2. Authentifizierung Flashcards
Vorlesungsfrage:
Wodurch unterscheiden sich Identifizierung, Authentifizierung und Autorisierung?
Identifizierung
- Identifikator mit 1:1 oder 1:n zu realen Subjekten
- Username oder Email-Adresse
Authentifizierung (AuthN)
- Vorgang des Nachweisens/Prüfen einer behaupteten Identität
- Hier: Wissen des zum Identifikator gehörendes Pw
Autorisierung (AuthZ)
- Vorgang der Vergabe/ des Prüfens der zugewiesenen Brechtigungen
- Erlaubt/verhindert Nutzung bestimmter Funktionen bzw. Zugriff auf bestimmter Daten
F.3
Vorlesungsfrage:
Was versteht man unter einem User-Enumeration-Angriff?
Im Kontext von ungezielten Angriffen: Liste gültiger Benutzernamen ermitteln
F.5
Vorlesungsfrage:
Welche Hashverfahren sollten wie eingesetzt werden, um serverseitig eine Passwortauthentifizierung durchführen zu können?
- Ein (aktuelles) Hashverfahren, wo keine Kollisionen bekannt sind: SHA-2, SHA-3, Skein
- Keine primitive Anwendung, weil dann gleiche Pw von versch. Benutzern = gleicher Hash
Lösung hierfür ist..
- “Salting”
- Slow Hash Functions: Langer Salt, Iterative Anwendung, explizit langsame Hash Funktion
F.17-18/22-23
Vorlesungsfrage:
Wie funktionieren Timing-Angriffe auf Passwort-Authentifizierung?
- Durch Laufzeitunterschiede von richtigen und falschen Pw-Eingabe kann Angreifer Pw Zeichen für Zeichen knacken = Timing Angriff
- Aufwand für Bruteforce wird weniger
F.14
Vorlesungsfrage:
Wie funktionieren Rainbow-Tables und wozu werden sie eingesetzt?
Wieso Rainbow-Table?:
- Spart Speicher und Zeit für Bruteforce Angriffe (Time-Memory-Tradeoff)
Wie?
- Benötigt wird jeweilige Hash- und Reduktionsfunktion
- Es werden Ketten gebildet (Länge n)
- Pw. wird gehashed und Ergebnis wird reduziert.. immer wieder
- Gespeichert wird nur Erste und Letzte Spalte
- Angriffsablauf: Hashwert wird bis zu n-mal reduziert und mit letzter Spalte verglichen –> Falls gefunden: Entspr. Zeile durchlaufen bis passendes Pw
F.21
Vorlesungsfrage:
Wozu dient das Salting von Passwort-Hashes?
Salting
- salt ist eine (geeignet große) Zufallszahl, die (im Klartext) gespeichert werden muss
Nutzen:
- Benutzer mit demselben Pw haben unterschiedliche Hash-Werte,
sofern nicht auch das Salt identisch ist
- Angreifer müsste nicht nur eine Hash-Tabelle vorab berechnen, sondern so
viele, wie es unterschiedliche Salt-Werte gibt (–>unattraktiv weil Speicherplatz und Rechenzeit)
F.22
Vorlesungsfrage:
Warum sollten Slow Hash Functions verwendet werden?
Slow Hash Functions:
- Verwenden eines langen Salts
- Iterative Anwendung, z.B. 100.000 Runden des Hashverfahrens
- Explizit langsame Hash-Funktionen
Nutzen:
- Zusätzlicher Rechenaufwand bei legitimer Nutzung nicht signifikant
- Effizienz von Passwort-Knack-Versuchen wird stark reduziert (–>Speicherintensität)
F. 23-24
Vorlesungsfrage:
Welche Variante von Passwort-Reset-Verfahren passt wofür?
Benutzer muss Fragen beantworten, auf die nur er die Antwort kennt, z.B.
“Mädchenname der Mutter”,
- Korrekte Antworten sind durch Bekannte oder nach Recherche in Social Networks oft einfacher zu “knacken” als das Passwort.
Passwort-Reset-Link wird an hinterlegte E-Mail-Adresse geschickt.
- E-Mail-Account ist ggf. kompromittiert; nicht anwendbar bei Dienst E-Mail.
Reset-PIN wird per SMS an hinterlegte Mobiltelefonnummer geschickt.
- Smartphone ist ggf. durch Malware-App kompromittiert.
Service-Desk / Kunden-Hotline anrufen.
- Keine zuverlässige Authentifizierung des Anrufers möglich.
Persönliches Vorsprechen mit amtlichem Ausweis.
- Nur bei “Campus-Diensten” praktikabel.
F.26
Vorlesungsfrage:
Welche Authentifizierungverfahren bieten sich für eine Mehrfaktor-Authentifizierung an?
- Authentifizierung durch Wissen –> Pw
Für Mehrfaktor AuthN:
- Authentifizierung durch Besitz: Ausweisdokument, TOTP Token, Smartcard
- Authentifizierung durch Biometrie: Fingerabdruck, Gesichtserkennung, Erkennung Tippverhalten
F.29
Vorlesungsfrage:
Welche potenziellen Probleme sind bei biometrischen Verfahren zu berücksichtigen?
- nicht jeder hat Fingerabdruckleser etc.
- ggf. erhöhter Support-Aufwand
- ggf. Komfortreduzierung (geringe Akzeptanz)
- Annahme, dass Biometrie (Fingerabdruck) nicht kopiert werden können –>Annahme dass Lesegeräte nicht kompromittiert sind
- Qualitativ hochwertige Messgeräte noch zu Teuer für Masseneinsatz
- Biometrische Systeme sind fehlerbehaftet
F.30-32
Vorlesungsfrage:
Wie kann die eID-Funktion des nPA in eigenen Anwendungen verwendet werden?
Zur Authentisierung des Clients:
1. Aufruf der Website
2. Weiterleitung vom Dienstanbieter zum eID Service
3. Chip- und Terminalauthentisierung durch eID Service an Bürger
4. Datenübermittlung von Bürger an eID Service
5. Datenübermittlung von eID Service an Dienstanbieter
6. Nutzer wurde authentisiert
F.36-37
Vorlesungsfrage:
Warum wird die nPA-Online-Ausweisfunktion bislang recht selten eingesetzt?
- Anzahl der nPA Online Dienste weit hinter den Erwartungen (vermehrt andere Formen der AuthN)
Hauptprobleme
- Eingeschränkte Zielgruppe (inkompatibel zu Id-Cards anderer Länder)
- Gesetzlich verordnete schlechte Usability auf Anwenderseite
- Organisatorischer Aufwand und Kosten auf Anbieterseite
F. 33-34
