Authentication, Passwords, Phishing Flashcards
Welche Arten von Authentifizierung gibt es (5) + Beispiel ?
- Knowledge
Der Nutzer muss beweisen, dass er etwas weiß
Beispiel: Passwort oder Frage
2.Possession
Der Nutzer muss beweisen, dass er etwas besitzt
Beispiel: key oder physical token
3.Physical Characteristics (Biometrics)
Der Nutzer muss sich anhand einer physischen Eigenschaft identifizieren
Beispiel: Fingerabdruck, Face-ID
4.Mechanical Tasks
Der Nutzer muss eine mechanische Aufgabe erledigen, anhand derer er erkannt werden kann
Beispiel: Handschrift, Schreibgeschwindigkeit
5.Location
Der Nutzer muss an einem bestimmten Standort sein
Beispiel: Prüfung erfolgt z.B. über GPS
Was ist Multiple-Factor-Authentification?
Mehr als eine Art von Authentifizierung wird genutzt. Der Nutzer muss zum Beispiel erst sein Passwort eingeben und bekommt dann einen Code per E-Mail den er dann ebenfalls eingeben muss.
Unterschied Identifikation und Authentifizierung ?
Bei einer Identifizierung muss man angeben wer man ist. Bei einer Authentifizierung muss man beweisen, dass man diese bestimmte Person ist zum Beispiel durch Eingabe eines Passworts .
Unterschied Authentifizierung und Autorisation
Bei einer Authentifizierung muss man beweisen, dass man eine bestimmte Person ist, während man bei einer Autorisation darauf geprüft wird, ob man Zugang zu etwas bestimmten hat.
Warum sollte man ein Passwort gehashed speichern?
Das Unternehmen kennt das eigentliche Passwort nicht, sondern nur den Hash und es hat auch keine Möglichkeit, aus dem Hash das Passwort zu entschlüsseln
Wie können gehaste Passwörter trotzdem gehackt werden ?
Durch Tools kann repliziert werden wie für bestimmte Wörter der zugehörige Hashwert berechnet wird. Danach wird überprüft, ob der Hashwert in der Liste der gestohlenen Nutzerdaten vorhanden ist. Ist ein identischer Hashwert vorhanden, ist das Passwort gecrackt. Das Passwort wird nun als Klartext angezeigt.
Was ist ein Dictionary Attack ?
Ein Wörterbuchangriff ist eine systematische Methode, ein Passwort zu erraten, indem viele gebräuchliche Wörter und einfache Variationen davon ausprobiert werden. Die Angreifer verwenden umfangreiche Listen mit am häufigsten verwendeten Passwörtern, oder auch nur Wörter aus einem Wörterbuch.
Was ist Phishing und wie kann man sich davor schützen?
Unter dem Begriff Phishing versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben. Ziel des Betrugs ist es, z. B. an persönliche Daten eines Internet-Benutzers zu gelangen oder ihn zur Ausführung einer schädlichen Aktion zu bewegen.
Man kann sich dagegen schützen durch:
- Robuste URL-Bars in browsern
- Anti-Phishing blacklisten
- Zwei-Faktor-Authentifizierung
Indikator für Phishingangriff?
Ein Indikator für einen Angriff ist die URL der Phishing Seite, da diese nicht eins zu eins repliziert werden kann
Wie funktioniert Access Control
Access Control ist eine Security-Technik, mit der man reguliert, wer oder was bestimmte Ressourcen in einer Computing-Umgebung nutzen oder betrachten kann.
Es erfolgen zwei Schritte ->
1. Authentication: Wer will darauf zugreifen
2. Authorization: Darf er darauf zugreifen?
Der Referenzmonitor ist dann für die Kontrolle und Durchsetzung der Zugriffsrechte zuständig.
Unterschied Mandatory vs Discretionary Access Control
Beim DAC gibt es einen Owner für jedes Objekt, der dann festlegt wer auf dieses Objekt zugreifen kann. Beim MAC hingegen gibt es eine systemweite Sicherheitsregelung, Nutzer mit einem bestimmten Level können dann nur auf bestimmte Objekte zugreifen.
Acces Control Matrix
Matrix, die die Zugriffsrechte zwischen dem Nutzer und dem zu nutzenden Objekt definiert.
Unterschied zwischen Capabilities vs Access Control
Mit Access Control Lists (ACL) wird eine objektbezogene Sicht auf die Zugriffsmatrix realisiert, während bei Capabilities eine subjektbezogene Sicht eingenommen wird. Bei ACL wird eine Liste mit den Nutzern, die Zugriff zu einem Objekt haben und welche sie haben angelegt. Bei Capabilities wird eine Liste mit Rechten, die ein Nutzer für jedes Objekt hat angelegt.
