04 - Authentifikationsverfahren Flashcards
Definition Authentizität
Echtheit/Glaubwürdigkeit anhand eindeutiger Identität / charackeristischen Merkmalen
Definition Authentisierung
Nachweis der Identität
Definition Authentifikation
Überprüfung behaupteter Authentisierung mit geeigneten Maßnahmen
Merkmale Authentifikationsmaßnahmen
- Wissen
- Besitz
- Merkmale
- (Standort)
- (Mehrfaktor aus allem obigen)
Unterschied Authentifizierung vs. Authorisierung
Authentifizierung: Verifikation Identität (Darf der Nutzer generell zugreifen)
Authorisierung: Darf der Nutzer auf eine bestimmte Resource zugreifen
Wie erfolgt Authentifizierung durch Wissen. Was sind Besonderheiten. Was sind Schwächen
- Passwörter
- PIN
- Passphrasen
- Sicherheitsfragen
Besonderheiten: - kostengünstig
- Sicherheit abhängig von Längen der Sachen
- Passwörter bekannt -> kompromittiert (egal wie lang)
Schwächen: - geringe Passwortlänge
- geringe Komplexität/Zeichenklasse
- Wörter aus Wörtbuch nutzen
- Tastatur-Sequenzen
- Passwort mehrfach nutzen / nie ändern
Wie erfolgt Authentifizierung durch Besitz. Was sind Besonderheiten. Was sind Schwächen
- Subjekt muss etwas (physisch) besitzen
-> Karte
-> Gerät
-> individuelle Software
Besonderheit: - oft mit Wissen kombiniert
- statische oder dynamisch generierte Authentisierungsmerkmale
Wie erfolgt Authentifizierung durch Besitz. Was sind Besonderheiten
- Subjekt muss etwas (physisch) besitzen
-> Karte
-> Gerät
-> individuelle Software
Besonderheit: - oft mit Wissen kombiniert
- statische oder dynamisch generierte Authentisierungsmerkmale
Was macht das symmetrische Challange-Response-Verfahren? Was sind dessen Ziele? Was sind Gefahren
Ziele:
- geheime Infos nicht mehrfach austauschen
- Authentifikation (nicht Integrität)
Verfahren:
Server kennt alle Keys
- Client-ID public gesendet
- Server sendet random value
- Client encrypted random value
- Server encrypted mit client key -> Vergleich
Gefahren:
- Middle-Man-Attack
- Schlüssel raten durch Klartexte
Was macht das asymmetrische Challange-Response-Verfahren?
Client und Server haben eigene Keys
- Client sendet ID
- Server sendet Random
- Client encoded secret mit seinem Key -> Sign
- Server Decoded Sign mit seinem Key -> Vergleich mit Random
Wie funktioniert das S/Key Verfahren? Warum ist das Sinnvoll
- Passwort + Seed + Hash
- Client generiert n-Fachen Hash aus Seed (mit key)
- letzter Hash an Server gesendet
- Server fragt immer nach Hash vor seinem
-> wenn Client richtig sendet kann Server seinen Hash aus Wert und Hash Funktion erzeugen
-> Server fragt beim nächsten Mal die jetzt vorletzte
=> Einmalpasswörter
Was sind biometrische Authentifikationsverfahren? Welche Anforderungen (6) haben sie? Was sind die Stufen (2)? Welche Art von Merkmalen gibt es (2)?
- Authentifikation eines humanindividuellen Merkmals
- durch Sensoren und deterministischer irreversibler Funktion
Anforderungen:
- Universalität (jeder besitzt Merkmal)
- Eindeutigkeit (bei jedem verschieden)
- Beständigkeit (unveränderlich)
- quantitative Erfassbarkeit (durch Sensoren)
- Performanz (akzeptable Zeit)
- Fälschungssicherheit
Stufen:
- Registrierung (mehrfache Aufnahme des Merkmals)
- Identifizierung
Arten:
- aktiv (Unterschrift, Gangart, Stimme, …)
- passiv (Fingerabdruck, Handvenen, Iris, …)
Wie werden Fehlerrate für Authentifikationsverfahren festgelegt?
Fehlerrate:
- FAR = (#false accept / #unauthorized tries)
- FRR = (#false reject / #authorized tries
Was steurt der Fehler-Schwellwert für Authentifikationsverfahren?
Sicherheit (mehr false reject / weniger false accept) vs. Komfort (weniger false reject / mehr false accept)
Wie werden Fingerabdrücke überprüft
- auf Basis von Minuzien
-> Orientierung
-> Lage relativ zu anderen Minuzien (Region of Interest)
akzeptiert bei Anzahl Übereinstimmung (je nach threshold)
