Step-Up-Authentifizierung
Was ist Step-Up-Authentifizierung?
Step-Up-AuthentifizierungMuster, das zusatzliche oder staerkere Faktoren verlangt, sobald ein Nutzer eine riskantere Operation durchfuhren will, als seine bestehende Sitzung legitimiert.
Step-Up-Authentifizierung fugt nur dann Reibung hinzu, wenn es noetig ist. Der Nutzer meldet sich einmal mit seinen ublichen Daten an und wird bei einer sensiblen Aktion — Uberweisung, Anderung der Recovery-Mail, Zugriff auf PII oder ein Admin-Panel — zu einem frischen, staerkeren Nachweis aufgefordert. NIST SP 800-63B und die OpenID-Connect-Parameter acr_values / max_age formalisieren das: Anwendungen koennen eine bestimmte Authentication Context Class Reference verlangen oder Reauthentifizierung innerhalb von N Sekunden. Ublich sind erneute Passkey-, TOTP-, Hardware-Key- oder Biometrie-Prufungen direkt vor der priviligierten Aktion. Das Muster erhalt die Usability fur alltagliche Aufgaben und schutzt zugleich wertvolle Transaktionen.
● Beispiele
- 01
Banking-App, die vor einer Uberweisung uber 5.000 EUR einen Hardware-Key-Tap verlangt.
- 02
GitHub-Sudo-Modus, der vor destruktiven Aktionen wie dem Loschen eines Repos den Passkey erneut anfordert.
● Häufige Fragen
Was ist Step-Up-Authentifizierung?
Muster, das zusatzliche oder staerkere Faktoren verlangt, sobald ein Nutzer eine riskantere Operation durchfuhren will, als seine bestehende Sitzung legitimiert. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Step-Up-Authentifizierung?
Muster, das zusatzliche oder staerkere Faktoren verlangt, sobald ein Nutzer eine riskantere Operation durchfuhren will, als seine bestehende Sitzung legitimiert.
Wie funktioniert Step-Up-Authentifizierung?
Step-Up-Authentifizierung fugt nur dann Reibung hinzu, wenn es noetig ist. Der Nutzer meldet sich einmal mit seinen ublichen Daten an und wird bei einer sensiblen Aktion — Uberweisung, Anderung der Recovery-Mail, Zugriff auf PII oder ein Admin-Panel — zu einem frischen, staerkeren Nachweis aufgefordert. NIST SP 800-63B und die OpenID-Connect-Parameter acr_values / max_age formalisieren das: Anwendungen koennen eine bestimmte Authentication Context Class Reference verlangen oder Reauthentifizierung innerhalb von N Sekunden. Ublich sind erneute Passkey-, TOTP-, Hardware-Key- oder Biometrie-Prufungen direkt vor der priviligierten Aktion. Das Muster erhalt die Usability fur alltagliche Aufgaben und schutzt zugleich wertvolle Transaktionen.
Wie schützt man sich gegen Step-Up-Authentifizierung?
Schutzmaßnahmen gegen Step-Up-Authentifizierung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Step-Up-Authentifizierung?
Übliche alternative Bezeichnungen: Reauthentifizierung, Transaktions-Authentifizierung, Step-Up-MFA.
● Verwandte Begriffe
- identity-access№ 708
Multi-Faktor-Authentifizierung (MFA)
Authentifizierungsverfahren, das vor der Zugriffsfreigabe mindestens zwei unabhängige Faktoren – meist aus unterschiedlichen Kategorien – verlangt.
- identity-access№ 015
Adaptive Authentifizierung
Authentifizierungsansatz, der Staerke und Anzahl der geforderten Faktoren in Echtzeit anhand von Signalen wie Geraet, Standort und Verhalten anpasst.
- identity-access№ 940
Risikobasierte Authentifizierung (RBA)
Authentifizierungsstrategie, die je Anmeldung einen Risikoscore berechnet und die Reaktion — zulassen, herausfordern oder blockieren — entsprechend variiert.
- identity-access№ 216
Kontinuierliche Authentifizierung
Ansatz, der die Identitaet des Nutzers waehrend der gesamten Sitzung mit Verhaltens- und Geraetesignalen weiter prueft, statt nur einmal beim Login.
- identity-access№ 793
Passkey
Phishing-resistenter FIDO2/WebAuthn-Credential — ein gerätegebundenes oder synchronisierbares asymmetrisches Schlüsselpaar, das Passwörter durch eine kryptografische Challenge-Response ersetzt.
- identity-access№ 760
OpenID Connect (OIDC)
Identitätsschicht auf Basis von OAuth 2.0, mit der Clients über signierte ID Tokens die Nutzeridentität verifizieren und Basisprofildaten abrufen können.