Protokollierung (AAA-Accounting)Die dritte Säule des AAA-Modells: das Aufzeichnen, was eine authentifizierte Identität wann, wo und auf welchen Ressourcen getan hat – für Audit und Abrechnung.
Access TokenKurzlebiges Credential, ausgestellt von einem Authorization Server, das ein Client einer API vorlegt, um geschützte Ressourcen im Namen eines Nutzers oder Dienstes aufzurufen.
Account-EnumerationAngriff, der die Antworten einer Anwendung ausnutzt, um festzustellen, welche Konten, E-Mails oder Telefonnummern im Zielsystem existieren.
Active DirectoryUnternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.
Adaptive AuthentifizierungAuthentifizierungsansatz, der Staerke und Anzahl der geforderten Faktoren in Echtzeit anhand von Signalen wie Geraet, Standort und Verhalten anpasst.
API-KeyStatischer geheimer String, den ein Dienst ausstellt, um einen Aufrufer zu identifizieren und zu authentifizieren - meist im Header oder Query-Parameter jeder API-Anfrage.
Attributbasierte Zugriffskontrolle (ABAC)Autorisierungsmodell, das Richtlinien anhand von Attributen des Subjekts, der Ressource, der Aktion und der Umgebung auswertet, um über eine Zugriffsanfrage zu entscheiden.
AuthentifizierungVerfahren, mit dem überprüft wird, dass eine Entität – Benutzer, Gerät oder Dienst – tatsächlich diejenige ist, die sie zu sein vorgibt, bevor ein Zugriff gewährt wird.
AutorisierungEntscheidung darüber, was eine bereits authentifizierte Identität tun darf – welche Ressourcen, Aktionen und Bedingungen erlaubt sind.
Bearer TokenOpake oder strukturierte Credential (RFC 6750), die allein durch Besitz Zugriff auf eine Ressource gewahrt - ohne Nachweis, dass der Trager der rechtmassige Inhaber ist.
Besitzfaktor (Etwas, das man hat)Authentifizierungsfaktor, der auf einem physischen oder kryptografischen Gegenstand des Nutzers beruht, z. B. Hardware-Token, Smartcard, Authenticator-App oder registriertem Telefon.
Biometrische AuthentifizierungEin Authentifizierungsverfahren, das die Identität anhand einzigartiger körperlicher oder physiologischer Merkmale wie Fingerabdruck, Gesicht, Iris oder Stimme prüft.
BPF LSMLinux-Security-Module, mit dem verifizierte eBPF-Programme an LSM-Hooks andocken und benutzerdefinierte MAC-Entscheidungen fur Syscalls, Dateien, Sockets und Capabilities durchsetzen.
Credential HarvestingDas massenhafte Abgreifen von Benutzernamen, Passwörtern, Tokens und anderen Authentifizierungsgeheimnissen, meist für späteren Kontoübernahme oder Weiterverkauf.
Credential VaultEin zentraler, auditierter Dienst, der Secrets wie Passwörter, API-Schlüssel, Zertifikate und SSH-Keys sicher speichert, rotiert und kontrolliert herausgibt.
CSRF-TokenUnvorhersagbarer, sitzungsgebundener Wert in Formularen oder Headern, mit dem der Server bestatigt, dass zustandsandernde Anfragen aus seinen eigenen Seiten stammen.
Dezentraler Identifier (DID)W3C-standardisierter Identifier, der vom Subjekt direkt kontrolliert wird, unabhängig von zentralen Registern, und der zu einem Dokument mit kryptografischem Schlüsselmaterial aufgelöst wird.
DienstkontoEine nichtmenschliche Identität, die eine Anwendung, ein Skript oder ein Dienst zur Authentifizierung gegenüber anderen Systemen nutzt, üblicherweise ohne interaktive Anmeldung.
Digitale IdentitätKombination aus Identifiern, Credentials und Attributen, die eine Person, Organisation oder ein Gerät in Online-Systemen repräsentiert.
Diskretionäre Zugriffskontrolle (DAC)Zugriffsmodell, in dem der Eigentümer einer Ressource entscheidet, wer zugreifen darf und welche Operationen erlaubt sind.
Einmalpasswort (OTP)Kurzer Zifferncode, der nur für einen Anmeldeversuch oder ein kurzes Zeitfenster gültig ist und meist als zweiter Faktor dient.
Ende-zu-Ende-Verschluesselung (E2EE)Verschluesselungsmodell, bei dem nur die kommunizierenden Endgeraete die Schluessel besitzen, sodass Zwischenserver und Netzbetreiber den Klartext nicht lesen koennen.
Erkennung unmoglicher ReisenErkennung, die aufeinander folgende Anmeldungen aus geografisch zu weit entfernten Orten markiert, die in der vergangenen Zeit nicht zuruckgelegt werden konnten.
FIDO2Offener Authentifizierungsstandard der FIDO Alliance, der WebAuthn (Browser-API) und CTAP (Authenticator-Protokoll) für phishing-resistente, passwortlose Anmeldung kombiniert.
Föderierte IdentitätKonstellation, in der unabhängige Organisationen oder Domänen einem gemeinsamen Identity Provider vertrauen, sodass Nutzer dieselbe Identität überall verwenden können.
Gegenseitige AuthentifizierungAuthentifizierungsaustausch, bei dem beide Seiten — Client und Server oder zwei Dienste — ihre Identitaet kryptografisch nachweisen, bevor Daten ausgetauscht werden.
Geleaktes Passwort (Pwned)Passwort, das in einem bekannten Datenleck aufgetaucht ist und daher gemass dem Have-I-Been-Pwned-Dienst von Troy Hunt nie als Benutzergeheimnis zugelassen werden darf.
HMAC-basiertes Einmalpasswort (HOTP)Ein in RFC 4226 definierter ereignisbasierter Einmalpasswort-Algorithmus, der einen kurzen Code aus einem gemeinsamen Geheimnis und einem monoton steigenden Zähler ableitet.
Identitäts- und Zugriffsverwaltung (IAM)Disziplin und Technologiebündel zur Definition digitaler Identitäten und zur Steuerung, welche Identität unter welchen Bedingungen auf welche Ressourcen zugreifen darf.
Inhaerenzfaktor (Etwas, das man ist)Authentifizierungsfaktor, der auf einem biometrischen Merkmal des Nutzers beruht, z. B. Fingerabdruck, Gesicht, Iris, Stimme oder Tipprhythmus.
Just-in-Time-ZugriffZugriffsmodell, das erhöhte oder sensible Rechte nur für einen begrenzten Zeitraum und eine bestimmte Aufgabe vergibt und anschließend automatisch entzieht.
JWT (JSON Web Token)Kompaktes, URL-sicheres Token-Format (RFC 7519) mit signierten JSON-Claims; weit verbreitet als Access Token, ID Token und Sitzungscontainer.
KerberosTicket-basiertes Netzwerk-Authentifizierungsprotokoll, das mit symmetrischer Kryptografie und einem vertrauenswürdigen Key Distribution Center sicheres Single Sign-On ermöglicht.
Kernel Mode vs User ModeDie beiden CPU-Privilegierungsstufen moderner Betriebssysteme: Kernel Mode (Supervisor, Ring 0) mit vollem Hardwarezugriff und User Mode (Ring 3), beschrankt auf den eigenen Adressraum und ohne privilegierte Befehle.
Kontinuierliche AuthentifizierungAnsatz, der die Identitaet des Nutzers waehrend der gesamten Sitzung mit Verhaltens- und Geraetesignalen weiter prueft, statt nur einmal beim Login.
KontosperrungSchutzmechanismus, der Anmeldeversuche nach einer konfigurierten Zahl aufeinanderfolgender Fehlschlage zeitweise oder dauerhaft blockiert und so Online-Passwort-Raten verlangsamt.
LDAPLightweight Directory Access Protocol, ein IETF-Standard zum Abfragen und Ändern hierarchischer Verzeichnisdienste über TCP/IP, üblicherweise auf Port 389 oder 636 mit TLS.
Linux CapabilitiesLinux-Kernel-Funktion auf Basis des POSIX.1e-Entwurfs, die das allmachtige Root-Privileg in mehr als 40 diskrete Capabilities aufteilt, die Prozessen und Dateien separat zugewiesen werden.
Magic-Link-AnmeldungPasswortloser Anmeldeablauf, bei dem der Nutzer per E-Mail oder SMS eine einmalige URL erhalt, deren Aufruf die Sitzung authentifiziert.
MaschinenidentitätKryptografische Identität einer nichtmenschlichen Entität – Workload, Gerät, Container oder API-Client – zur Authentifizierung und Vertrauensbildung mit anderen Systemen.
MFA-Fatigue (Push Bombing)Angriff, bei dem ein Tater mit gultigem Passwort das Opfer mit MFA-Push-Anfragen flutet, bis dieses aus Verwirrung oder Frust eine genehmigt.
Multi-Faktor-Authentifizierung (MFA)Authentifizierungsverfahren, das vor der Zugriffsfreigabe mindestens zwei unabhängige Faktoren – meist aus unterschiedlichen Kategorien – verlangt.
NTLM-AuthentifizierungVeraltetes Windows-Challenge-Response-Protokoll, das die Identität anhand eines gespeicherten Passwort-Hashes nachweist und nach heutigen Maßstäben als schwach gilt.
OAuth 2.0Offenes Autorisierungs-Framework, mit dem ein Ressourceninhaber einer Drittanwendung beschränkten, scoped Zugriff auf eine API gewähren kann, ohne Zugangsdaten preiszugeben.
OpenID Connect (OIDC)Identitätsschicht auf Basis von OAuth 2.0, mit der Clients über signierte ID Tokens die Nutzeridentität verifizieren und Basisprofildaten abrufen können.
PasskeyPhishing-resistenter FIDO2/WebAuthn-Credential — ein gerätegebundenes oder synchronisierbares asymmetrisches Schlüsselpaar, das Passwörter durch eine kryptografische Challenge-Response ersetzt.
PassphraseEine lange Folge von Wörtern oder Zeichen als Authentifizierungsgeheimnis, in der Regel auf hohe Entropie und gute Merkbarkeit statt auf Komplexität ausgelegt.
PasswortEine geheime Zeichenfolge, die ein Nutzer angibt, um seine Identität gegenüber einem System nachzuweisen; traditionell der dominierende Einfaktor-Authentifizierungsmechanismus.
Passwort-EntropieMass in Bit fur die Unvorhersagbarkeit eines Passworts: hohere Entropie bedeutet, dass ein Angreifer mehr Versuche braucht.
Passwort-ManagerEine Anwendung, die starke, einmalige Zugangsdaten erzeugt, speichert und automatisch einsetzt; abgesichert durch eine Master-Passphrase und zunehmend auch Passkeys.
Passwort-WiederverwendungDie Praxis, dasselbe Passwort für mehrere Konten oder Dienste zu nutzen, wodurch ein einziger Vorfall viele Konten gefährdet.
PasswortrichtlinieDokumentierter Regelsatz dafur, wie Benutzerpasswoerter erstellt, gespeichert, gewechselt und gepruft werden, um Sicherheit und Benutzbarkeit auszubalancieren.
Prinzip der geringsten RechteSicherheitsprinzip, das jedem Nutzer, Prozess oder Dienst nur jene Rechte gewährt, die er zwingend für seine Aufgabe benötigt — nicht mehr.
Privileged Access Management (PAM)Praktiken und Werkzeuge, die Zugriffe auf Konten und Systeme mit erhöhten administrativen Rechten absichern, steuern, überwachen und auditieren.
Push-AuthentifizierungEine MFA-Methode, bei der der Identity Provider eine Anmeldeanfrage an eine vertrauenswürdige Mobil-App schickt, die der Nutzer per Tipp bestätigt oder ablehnt.
Refresh TokenLanglebige Credential, mit der ein Client neue kurzlebige Access Tokens beim OAuth-2.0-Authorization-Server holt, ohne dass der Nutzer sich neu anmeldet.
Risikobasierte Authentifizierung (RBA)Authentifizierungsstrategie, die je Anmeldung einen Risikoscore berechnet und die Reaktion — zulassen, herausfordern oder blockieren — entsprechend variiert.
Rollenbasierte Zugriffskontrolle (RBAC)Autorisierungsmodell, das Berechtigungen Rollen statt direkt Nutzern zuweist; Nutzer erhalten Zugriff durch ihre Rollenzuordnungen.
SAMLXML-basierter offener Standard zum Austausch von Authentifizierungs- und Autorisierungs-Assertions zwischen Identity Provider und Service Provider.
SeDebugPrivilegeSehr machtiges Windows-Privileg, das den Halter beliebige Prozesse — auch LSASS — offnen, lesen und manipulieren lasst und damit ein bevorzugtes Ziel von Credential-Dieben ist.
Selbstsouveräne Identität (SSI)Identitätsmodell, bei dem Personen oder Organisationen ihre Credentials selbst halten und direkt vorzeigen, ohne sich auf einen zentralen Identity Provider zu stützen.
Session ReplayUX-Analytics-Verfahren, das DOM, Klicks, Scrolls und Tasteneingaben einer echten Nutzersitzung aufzeichnet, um sie später wiedergeben und analysieren zu können.
Session-ManagementDie Gesamtheit der Kontrollen, die eine authentifizierte Sitzung ausstellen, pflegen, erneuern und widerrufen und so die Identität des Nutzers bis zu Logout oder Ablauf an nachfolgende Anfragen binden.
Session-TokenOpaker Identifier, der nach der Authentifizierung ausgegeben wird und mit jeder Anfrage zuruckgesendet wird, damit der Server den Sitzungszustand findet.
Sicherer MessengerKommunikations-App, deren Standardmodus Ende-zu-Ende-Verschluesselung, Identitatspruefung und Forward Secrecy verwendet, sodass nur die Teilnehmer Nachrichten lesen koennen.
Signal-ProtokollEnde-zu-Ende-Verschluesselungsprotokoll von Open Whisper Systems fur den Signal-Messenger, das den X3DH-Schluesseltausch mit dem Double-Ratchet-Algorithmus verbindet.
Single Sign-On (SSO)Authentifizierungsverfahren, bei dem sich ein Benutzer einmalig bei einem vertrauenswürdigen Identity Provider anmeldet und anschließend mehrere Anwendungen ohne erneute Eingabe von Zugangsdaten nutzt.
Social LoginAuthentifizierungsmuster, bei dem Nutzer sich an einer Drittseite mit ihrer vorhandenen Identitaet bei Google, Apple, Microsoft, Facebook, GitHub und Co. anmelden.
Standortfaktor (Wo man ist)Kontextueller Authentifizierungsfaktor, der den geografischen oder Netzwerk-Standort des Nutzers nutzt (GPS, IP-Geolokation, Buero-WLAN), um eine Anmeldung zu bewerten.
Step-Up-AuthentifizierungMuster, das zusatzliche oder staerkere Faktoren verlangt, sobald ein Nutzer eine riskantere Operation durchfuhren will, als seine bestehende Sitzung legitimiert.
Token-ImpersonationWindows-Privilegienerweiterungstechnik (MITRE ATT&CK T1134), bei der ein Angreifer ein vorhandenes Access-Token dupliziert und in Code im Kontext eines anderen Benutzers ausfuhrt.
U2F (Universal 2nd Factor)Offener Authentifizierungsstandard der FIDO Alliance, der dem Passwort einen Hardware-Zweitfaktor in Form eines USB-, NFC- oder Bluetooth-Sicherheitsschlüssels hinzufügt.
User Account Control (UAC)Windows-Sicherheitsfunktion seit Vista, die interaktive Sitzungen mit eingeschranktem Token betreibt und vor jeder administrativen Aktion Zustimmung oder Anmeldedaten anfordert.
Username-EnumerationSonderfall der Account-Enumeration, bei dem die Antworten der Anwendung verraten, ob ein bestimmter Benutzername existiert, und so Folgeangriffe gezielter ermöglichen.
Verbindliche Zugriffskontrolle (MAC)Zugriffsmodell, in dem eine zentrale Richtlinie – nicht der Ressourceneigentümer – Entscheidungen anhand von Klassifizierungen und Freigaben für Subjekte und Objekte durchsetzt.
VerhaltensbiometrieVerfahren zur kontinuierlichen Authentifizierung, das einzigartige Verhaltensmuster wie Tipprhythmus, Mausbewegungen, Gangbild oder Touch-Gesten zur Erkennung von Imitatoren auswertet.
Verifiable CredentialManipulationssichere, kryptografisch signierte Aussage einer Partei über ein Subjekt, ausgedrückt nach dem W3C Verifiable Credentials Data Model.
WebAuthnW3C-Standard-JavaScript-API, mit der Webanwendungen Nutzer über Public-Key-Credentials auf Plattform- oder Roaming-Authenticatoren registrieren und authentifizieren.
Wissensfaktor (Etwas, das man weiss)Authentifizierungsfaktor, der auf Wissen des Nutzers beruht, z. B. Passwort, PIN, Passphrase oder Antwort auf eine Sicherheitsfrage.
Workforce IdentityIdentitäten, Anmeldedaten und Zugriffsrechte von Mitarbeitern, Dienstleistern und internen Diensten einer Organisation, im Gegensatz zur Kundenidentität (CIAM).
Zeitbasiertes Einmalpasswort (TOTP)Ein in RFC 6238 definierter Einmalpasswort-Algorithmus, der einen kurzen Code aus einem gemeinsamen Geheimnis und der aktuellen Zeit ableitet und alle 30 Sekunden wechselt.
Zeitfaktor (Authentifizierung)Kontextueller Authentifizierungsfaktor, der Zugriff anhand von Tageszeit, Wochentag oder Sitzungsdauer einschraenkt oder bewertet, oft kombiniert mit risikobasierten Policies.
Zwei-Faktor-Authentifizierung (2FA)Konkrete Ausprägung der MFA, bei der zur Identitätsprüfung genau zwei Faktoren – meist Passwort plus zweiter Faktor – verlangt werden.