Authentifizierung

Question 1

Authentifizierung…

Answer 1

ist die Bindung einer Identität an ein Subjekt

Question 2

Authentifizierungsprozess besteht aus…

Answer 2

• Erhalt der Authentifizierungsinformationen vom Subjekt
• Analyse der Daten
• Feststellung, ob die Daten mit dem Subjekt assoziiert sind

Question 3

Passwort

Answer 3

ist eine Information die mit einer Einheit verbunden ist und di die Identität dieser Einheit bestätigt

Question 4

Angriffe auf Passwortsysteme

Answer 4

• Passwörter erraten
• Passwörter abfangen
• Kompromittierung der Passwort-Datei
• Bedrohung des Subjekts
• Social Engineering

Question 5

Passwörter erraten - Unterschied zwischen Vollständiger und Intelligenter Suche

Answer 5

Vollständige Suche - Brute Force
- Ausprobieren aller möglichen Kombinationen von zulässigen Symbolen bis zu einer bestimmten Länge

Intelligente Suche
- ausprobieren von Passwörtern, die irgendwie mit dem Nutzer verbunden sind oder generell der populär sind

Question 6

Passwort - Verteidigungsmöglichkeiten

Answer 6

• Default-Passwort wechseln
• minimale Passwortlänge verwenden
• Passwortkomplexität
• Offensichtliche Passwörter vermeiden
• Passwörter nicht auf unterschiedlichen Systemen wiederverwenden

Question 7

Passwort - Systeminterne Verteidigungsmöglichkeiten

Answer 7

• Pro-aktive Passwortüberprüfung
• Passwortgeneration
• Alterung von Passwörtern
• Limitierung der Login-Versuche
• Benutzer informieren

Question 8

Passwörter abfangen (Spoofing) - Vorgehensweise

Answer 8

1. Angreifer lässt ein Programm laufen, dass einen gefälschten Login-Screen anzeigt
2. Nutzer versucht sich in das System einzuloggen
3. Er wird nach Benutzername und Passwort gefragt
4. Der Angreifer speichert diese Daten
5. Der Login wird mit einer (gefälschten) Fehlermeldung abgebrochen und das Spoofing Programm wird beendet
6. Benutzer wird dann auf den echten Login-Screen weitergeleitet

Question 9

Phishing

Answer 9

• Betrügerische E-Mail
• Link zu gefälschter Login-Seite
• Gefälschte Adresse ist in URL sichtbar

Question 10

Pharming

Answer 10

• Wenn der Nutzer nach der zu einer bestimmten URL gehörigen IP Adresse fragt, bekommt er eine falsche Adresse als Antwort
• Angriff gegen den DNS Server oder den PC des Nutzers
• Wenn der Nutzer versucht die Webseite aufzurufen, wird er auf die falsche Webseite umgelenkt

Question 11

Pharming - Gegenmaßnahmen

Answer 11

• Mehrseitige Authentifizierung
• Vertrauenswürdiger Pfad
• Anzeige der Anzahl fehlgeschlagener Anmeldeversuche

Question 12

Kompromittierung der Passwort-Datei

Answer 12

• Um die Identität eines Nutzers zu überprüfen, vergleicht das System das Passwort mit einem in der Passwort-Datei gespeicherten Wert
• Die Passwort-Datei ist daher ein äußerst attraktives Angriffsziel für einen Angreifer
• Selbst wenn die Passwort-Datei verschlüsselt ist, besteht die Möglichkeit für eine Offline-Wörterbuch-Attacke

Question 13

Kompromittierung der Passwort Datei - Schützen

Answer 13

• Kryptografischer Schutz
• Zugriffskontrolle durch das Betriebssystem
• Eine Kombination von beidem, eventuell mit zusätzlichen Erweiterungen, um Wörterbuch-Attacken auszubremsen

Question 14

Security Tokens

Answer 14

• Der Nutzer muss ein physikalisches Token vorweisen, um sich zu authentisieren
• Beispiele: Smartcards oder Identity-Tokens
• Smartcards könnten eine Alternative zu Passwörtern darstellen

Question 15

Biometrie

Answer 15

Identifikation durch physikalische Merkmale ist so alt wie die Menschheit selbst

• Fingerabdruck
• Iris Scan
• Stimmerkennung
• Gesichtserkennung
• Unterschriftenerkennung

Question 16

Biometrie - Risiken und Probleme

Answer 16

• Patterns werden nur in Ausnahmefällen präzise übereinstimmen
• Dadurch entstehen neue Probleme: False Positives und False Negatives
• Replay Attacken sind möglich
• Biometrische Attribute können nur schlecht zurückgenommen werden

Question 17

Komponenten der Unterschriftenerkennung

Answer 17

Data Capture:
Der Prozess die Unterschrift digital zu konvertieren.

Preprocessing:
Daten werden in standardisiertes Format gebracht.

Feature extraction:
Schlüsselinformationen werden extrahiert.

Comparison process:
Daten werden abgeglichen. Das Ergebnis ist eine Übereinstimmungsrate.

Performance evaluation:
Es wird eine Entscheidung getroffen. Typischerweise anhand von Schwellwerten.

Question 18

Multi-Faktoren Authentifizierung

Answer 18

• Authentifizierungsmechanismen können kombiniert werden und unterschiedliche Methoden können verwendet werden.
• Angreifer muss mehr wissen oder mehr besitzen

Beispiel: Geldautomat - EC-Karte und PIN

Question 19

Challenge/Response

Answer 19

• Passwörter haben das Problem, dass sie wiederverwendet werden können.
• Wenn ein Angreifer ein Passwort sieht, kann er es später selber verwenden - Replay Attacke
• Das System kann nicht zwischen dem Angreifer und rechtmäßigen Nutzer unterscheiden und erlaubt den Zugriff
• Stattdessen könnte man so authentifizieren, dass jedes mal ein anderes Passwort übertragen wird.

Question 20

Verfahren des Challenge Response

Answer 20

• Nutzer will sich gegenüber des Systems authentifizieren
• Beide haben sich auf eine geheime Funktion geeinigt
• Wenn eine Authentifizierung nötig ist, schickt das System eine zufällige Nachricht an den User
• User antwortet
• System überprüft die Antwort, in dem es die Antwort selbst ausrechnet und vergleicht