Authentifizierungsfehler erklärt (OWASP A07) — 2026
8. Mai 2001 · von Pentevo
Fehler bei Identifizierung und Authentifizierung (Nr. 7 der OWASP Top 10) umfassen die vielen Arten, wie Login und Session-Handling schiefgehen können – und Angreifern erlauben, sich als legitime Nutzer auszugeben. Da die Authentifizierung die Eingangstür ist, sind Fehler an dieser Stelle katastrophal.
Die Grundidee
Authentifizierung beweist, wer du bist. Lässt sich dieser Beweis erraten, stehlen, umgehen oder wiederverwenden, wird ein Angreifer zu dir – ganz ohne Exploit. (Hinweis: Authentifizierung ist „Wer bist du?“; Autorisierung ist „Was darfst du?“ – das ist die fehlerhafte Zugriffskontrolle.)
Häufige Fehler
- Schwache Passwortrichtlinien – triviale oder gängige Passwörter werden zugelassen.
- Credential Stuffing – Angreifer verwenden Passwörter wieder, die bei anderen Datenlecks durchgesickert sind; hat ein Nutzer sein Passwort wiederverwendet, sind sie drin.
- Brute Force – kein Rate-Limiting bei Login-Versuchen.
- Kein MFA – ein einziges gestohlenes Passwort = voller Zugriff.
- Mangelhaftes Session-Management – vorhersehbare Tokens, Sessions, die nie ablaufen, Tokens in URLs.
- Unsichere Passwort-Wiederherstellung – schwache „Passwort vergessen“-Abläufe, die leichter anzugreifen sind als der Login selbst.
So beugst du vor
- MFA erzwingen – die wirkungsvollste Einzelmaßnahme. Selbst ein abgephishtes Passwort scheitert oft ohne den zweiten Faktor.
- Starke Passwörter durchsetzen – Länge vor Komplexität; bekannte geleakte Passwörter blockieren.
- Rate-Limiting und Sperren – Brute Force und Credential Stuffing stoppen.
- Sessions absichern – zufällige, ausreichend lange Tokens; ablaufen lassen;
HttpOnly- +Secure-Cookies nutzen; beim Login rotieren. - Wiederherstellungsprozesse härten – sie sind ein häufiger Umgehungsweg.
- Bewährte Authentifizierung nutzen – Frameworks/Provider (OAuth/OIDC) statt selbstgebautem Login-Code.
Warum MFA die Schlagzeile ist
Die meisten Kontoübernahmen führen zurück auf Passwörter – erraten, wiederverwendet oder abgephisht. MFA durchbricht diese Kette. Wenn du nur eine Sache tust, dann setze MFA überall ein.
Wie es gefunden wird
Tester prüfen auf schwache Richtlinien, fehlende Rate-Limits, vorhersehbare Sessions und umgehbare Wiederherstellung – im Rahmen eines autorisierten Pentests. Das sind Logik- und Konfigurationsprobleme, daher helfen sowohl menschliche als auch KI-gestützte Tests.
Verwandt: Kryptografische Fehler (wie Passwörter gespeichert werden sollten). Lerne Authentifizierungssicherheit kostenlos in der Pentevo Academy.
Häufig gestellte Fragen
Was sind Authentifizierungsfehler?
Authentifizierungsfehler umfassen alle Schwächen bei Login und Session-Handling, die es einem Angreifer erlauben, sich als legitimer Nutzer auszugeben. Dazu zählen schwache Passwörter, fehlende MFA, Credential Stuffing und schlecht verwaltete Sessions. Da die Authentifizierung die Eingangstür ist, sind Fehler an dieser Stelle besonders folgenschwer.
Was ist der Unterschied zwischen Authentifizierung und Autorisierung?
Authentifizierung beantwortet die Frage „Wer bist du?“ und beweist deine Identität. Autorisierung beantwortet „Was darfst du?“ und regelt deine Berechtigungen. Fehler bei der Autorisierung fallen unter eine eigene Kategorie, die fehlerhafte Zugriffskontrolle (Broken Access Control).
Warum ist MFA die wichtigste Maßnahme?
Die meisten Kontoübernahmen lassen sich auf Passwörter zurückführen – erraten, wiederverwendet oder abgephisht. MFA durchbricht diese Kette, weil selbst ein gestohlenes Passwort ohne den zweiten Faktor meist nutzlos ist. Wenn du nur eine einzige Sache umsetzt, dann aktiviere MFA überall.
Wie werden Authentifizierungsfehler gefunden?
Tester prüfen im Rahmen eines autorisierten Pentests auf schwache Passwortrichtlinien, fehlende Rate-Limits, vorhersehbare Sessions und umgehbare Wiederherstellungsprozesse. Da es sich um Logik- und Konfigurationsprobleme handelt, helfen sowohl manuelle als auch KI-gestützte Tests.
Weiterführende Artikel
VPN erklärt: Was es leistet (und was nicht) — 2026
Wie ein VPN wirklich funktioniert, wovor es schützt, wovor nicht und wie man eines auswählt – ohne Marketing-Hype.
FundamentalsWas ist ein Penetrationstest? Ein Leitfaden für Einsteiger (2026)
Ein verständlicher Leitfaden zum Penetrationstest: was er ist, die fünf Phasen, die wichtigsten Arten und wie er sich vom Schwachstellenscan unterscheidet.
FundamentalsZero-Day-Schwachstellen erklärt (2026)
Was eine Zero-Day-Schwachstelle ist, warum sie so gefährlich ist, wie Zero-Day-Exploits eingesetzt werden und was Verteidiger gegen das Unbekannte tun können.
FundamentalsWas ist ein CVE? Schwachstellen-IDs verstehen (2026)
Was CVE bedeutet, wie die Nummerierung funktioniert, wie CVSS-Schweregrad und EPSS-Werte bei der Priorisierung helfen und wie Sie die relevanten CVEs verfolgen.
Praktisch anwenden
Die Pentevo Academy macht aus diesen Konzepten geführte Lektionen, Videos und Quizze — kostenlos.
Kostenlos lernen