Authentication, Password, Phising

Question 1

Identification

Answer 1

announce who you are

Question 2

Authentication

Answer 2

prove that you are indeed who you claimed to be:

• Knowledge (Passwort, Fragen)
• Posession (Schlüssel)
• physical Characteristiks (Biometrics, Gesichtserkennung, Fingerprint)
• mechanical Tasks (Handwriting, typing Speed)
• Location (certain terminal, GPS based)

Question 3

2 Faktor Authentication

Answer 3

RSA SecureID Card, AppleID

Question 4

Passwords

Answer 4

→store Password hashed

Question 5

Authentication with hashed password

Answer 5

Situation: user hold his Password(P) and user ID
Server only knows the Password hash(H) for a given user
Authentication: user sends hin P/ID to Server → Looks up for hash ID Server computes hash(P) and COmpares it with H

Question 6

Dictionary Attack

Answer 6

Situation: Attacker knows H and wants to retrieve P, and P is contained in a dictionary file (Pi)
Attack: Attacker computes hash value for all entries in the dictionary (Pi, Hi)
Dictionary Space is significantly smaller than full search space

Question 7

Salted Passwort hashed

Answer 7

P are stored in salted form → Random value S

Password hash is H = hash(P,S)

Question 8

Passwort Selection

Answer 8

To avoid dictionary attacks
P →significant length, containt letters, numbers and Special characters
- common Password selection technique (based on a sentence)

Question 9

Sessions

Answer 9

HTTP is stateless →Problem for Web applications
implement session trackings →Cookies
→Long lived

Question 10

Cookies

Answer 10

• after receiving credentials, Server has to maintain the Users authenticated dtate
• Instead: Attach authenticated to the session Cookie
• security Problems arise out of These characteristiks
  →Authentication with certificates

Question 11

Phising

Answer 11

= Daten von Internetnutzern bspw. über gefälschte Internetadressen, Email oder SMS abfangen
- Nachahmung Designs einer vertrauenswürdige Webseite
Methode: via Malware/Trojaner Kommunikationsweg abfangen, Register Domain that looks similar

Question 12

Access Control

Answer 12

Security Technik, mit der man reguliert , wer oder was bestimmte Ressourcen in einer Computing-Umgebung nutzen oder betrachten kann
2. Steps: Authentication (Wer?) + Authorization (bekommt er Zugang?)

Question 13

Access Control List

Answer 13

List that stores the accesss right to an object with the object itself

Question 14

Reference Monitor (Access Control)

Answer 14

abstrakte Maschine, that medicates all Access to Object by Subjects zb MS Windows

Question 15

Access Control Matrix

Answer 15

Matrix in der den Rollen die Rechte zugewiesen werden für ein bestimmten Object

Question 16

Capabilities (Access Control)

Answer 16

speichert Rechte mit Subject

ACL speichert Rechte mit Object

Question 17

Discretionary Access Control (DAC)

Answer 17

Hierbei wird die Entscheidung, ob auf eine Ressource zugegriffen werden darf, allein auf der Basis der Identität des Akteurs getroffen. Das heißt, die Zugriffsrechte für (Daten-)Objekte werden pro Benutzer festgelegt

Question 18

Mandatory Access Control (MAC)

Answer 18

Die Entscheidungen über Zugriffsberechtigungen werden nicht nur auf der Basis der Identität des Akteurs (Benutzers, Prozesses) und des Objekts gefällt, sondern aufgrund zusätzlicher Regeln und Eigenschaften