Mutual Authentication
« Zurück zum Profi-Tutorials-GlossarBei der Mutual Authentication bzw. Zwei-Wege-Authentifizierung wird eine gegenseitige Authentifizierung zweier Parteien durchgeführt. Bei einigen Protokollen, wie beispielsweise SSH oder IKE, wird das Verfahren standardmäßig genutzt - bei anderen Protokollen wie TLS handelt es sich um einen optionalen Modus (mTLS).
Das TLS-Protokoll weist standardmäßig lediglich die Identität des Servers gegenüber dem Client mittels X.509-Zertifikat nach - die umgekehrte Authentifizierung des Clients gegenüber dem Server wird dann der Anwendungsschicht überlassen. Unter Verwendung der clientseitigen X.509-Authentifizierung bietet TLS (bzw. mTLS) auch Client-zu-Server-Authentifizierung, welche jedoch jedoch eher selten in Endbenutzer-Anwendungen eingesetzt wird, da sie eine Bereitstellung der Zertifikate für den Client erfordert und zudem weniger benutzerfreundlich ist.
In Business-to-Business (B2B) Anwendungen, bei denen eine begrenzte Anzahl programmatischer und homogener Clients eine Verbindung zu bestimmten Webdiensten besitzt, der für den Betrieb benötigte Aufwand begrenzt ist, sowie im Vergleich zu Verbraucherumgebungen viel höhere Sicherheitsanforderungen herrschen, ist mTLS dagegen weit verbreitet.
In den meisten Anwendungsfällen erfolgt die Zwei-Wege-Authentifizierung von Maschine zu Maschine, wobei es dem Zufall überlassen bleibt, ob die Benutzer bemerken wenn die Fernauthentifizierung fehlschlägt. Zur Minimierung dieses Problems existiert auch eine nicht-technische Zwei-Wege-Authentifizierung, bei der die Nutzer eine Sicherheitsabfrage durchlaufen, welche sie effektiv dazu zwingt den Fehlschlag zu bemerken.