OATH versus OAuth

02. Mai 2023

Ähnliche Begriffe für Authentifizierung und Autorisierung – unterschiedliche Technologien.

OATH (Open Authentication) und OAuth (Open Authorization) sind zwei unterschiedliche Technologien, die häufig bei der Web-Authentifizierung und -Autorisierung verwendet werden.

OATH ist ein offener Standard für starke Authentifizierung, der die Verwendung von One-Time-Password-Technologien (OTP) ermöglicht. Er definiert eine Reihe von Algorithmen und Protokollen zur Erstellung und Überprüfung von Einmalpasswörtern, die auf einer Vielzahl von Geräten und Plattformen verwendet werden können. OATH wird häufig bei der Zwei-Faktor-Authentifizierung (2FA) verwendet, um die Sicherheit von Anwendungen und Diensten zu erhöhen. Siehe auch: https://openauthentication.org/.

OATH One-Time Password ist eine Form der Zwei-Faktor-Authentifizierung (2FA), bei der ein zeitbasierter Algorithmus verwendet wird, um einen eindeutigen, einmaligen Code zu generieren, der zusätzlich zu einem herkömmlichen Benutzernamen und Passwort zur Prüfung der Identität eines Benutzers verwendet wird. Dies bietet eine zusätzliche Sicherheitsebene für sensible Konten oder Transaktionen.

Das OATH OTP-System basiert auf dem Time-Based One-Time Password (TOTP)-Algorithmus, der einen eindeutigen Code erzeugt, der sich alle 30 oder 60 Sekunden ändert. Die Benutzerin gibt den aktuellen Code zusammen mit ihrem Benutzernamen und Passwort ein, um sich zu authentifizieren. Das System überprüft dann den Code, und wenn er mit dem erwarteten Wert übereinstimmt, wird der Benutzerin der Zugang gewährt. Der OATH Standard beschreibt auch eine Variante für eine ereignisbasierte Passwortgenerierung (HOTP).

OATH OTP wird häufig von Online-Diensten und Websites verwendet, um ihren Benutzern zusätzliche Sicherheit zu bieten, z. B. beim Online-Banking, bei E-Mail-Diensten und anderen Websites, die sensible Informationen erfordern. Es wird auch in physischen Sicherheitsanwendungen verwendet, wie z. B. bei der Zugangskontrolle zu Gebäuden und der Zwei-Faktor-Authentifizierung für VPNs (Virtual Private Networks).

OAuth (Open Authorization) hingegen ist ein offener Standard für die Autorisierung, der es Benutzern ermöglicht, Dritten Zugriff auf ihre Ressourcen (z. B. Konten, Bilder, Dokumente) zu gewähren, ohne ihre Anmeldedaten preiszugeben. Er ermöglicht es Benutzern, sich mit ihren vorhandenen Anmeldedaten bei einem Dienst zu authentifizieren und dann die Autorisierung für den Zugriff auf ihre Ressourcen an einen anderen Dienst zu delegieren. OAuth wird häufig von sozialen Netzwerken und anderen Webanwendungen verwendet, um den Zugang zu ihren APIs und Diensten zu ermöglichen, ohne dass die Benutzerin ihren Benutzernamen und ihr Passwort preisgeben muss. Es wird von vielen Online-Diensten und -Anwendungen verwendet, um Benutzerinnen den Zugriff auf ihre Daten auf anderen Plattformen oder Diensten zu ermöglichen. Siehe auch https://oauth.net/.

In einem OAuth-System wird der Benutzer an den Autorisierungsserver des Dienstes, den er nutzen möchte, weitergeleitet, wo er der Anwendung eines Drittanbieters die Erlaubnis für den Zugriff auf seine Daten erteilen kann. Der Autorisierungsserver generiert dann ein eindeutiges Zugriffstoken, das an die Drittanwendung gesendet wird. Mit diesem Token kann die Anwendung für eine begrenzte Zeit auf die Daten des Benutzers zugreifen, ohne dass der Benutzername und das Passwort des Benutzers gespeichert oder übertragen werden müssen.

OAuth bietet Nutzern eine sichere und standardisierte Möglichkeit, Anwendungen von Drittanbietern Zugriff auf ihre Daten zu gewähren und gleichzeitig die Kontrolle über ihre persönlichen Daten zu behalten. Ausserdem ermöglicht es Entwicklern, Anwendungen zu erstellen, die sicher auf Benutzerdaten von mehreren Diensten zugreifen können, ohne die Anmeldedaten des Benutzers speichern zu müssen.

Zusammenfassend lässt sich sagen, dass OATH sich auf die Authentifizierung von Benutzern konzentriert, während OAuth sich auf die Autorisierung von Anwendungen Dritter konzentriert. Beide Technologien haben jedoch ihre eigenen Anwendungsbereiche und werden oft in Kombination mit anderen Technologien eingesetzt, um die Sicherheit und den Schutz von Benutzerdaten und Ressourcen zu gewährleisten.