Authentifizierung Flashcards
Authentifizierung…
ist die Bindung einer Identität an ein Subjekt
Authentifizierungsprozess besteht aus…
- Erhalt der Authentifizierungsinformationen vom Subjekt
- Analyse der Daten
- Feststellung, ob die Daten mit dem Subjekt assoziiert sind
Passwort
ist eine Information die mit einer Einheit verbunden ist und di die Identität dieser Einheit bestätigt
Angriffe auf Passwortsysteme
- Passwörter erraten
- Passwörter abfangen
- Kompromittierung der Passwort-Datei
- Bedrohung des Subjekts
- Social Engineering
Passwörter erraten - Unterschied zwischen Vollständiger und Intelligenter Suche
Vollständige Suche - Brute Force
- Ausprobieren aller möglichen Kombinationen von zulässigen Symbolen bis zu einer bestimmten Länge
Intelligente Suche
- ausprobieren von Passwörtern, die irgendwie mit dem Nutzer verbunden sind oder generell der populär sind
Passwort - Verteidigungsmöglichkeiten
- Default-Passwort wechseln
- minimale Passwortlänge verwenden
- Passwortkomplexität
- Offensichtliche Passwörter vermeiden
- Passwörter nicht auf unterschiedlichen Systemen wiederverwenden
Passwort - Systeminterne Verteidigungsmöglichkeiten
- Pro-aktive Passwortüberprüfung
- Passwortgeneration
- Alterung von Passwörtern
- Limitierung der Login-Versuche
- Benutzer informieren
Passwörter abfangen (Spoofing) - Vorgehensweise
- Angreifer lässt ein Programm laufen, dass einen gefälschten Login-Screen anzeigt
- Nutzer versucht sich in das System einzuloggen
- Er wird nach Benutzername und Passwort gefragt
- Der Angreifer speichert diese Daten
- Der Login wird mit einer (gefälschten) Fehlermeldung abgebrochen und das Spoofing Programm wird beendet
- Benutzer wird dann auf den echten Login-Screen weitergeleitet
Phishing
- Betrügerische E-Mail
- Link zu gefälschter Login-Seite
- Gefälschte Adresse ist in URL sichtbar
Pharming
- Wenn der Nutzer nach der zu einer bestimmten URL gehörigen IP Adresse fragt, bekommt er eine falsche Adresse als Antwort
- Angriff gegen den DNS Server oder den PC des Nutzers
- Wenn der Nutzer versucht die Webseite aufzurufen, wird er auf die falsche Webseite umgelenkt
Pharming - Gegenmaßnahmen
- Mehrseitige Authentifizierung
- Vertrauenswürdiger Pfad
- Anzeige der Anzahl fehlgeschlagener Anmeldeversuche
Kompromittierung der Passwort-Datei
- Um die Identität eines Nutzers zu überprüfen, vergleicht das System das Passwort mit einem in der Passwort-Datei gespeicherten Wert
- Die Passwort-Datei ist daher ein äußerst attraktives Angriffsziel für einen Angreifer
- Selbst wenn die Passwort-Datei verschlüsselt ist, besteht die Möglichkeit für eine Offline-Wörterbuch-Attacke
Kompromittierung der Passwort Datei - Schützen
- Kryptografischer Schutz
- Zugriffskontrolle durch das Betriebssystem
- Eine Kombination von beidem, eventuell mit zusätzlichen Erweiterungen, um Wörterbuch-Attacken auszubremsen
Security Tokens
- Der Nutzer muss ein physikalisches Token vorweisen, um sich zu authentisieren
- Beispiele: Smartcards oder Identity-Tokens
- Smartcards könnten eine Alternative zu Passwörtern darstellen
Biometrie
Identifikation durch physikalische Merkmale ist so alt wie die Menschheit selbst
- Fingerabdruck
- Iris Scan
- Stimmerkennung
- Gesichtserkennung
- Unterschriftenerkennung
Biometrie - Risiken und Probleme
- Patterns werden nur in Ausnahmefällen präzise übereinstimmen
- Dadurch entstehen neue Probleme: False Positives und False Negatives
- Replay Attacken sind möglich
- Biometrische Attribute können nur schlecht zurückgenommen werden
Komponenten der Unterschriftenerkennung
Data Capture:
Der Prozess die Unterschrift digital zu konvertieren.
Preprocessing:
Daten werden in standardisiertes Format gebracht.
Feature extraction:
Schlüsselinformationen werden extrahiert.
Comparison process:
Daten werden abgeglichen. Das Ergebnis ist eine Übereinstimmungsrate.
Performance evaluation:
Es wird eine Entscheidung getroffen. Typischerweise anhand von Schwellwerten.
Multi-Faktoren Authentifizierung
- Authentifizierungsmechanismen können kombiniert werden und unterschiedliche Methoden können verwendet werden.
- Angreifer muss mehr wissen oder mehr besitzen
Beispiel: Geldautomat - EC-Karte und PIN
Challenge/Response
- Passwörter haben das Problem, dass sie wiederverwendet werden können.
- Wenn ein Angreifer ein Passwort sieht, kann er es später selber verwenden - Replay Attacke
- Das System kann nicht zwischen dem Angreifer und rechtmäßigen Nutzer unterscheiden und erlaubt den Zugriff
- Stattdessen könnte man so authentifizieren, dass jedes mal ein anderes Passwort übertragen wird.
Verfahren des Challenge Response
- Nutzer will sich gegenüber des Systems authentifizieren
- Beide haben sich auf eine geheime Funktion geeinigt
- Wenn eine Authentifizierung nötig ist, schickt das System eine zufällige Nachricht an den User
- User antwortet
- System überprüft die Antwort, in dem es die Antwort selbst ausrechnet und vergleicht