● 84 entries
Identität und Zugriff
- AAA-ModellGrundlegendes Zugriffskontrollmodell aus drei verketteten Funktionen: Authentifizierung, Autorisierung und Accounting.
- Abrechnung / Protokollierung (AAA-Accounting)Die dritte Säule des AAA-Modells: das Aufzeichnen, was eine authentifizierte Identität wann, wo und auf welchen Ressourcen getan hat – für Audit und Abrechnung.
- Access TokenKurzlebiges Credential, ausgestellt von einem Authorization Server, das ein Client einer API vorlegt, um geschützte Ressourcen im Namen eines Nutzers oder Dienstes aufzurufen.
- Account-EnumerationAngriff, der die Antworten einer Anwendung ausnutzt, um festzustellen, welche Konten, E-Mails oder Telefonnummern im Zielsystem existieren.
- Active DirectoryUnternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.
- Adaptive AuthentifizierungAuthentifizierungsansatz, der Staerke und Anzahl der geforderten Faktoren in Echtzeit anhand von Signalen wie Geraet, Standort und Verhalten anpasst.
- API-KeyStatischer geheimer String, den ein Dienst ausstellt, um einen Aufrufer zu identifizieren und zu authentifizieren - meist im Header oder Query-Parameter jeder API-Anfrage.
- Attributbasierte Zugriffskontrolle (ABAC)Autorisierungsmodell, das Richtlinien anhand von Attributen des Subjekts, der Ressource, der Aktion und der Umgebung auswertet, um über eine Zugriffsanfrage zu entscheiden.
- AuthentifizierungVerfahren, mit dem überprüft wird, dass eine Entität – Benutzer, Gerät oder Dienst – tatsächlich diejenige ist, die sie zu sein vorgibt, bevor ein Zugriff gewährt wird.
- AutorisierungEntscheidung darüber, was eine bereits authentifizierte Identität tun darf – welche Ressourcen, Aktionen und Bedingungen erlaubt sind.
- Bearer TokenOpake oder strukturierte Credential (RFC 6750), die allein durch Besitz Zugriff auf eine Ressource gewahrt - ohne Nachweis, dass der Trager der rechtmassige Inhaber ist.
- Besitzfaktor (Etwas, das man hat)Authentifizierungsfaktor, der auf einem physischen oder kryptografischen Gegenstand des Nutzers beruht, z. B. Hardware-Token, Smartcard, Authenticator-App oder registriertem Telefon.
- Biometrische AuthentifizierungEin Authentifizierungsverfahren, das die Identität anhand einzigartiger körperlicher oder physiologischer Merkmale wie Fingerabdruck, Gesicht, Iris oder Stimme prüft.
- BPF LSMLinux-Security-Module, mit dem verifizierte eBPF-Programme an LSM-Hooks andocken und benutzerdefinierte MAC-Entscheidungen fur Syscalls, Dateien, Sockets und Capabilities durchsetzen.
- Credential HarvestingDas massenhafte Abgreifen von Benutzernamen, Passwörtern, Tokens und anderen Authentifizierungsgeheimnissen, meist für späteren Kontoübernahme oder Weiterverkauf.
- Credential VaultEin zentraler, auditierter Dienst, der Secrets wie Passwörter, API-Schlüssel, Zertifikate und SSH-Keys sicher speichert, rotiert und kontrolliert herausgibt.
- CSRF-TokenUnvorhersagbarer, sitzungsgebundener Wert in Formularen oder Headern, mit dem der Server bestatigt, dass zustandsandernde Anfragen aus seinen eigenen Seiten stammen.
- Dezentraler Identifier (DID)W3C-standardisierter Identifier, der vom Subjekt direkt kontrolliert wird, unabhängig von zentralen Registern, und der zu einem Dokument mit kryptografischem Schlüsselmaterial aufgelöst wird.
- DienstkontoEine nichtmenschliche Identität, die eine Anwendung, ein Skript oder ein Dienst zur Authentifizierung gegenüber anderen Systemen nutzt, üblicherweise ohne interaktive Anmeldung.
- Digitale IdentitätKombination aus Identifiern, Credentials und Attributen, die eine Person, Organisation oder ein Gerät in Online-Systemen repräsentiert.
- Diskretionäre Zugriffskontrolle (DAC)Zugriffsmodell, in dem der Eigentümer einer Ressource entscheidet, wer zugreifen darf und welche Operationen erlaubt sind.
- Einmalpasswort (OTP)Kurzer Zifferncode, der nur für einen Anmeldeversuch oder ein kurzes Zeitfenster gültig ist und meist als zweiter Faktor dient.
- Ende-zu-Ende-Verschluesselung (E2EE)Verschluesselungsmodell, bei dem nur die kommunizierenden Endgeraete die Schluessel besitzen, sodass Zwischenserver und Netzbetreiber den Klartext nicht lesen koennen.
- Erkennung unmoglicher ReisenErkennung, die aufeinander folgende Anmeldungen aus geografisch zu weit entfernten Orten markiert, die in der vergangenen Zeit nicht zuruckgelegt werden konnten.
- FIDO2Offener Authentifizierungsstandard der FIDO Alliance, der WebAuthn (Browser-API) und CTAP (Authenticator-Protokoll) für phishing-resistente, passwortlose Anmeldung kombiniert.
- Föderierte IdentitätKonstellation, in der unabhängige Organisationen oder Domänen einem gemeinsamen Identity Provider vertrauen, sodass Nutzer dieselbe Identität überall verwenden können.
- Gegenseitige AuthentifizierungAuthentifizierungsaustausch, bei dem beide Seiten — Client und Server oder zwei Dienste — ihre Identitaet kryptografisch nachweisen, bevor Daten ausgetauscht werden.
- Geleaktes Passwort (Pwned)Passwort, das in einem bekannten Datenleck aufgetaucht ist und daher gemass dem Have-I-Been-Pwned-Dienst von Troy Hunt nie als Benutzergeheimnis zugelassen werden darf.
- HMAC-basiertes Einmalpasswort (HOTP)Ein in RFC 4226 definierter ereignisbasierter Einmalpasswort-Algorithmus, der einen kurzen Code aus einem gemeinsamen Geheimnis und einem monoton steigenden Zähler ableitet.
- Identitäts- und Zugriffsverwaltung (IAM)Disziplin und Technologiebündel zur Definition digitaler Identitäten und zur Steuerung, welche Identität unter welchen Bedingungen auf welche Ressourcen zugreifen darf.
- Inhaerenzfaktor (Etwas, das man ist)Authentifizierungsfaktor, der auf einem biometrischen Merkmal des Nutzers beruht, z. B. Fingerabdruck, Gesicht, Iris, Stimme oder Tipprhythmus.
- Just-in-Time-ZugriffZugriffsmodell, das erhöhte oder sensible Rechte nur für einen begrenzten Zeitraum und eine bestimmte Aufgabe vergibt und anschließend automatisch entzieht.
- JWT (JSON Web Token)Kompaktes, URL-sicheres Token-Format (RFC 7519) mit signierten JSON-Claims; weit verbreitet als Access Token, ID Token und Sitzungscontainer.
- KerberosTicket-basiertes Netzwerk-Authentifizierungsprotokoll, das mit symmetrischer Kryptografie und einem vertrauenswürdigen Key Distribution Center sicheres Single Sign-On ermöglicht.
- Kernel Mode vs User ModeDie beiden CPU-Privilegierungsstufen moderner Betriebssysteme: Kernel Mode (Supervisor, Ring 0) mit vollem Hardwarezugriff und User Mode (Ring 3), beschrankt auf den eigenen Adressraum und ohne privilegierte Befehle.
- Kontinuierliche AuthentifizierungAnsatz, der die Identitaet des Nutzers waehrend der gesamten Sitzung mit Verhaltens- und Geraetesignalen weiter prueft, statt nur einmal beim Login.
- KontosperrungSchutzmechanismus, der Anmeldeversuche nach einer konfigurierten Zahl aufeinanderfolgender Fehlschlage zeitweise oder dauerhaft blockiert und so Online-Passwort-Raten verlangsamt.
- LDAPLightweight Directory Access Protocol, ein IETF-Standard zum Abfragen und Ändern hierarchischer Verzeichnisdienste über TCP/IP, üblicherweise auf Port 389 oder 636 mit TLS.
- Linux CapabilitiesLinux-Kernel-Funktion auf Basis des POSIX.1e-Entwurfs, die das allmachtige Root-Privileg in mehr als 40 diskrete Capabilities aufteilt, die Prozessen und Dateien separat zugewiesen werden.
- Magic-Link-AnmeldungPasswortloser Anmeldeablauf, bei dem der Nutzer per E-Mail oder SMS eine einmalige URL erhalt, deren Aufruf die Sitzung authentifiziert.
- MaschinenidentitätKryptografische Identität einer nichtmenschlichen Entität – Workload, Gerät, Container oder API-Client – zur Authentifizierung und Vertrauensbildung mit anderen Systemen.
- MFA-Fatigue (Push Bombing)Angriff, bei dem ein Tater mit gultigem Passwort das Opfer mit MFA-Push-Anfragen flutet, bis dieses aus Verwirrung oder Frust eine genehmigt.
- Multi-Faktor-Authentifizierung (MFA)Authentifizierungsverfahren, das vor der Zugriffsfreigabe mindestens zwei unabhängige Faktoren – meist aus unterschiedlichen Kategorien – verlangt.
- NTLM-AuthentifizierungVeraltetes Windows-Challenge-Response-Protokoll, das die Identität anhand eines gespeicherten Passwort-Hashes nachweist und nach heutigen Maßstäben als schwach gilt.
- OAuth 2.0Offenes Autorisierungs-Framework, mit dem ein Ressourceninhaber einer Drittanwendung beschränkten, scoped Zugriff auf eine API gewähren kann, ohne Zugangsdaten preiszugeben.
- OpenID Connect (OIDC)Identitätsschicht auf Basis von OAuth 2.0, mit der Clients über signierte ID Tokens die Nutzeridentität verifizieren und Basisprofildaten abrufen können.
- PasskeyPhishing-resistenter FIDO2/WebAuthn-Credential — ein gerätegebundenes oder synchronisierbares asymmetrisches Schlüsselpaar, das Passwörter durch eine kryptografische Challenge-Response ersetzt.
- PassphraseEine lange Folge von Wörtern oder Zeichen als Authentifizierungsgeheimnis, in der Regel auf hohe Entropie und gute Merkbarkeit statt auf Komplexität ausgelegt.
- PasswortEine geheime Zeichenfolge, die ein Nutzer angibt, um seine Identität gegenüber einem System nachzuweisen; traditionell der dominierende Einfaktor-Authentifizierungsmechanismus.
- Passwort-EntropieMass in Bit fur die Unvorhersagbarkeit eines Passworts: hohere Entropie bedeutet, dass ein Angreifer mehr Versuche braucht.
- Passwort-ManagerEine Anwendung, die starke, einmalige Zugangsdaten erzeugt, speichert und automatisch einsetzt; abgesichert durch eine Master-Passphrase und zunehmend auch Passkeys.
- Passwort-WiederverwendungDie Praxis, dasselbe Passwort für mehrere Konten oder Dienste zu nutzen, wodurch ein einziger Vorfall viele Konten gefährdet.
- PasswortrichtlinieDokumentierter Regelsatz dafur, wie Benutzerpasswoerter erstellt, gespeichert, gewechselt und gepruft werden, um Sicherheit und Benutzbarkeit auszubalancieren.
- Prinzip der geringsten RechteSicherheitsprinzip, das jedem Nutzer, Prozess oder Dienst nur jene Rechte gewährt, die er zwingend für seine Aufgabe benötigt — nicht mehr.
- Privileged Access Management (PAM)Praktiken und Werkzeuge, die Zugriffe auf Konten und Systeme mit erhöhten administrativen Rechten absichern, steuern, überwachen und auditieren.
- Push-AuthentifizierungEine MFA-Methode, bei der der Identity Provider eine Anmeldeanfrage an eine vertrauenswürdige Mobil-App schickt, die der Nutzer per Tipp bestätigt oder ablehnt.
- Refresh TokenLanglebige Credential, mit der ein Client neue kurzlebige Access Tokens beim OAuth-2.0-Authorization-Server holt, ohne dass der Nutzer sich neu anmeldet.
- Risikobasierte Authentifizierung (RBA)Authentifizierungsstrategie, die je Anmeldung einen Risikoscore berechnet und die Reaktion — zulassen, herausfordern oder blockieren — entsprechend variiert.
- Rollenbasierte Zugriffskontrolle (RBAC)Autorisierungsmodell, das Berechtigungen Rollen statt direkt Nutzern zuweist; Nutzer erhalten Zugriff durch ihre Rollenzuordnungen.
- SAMLXML-basierter offener Standard zum Austausch von Authentifizierungs- und Autorisierungs-Assertions zwischen Identity Provider und Service Provider.
- SeDebugPrivilegeSehr machtiges Windows-Privileg, das den Halter beliebige Prozesse — auch LSASS — offnen, lesen und manipulieren lasst und damit ein bevorzugtes Ziel von Credential-Dieben ist.
- Selbstsouveräne Identität (SSI)Identitätsmodell, bei dem Personen oder Organisationen ihre Credentials selbst halten und direkt vorzeigen, ohne sich auf einen zentralen Identity Provider zu stützen.
- Session ReplayUX-Analytics-Verfahren, das DOM, Klicks, Scrolls und Tasteneingaben einer echten Nutzersitzung aufzeichnet, um sie später wiedergeben und analysieren zu können.
- Session-ManagementDie Gesamtheit der Kontrollen, die eine authentifizierte Sitzung ausstellen, pflegen, erneuern und widerrufen und so die Identität des Nutzers bis zu Logout oder Ablauf an nachfolgende Anfragen binden.
- Session-TokenOpaker Identifier, der nach der Authentifizierung ausgegeben wird und mit jeder Anfrage zuruckgesendet wird, damit der Server den Sitzungszustand findet.
- Sicherer MessengerKommunikations-App, deren Standardmodus Ende-zu-Ende-Verschluesselung, Identitatspruefung und Forward Secrecy verwendet, sodass nur die Teilnehmer Nachrichten lesen koennen.
- Signal-ProtokollEnde-zu-Ende-Verschluesselungsprotokoll von Open Whisper Systems fur den Signal-Messenger, das den X3DH-Schluesseltausch mit dem Double-Ratchet-Algorithmus verbindet.
- Single Sign-On (SSO)Authentifizierungsverfahren, bei dem sich ein Benutzer einmalig bei einem vertrauenswürdigen Identity Provider anmeldet und anschließend mehrere Anwendungen ohne erneute Eingabe von Zugangsdaten nutzt.
- Social LoginAuthentifizierungsmuster, bei dem Nutzer sich an einer Drittseite mit ihrer vorhandenen Identitaet bei Google, Apple, Microsoft, Facebook, GitHub und Co. anmelden.
- Standortfaktor (Wo man ist)Kontextueller Authentifizierungsfaktor, der den geografischen oder Netzwerk-Standort des Nutzers nutzt (GPS, IP-Geolokation, Buero-WLAN), um eine Anmeldung zu bewerten.
- Step-Up-AuthentifizierungMuster, das zusatzliche oder staerkere Faktoren verlangt, sobald ein Nutzer eine riskantere Operation durchfuhren will, als seine bestehende Sitzung legitimiert.
- Token-ImpersonationWindows-Privilegienerweiterungstechnik (MITRE ATT&CK T1134), bei der ein Angreifer ein vorhandenes Access-Token dupliziert und in Code im Kontext eines anderen Benutzers ausfuhrt.
- U2F (Universal 2nd Factor)Offener Authentifizierungsstandard der FIDO Alliance, der dem Passwort einen Hardware-Zweitfaktor in Form eines USB-, NFC- oder Bluetooth-Sicherheitsschlüssels hinzufügt.
- User Account Control (UAC)Windows-Sicherheitsfunktion seit Vista, die interaktive Sitzungen mit eingeschranktem Token betreibt und vor jeder administrativen Aktion Zustimmung oder Anmeldedaten anfordert.
- Username-EnumerationSonderfall der Account-Enumeration, bei dem die Antworten der Anwendung verraten, ob ein bestimmter Benutzername existiert, und so Folgeangriffe gezielter ermöglichen.
- Verbindliche Zugriffskontrolle (MAC)Zugriffsmodell, in dem eine zentrale Richtlinie – nicht der Ressourceneigentümer – Entscheidungen anhand von Klassifizierungen und Freigaben für Subjekte und Objekte durchsetzt.
- VerhaltensbiometrieVerfahren zur kontinuierlichen Authentifizierung, das einzigartige Verhaltensmuster wie Tipprhythmus, Mausbewegungen, Gangbild oder Touch-Gesten zur Erkennung von Imitatoren auswertet.
- Verifiable CredentialManipulationssichere, kryptografisch signierte Aussage einer Partei über ein Subjekt, ausgedrückt nach dem W3C Verifiable Credentials Data Model.
- WebAuthnW3C-Standard-JavaScript-API, mit der Webanwendungen Nutzer über Public-Key-Credentials auf Plattform- oder Roaming-Authenticatoren registrieren und authentifizieren.
- Wissensfaktor (Etwas, das man weiss)Authentifizierungsfaktor, der auf Wissen des Nutzers beruht, z. B. Passwort, PIN, Passphrase oder Antwort auf eine Sicherheitsfrage.
- Workforce IdentityIdentitäten, Anmeldedaten und Zugriffsrechte von Mitarbeitern, Dienstleistern und internen Diensten einer Organisation, im Gegensatz zur Kundenidentität (CIAM).
- Zeitbasiertes Einmalpasswort (TOTP)Ein in RFC 6238 definierter Einmalpasswort-Algorithmus, der einen kurzen Code aus einem gemeinsamen Geheimnis und der aktuellen Zeit ableitet und alle 30 Sekunden wechselt.
- Zeitfaktor (Authentifizierung)Kontextueller Authentifizierungsfaktor, der Zugriff anhand von Tageszeit, Wochentag oder Sitzungsdauer einschraenkt oder bewertet, oft kombiniert mit risikobasierten Policies.
- Zwei-Faktor-Authentifizierung (2FA)Konkrete Ausprägung der MFA, bei der zur Identitätsprüfung genau zwei Faktoren – meist Passwort plus zweiter Faktor – verlangt werden.