04 - Authentifikationsverfahren Flashcards
Definition Authentizität
Echtheit/Glaubwürdigkeit anhand eindeutiger Identität / charackeristischen Merkmalen
Definition Authentisierung
Nachweis der Identität
Definition Authentifikation
Überprüfung behaupteter Authentisierung mit geeigneten Maßnahmen
Merkmale Authentifikationsmaßnahmen
- Wissen
- Besitz
- Merkmale
- (Standort)
- (Mehrfaktor aus allem obigen)
Unterschied Authentifizierung vs. Authorisierung
Authentifizierung: Verifikation Identität (Darf der Nutzer generell zugreifen)
Authorisierung: Darf der Nutzer auf eine bestimmte Resource zugreifen
Wie erfolgt Authentifizierung durch Wissen. Was sind Besonderheiten. Was sind Schwächen
- Passwörter
- PIN
- Passphrasen
- Sicherheitsfragen
Besonderheiten: - kostengünstig
- Sicherheit abhängig von Längen der Sachen
- Passwörter bekannt -> kompromittiert (egal wie lang)
Schwächen: - geringe Passwortlänge
- geringe Komplexität/Zeichenklasse
- Wörter aus Wörtbuch nutzen
- Tastatur-Sequenzen
- Passwort mehrfach nutzen / nie ändern
Wie erfolgt Authentifizierung durch Besitz. Was sind Besonderheiten. Was sind Schwächen
- Subjekt muss etwas (physisch) besitzen
-> Karte
-> Gerät
-> individuelle Software
Besonderheit: - oft mit Wissen kombiniert
- statische oder dynamisch generierte Authentisierungsmerkmale
Wie erfolgt Authentifizierung durch Besitz. Was sind Besonderheiten
- Subjekt muss etwas (physisch) besitzen
-> Karte
-> Gerät
-> individuelle Software
Besonderheit: - oft mit Wissen kombiniert
- statische oder dynamisch generierte Authentisierungsmerkmale
Was macht das symmetrische Challange-Response-Verfahren? Was sind dessen Ziele? Was sind Gefahren
Ziele:
- geheime Infos nicht mehrfach austauschen
- Authentifikation (nicht Integrität)
Verfahren:
Server kennt alle Keys
- Client-ID public gesendet
- Server sendet random value
- Client encrypted random value
- Server encrypted mit client key -> Vergleich
Gefahren:
- Middle-Man-Attack
- Schlüssel raten durch Klartexte
Was macht das asymmetrische Challange-Response-Verfahren?
Client und Server haben eigene Keys
- Client sendet ID
- Server sendet Random
- Client encoded secret mit seinem Key -> Sign
- Server Decoded Sign mit seinem Key -> Vergleich mit Random
Wie funktioniert das S/Key Verfahren? Warum ist das Sinnvoll
- Passwort + Seed + Hash
- Client generiert n-Fachen Hash aus Seed (mit key)
- letzter Hash an Server gesendet
- Server fragt immer nach Hash vor seinem
-> wenn Client richtig sendet kann Server seinen Hash aus Wert und Hash Funktion erzeugen
-> Server fragt beim nächsten Mal die jetzt vorletzte
=> Einmalpasswörter
Was sind biometrische Authentifikationsverfahren? Welche Anforderungen (6) haben sie? Was sind die Stufen (2)? Welche Art von Merkmalen gibt es (2)?
- Authentifikation eines humanindividuellen Merkmals
- durch Sensoren und deterministischer irreversibler Funktion
Anforderungen:
- Universalität (jeder besitzt Merkmal)
- Eindeutigkeit (bei jedem verschieden)
- Beständigkeit (unveränderlich)
- quantitative Erfassbarkeit (durch Sensoren)
- Performanz (akzeptable Zeit)
- Fälschungssicherheit
Stufen:
- Registrierung (mehrfache Aufnahme des Merkmals)
- Identifizierung
Arten:
- aktiv (Unterschrift, Gangart, Stimme, …)
- passiv (Fingerabdruck, Handvenen, Iris, …)
Wie werden Fehlerrate für Authentifikationsverfahren festgelegt?
Fehlerrate:
- FAR = (#false accept / #unauthorized tries)
- FRR = (#false reject / #authorized tries
Was steurt der Fehler-Schwellwert für Authentifikationsverfahren?
Sicherheit (mehr false reject / weniger false accept) vs. Komfort (weniger false reject / mehr false accept)
Wie werden Fingerabdrücke überprüft
- auf Basis von Minuzien
-> Orientierung
-> Lage relativ zu anderen Minuzien (Region of Interest)
akzeptiert bei Anzahl Übereinstimmung (je nach threshold)
Wie funktioniert der Handvenenscan
- optisches Verfahren
- reflektiert Infrarot an Venen -> Lebenderkennung
Wie funktioniert das Kerberos-Verfahren? Was sind Probleme/Gefahren?
Client und Key Distribution Center (Authentication Server + Ticket Granting Server)
1. Client fragt Ticket Granting Ticket an (bei Authentication Center)
2. Ticket Granting Ticket kommt zurück
3. Client fragt Server Ticket an
4. Server Ticket kommt zurück
5. Anfrage an Dienst mit Server Ticket
6. Antwort vom Dienst
System funktioniert mit Keys, die die Tickets En- bzw. Decrypten und so die Autenzität des Clients beweisen (beim Server, der nur dann das Server-Ticket ausgibt)
Problem/Gefahren:
- Zeitstempel in Tickets -> synchrone Authentication Server, Ticket Granting Server, Dienst
- Key Distribution Center ist Single Point of Failure
- keine Integritätsprüfung
Was sind Bestandteile im OAuth 2.0 Prozess
- Ressource Server (enthält geschützte Daten -> die wollen Anwendungen)
- Ressource Owner (gehören Daten auf Ressource Server)
- Client/Application (will auf Daten zugreifen) (confidential vs. public)
- Authorization Server (wird vom Ressource Server vertraut Anwendungen zu authentifizieren und authorisieren)
Codes:
- Authorization Code (einmaliges Zwischengeheimnis zum Erhalt von Access und Refresh Token)
- Access Token (Geheimnis für Zugriff auf API)
- Refresh Token (Geheimnis für neuen Access Token (opt.))
Authentifikationsverfahren für OAuth 2.0 (4)
- Authorization Code Grant mit Proof of Key for Code Exchange (Dienste die viele Nutzer per z.B. Passwort identifizieren)
- Implicit Grant (Public Client mit Single Page)
- Owner Password Credentials Grant (Application darf Credentials speichern -> User muss sich bei Application nachweisen (MitM))
- Client Credentials Grant (Application will eigene Daten)