Sec-05-Authentication & Access Control Flashcards
Authentication vs. Authorization: What’s the Difference?
Authentication verifies the identity of a user or service, and authorization determines their access rights.
Was bedeutet Authentifizierung?
Authentifizierung ist der Prozess, bei dem die Identität eines Subjekts überprüft wird, indem es mit einer bestimmten Identität verbunden wird.
Welche drei Hauptarten von Authentifizierungsfaktoren gibt es?
Wissensfaktoren (Knowledge Factors) → Was das Subjekt weiß (z.B. Passwörter, PINs).
Besitzfaktoren (Ownership Factors) → Was das Subjekt besitzt (z.B. Chipkarten, Sicherheitstoken).
Biometrische Faktoren (Human/Inherent Factors) → Was das Subjekt ist (z.B. Fingerabdruck, Iris-Scan).
Welche Vorteile hat die Passwort-Authentifizierung?
Sie ist einfach zu implementieren und benötigt keine spezielle Hardware.
Was sind die Schwächen von Passwörtern?
Menschen haben begrenzte Gedächtniskapazität, wählen oft schwache oder leicht zu erratende Passwörter.
Passwörter können gestohlen oder ausgespäht werden (z.B. durch Phishing oder Keylogger).
Wiederverwendung von Passwörtern macht Angriffe einfacher.
Warum sind Sicherheitstoken oder Chipkarten sicherer als Passwörter?
Weil sie nicht so einfach kopiert oder erraten werden können. Aber können sie gestohlen oder verloren gehen.
Welche Vorteile und Nachteile hat die biometrische Authentifizierung?
Vorteile: Starke Bindung zwischen Identität und Person, schwer fälschbar.
Nachteile: Kann nicht einfach ersetzt werden (z.B. kann ein Fingerabdruck nicht geändert werden), Datenschutzprobleme.
Was ist Multi-Faktor-Authentifizierung?
Eine Kombination von mindestens zwei verschiedenen Authentifizierungsfaktoren.
Nenne ein Beispiel für Multi-Faktor-Authentifizierung aus dem Alltag.
Bezahlung mit Kreditkarte
- Scan der Kreditkarte (Besitzfaktoren-Ownership).
- Handschriftliche Unterschrift (Faktor Mensch).
Zahlung mit Debitkarte
- Scannen der Debitkarte (Besitzfaktoren).
- Eingabe der Karten-PIN (Wissensfaktoren).
Was ist ein Passwort?
-> Ein Passwort ist eine geheime Zeichenfolge (Wort, Phrase oder Zahl), die zur Authentifizierung einer Person gegenüber einem System dient.
*Häufig in Kombination mit (a)symmetrischer Kryptographie:
z.B. Passwort wird auf den Schlüssel einer symmetrischen Chiffre abgebildet
z. B. Passwort schützt privaten Schlüssel eines Public-Key-Algorithmus
Warum sind Passwörter die häufigste Authentifizierungsmethode?
Weil sie einfach zu implementieren sind, keine spezielle Hardware erfordern und Benutzer sie leicht verstehen können.
Problems with Passwords:
Welche Sicherheitsrisiken gibt es bei der Verwendung von Passwörtern?
1)Passwort-Snooping: Abhören von Passwörtern in Netzwerkverkehr. (eng. Eavesdropping of passwords in network traffic)
(Tastatur Eingabe) Abrufen von Passwörtern von Hosts (z. B. über Malware)
2)Password guessing (online) or cracking (offline):
Dictionary attacks = guessing using dictionary of words
Brute-force attacks = guessing using all possible strings
Passwort-Wiederverwendung: Nutzer verwenden dasselbe Passwort für mehrere Dienste, was Sicherheitsrisiken erhöht.
Was bedeutet „Passwort-Cracking“?
Passwort-Cracking ist der Versuch, ein Passwort durch verschiedene Angriffsstrategien zu erraten oder zu berechnen, um unbefugten Zugriff auf ein System/gestohlene Datenbank zu erhalten.
-> Wenn eine Passwort-Datenbank gestohlen wird, können Angreifer offline unendlich viele Versuche durchführen.
Warum ist das Speichern von Passwörtern im Klartext gefährlich?
Falls eine Datenbank gestohlen wird, haben Angreifer direkten Zugriff auf alle Passwörter.
Nutzer verwenden oft dasselbe Passwort auf mehreren Plattformen, was zu großflächigem Missbrauch führen kann.
Die Sicherheitsrichtlinien verlangen eine sichere Speicherung, um Angriffe wie Datenlecks zu verhindern.
Wie speichert man Passwörter sicher?
Hashing: Das Passwort wird mit einer kryptografischen Hash-Funktion in einen eindeutigen Wert umgewandelt.
Salting: Ein zufälliger String (Salt) wird dem Passwort hinzugefügt und gespeichert, bevor es gehasht wird. Dadurch werden identische Passwörter unterschiedlich gehasht, was Angriffe erschwert.
Key-Stretching: Mehrfache Anwendung der Hash-Funktion, um Brute-Force-Angriffe zu verlangsamen. (Slowing-down Crackers)
Was ist eine kryptografische Hash-Funktion?
Eine Einwegfunktion, die einen Eingabewert in eine feste Länge transformiert.
Beispiel: hash(“passwort123”) → 5f4dcc3b5aa765d61d8327deb882cf99 (MD5).
Ein guter Hash ist deterministisch (gleiche Eingabe → gleiche Ausgabe), aber nicht umkehrbar.
Security depends on….
quality of password, hash and salt.
Was ist Challenge-Response-Authentifizierung?
Challenge-Response ist ein Authentifizierungsverfahren, bei dem das System eine zufällige Herausforderung (Challenge) sendet und der Benutzer eine berechnete Antwort (Response) zurückgibt. Die Identität wird dadurch überprüft, ohne dass das Passwort direkt übertragen wird.
Warum wird Challenge-Response als sicherer als einfache Passwort-Authentifizierung angesehen?
Das Passwort selbst wird nicht übertragen, sondern nur eine berechnete Antwort.
Jede Challenge ist einzigartig, was Replay-Angriffe verhindert.
Es nutzt kryptografische Verfahren, um das Passwort zu schützen.
Was sind typische Einsatzbereiche von Challenge-Response-Authentifizierung?
Zwei-Faktor-Authentifizierung (2FA)
Smartcards und Hardware-Token
Online-Banking und digitale Signaturen
Netzwerkzugang (z. B. SSH-Authentifizierung)
Wie läuft ein Challenge-Response-Authentifizierungsprozess ab?
Das System sendet eine Challenge (eine zufällige Zahl oder ein Bitmuster).
Der Benutzer berechnet mit einer geheimen Funktion F(M) die Antwort.
Das System überprüft, ob die Response korrekt ist.
Warum verwendet Challenge-Response eine zufällige Challenge?
Damit sich die Challenge jedes Mal ändert und ein Angreifer eine zuvor aufgezeichnete Antwort nicht wiederverwenden kann (Schutz vor Replay-Angriffen).
Beispiel 1: Einmalpasswörter (OTP) mit Challenge-Response
Wie funktioniert Challenge-Response bei Einmalpasswörtern (OTP)?
Das System sendet eine Challenge (z. B. eine TAN-Nummer oder einen Zählerwert).
Der Benutzer gibt die entsprechende Antwort (OTP) aus einer zuvor generierten Liste ein.
Jede Antwort kann nur einmal verwendet werden.
Beispiel 2: RSA SecurID Token
Wie funktioniert Challenge-Response bei RSA SecurID?
-> Dazu braucht man ein Gerät.
Der Benutzer besitzt ein Hardware-Token, das alle 60 Sekunden eine neue Zahl generiert.
Diese Zahl basiert auf einem geheimen Seed und der aktuellen Uhrzeit.
Das System kann die erwartete Antwort berechnen und verifizieren.
Was ist Zugriffskontrolle (Access Control)?
Zugriffskontrolle bestimmt, welche Benutzer oder Prozesse auf welche Ressourcen zugreifen dürfen und welche Aktionen sie ausführen können.
Warum ist Zugriffskontrolle wichtig?
Schutz sensibler Daten vor unbefugtem (unauthorized) Zugriff.
Einhaltung von Sicherheitsrichtlinien (z. B. Datenschutzbestimmungen).
Minimierung von Schäden durch Insider-Bedrohungen oder Hackerangriffe.
Was machen Autorisierung und Zugangskontrolle ?
- Kontrolle darüber, was ein Subjekt tun darf
- Verwaltung von Berechtigungen und Fähigkeiten
- Häufig enge Kopplung mit Authentifizierung
Schema zum Verstehen:
Identität - bindet - Alice (Subject) - (Aktion)-(aber erlaubt?) - Object
Also Identität bindet zum Subject (Alice) - Authentifizierung
dann Alice tut eine Aktion zur Object (Programm, Anwendung usw.) aber erlaubt ? - Autorisierung und Zugriffskontroll
Was tut Access Control Matrix ?
Zugriffsmatrix bildet Subjekten und Objekten auf Befugnisse (Autorisierung/Berechtigungen) ab.
-die Spalten für Objects stellen die Zugangskontrolllisten dar.
-die Zeilen für Subjects stellen die Capabilities -(Fähigkeiten) dar.
Welche einige Merkmale werden von Zugangskontrollmodellen zugeordnet ?
- Definition von Objekten und Subjekten:
Subjekte können z.B. Benutzer, Prozesse oder Hosts sein - Repräsentation von Berechtigungen (permissions)
z. B. Spalten (Zugangskontrolllisten), Zeilen (Fähigkeiten) - Verwaltung von Berechtigungen (permissions)
z. B. diskretionäre, obligatorische oder rollenbasierte Zugriffskontrolle. (discretionary, mandatory or role-based access control)
Was ist eine Access Control List (ACL)? Was sind die Vorteile und Nachteile von ACLs?
Eine ACL ist eine Liste von Zugriffsrechten, die mit einem Objekt (z. B. einer Datei) verknüpft ist.
z.B Eine Datei kann eine ACL haben, die festlegt, welche Benutzer sie lesen oder ändern dürfen.
Vorteile:
Effiziente Verwaltung von Berechtigungen für einzelne Objekte.
Einfache Implementierung in Betriebssystemen und Datenbanken.
Nachteile:
Kann sehr lang und schwer zu verwalten sein, wenn viele Benutzer existieren.
Fehlende zentrale Kontrolle, wenn ACLs individuell geändert werden.
Was ist Capability-Based Access Control?
Anstatt Zugriffsrechte mit Objekten zu verknüpfen (wie bei ACLs), werden sie mit Benutzern (Subjekten) gespeichert.
Jeder Benutzer hat eine “Capability List” (Fähigkeitsliste), die zeigt, auf welche Ressourcen er zugreifen kann.
Was sind die drei grundlegenden Zugriffskontrollmodelle?
Diskretionäre Zugriffskontrolle (DAC) = Der Eigentümer/Benutzer eines Objekts kontrolliert den Zugriff. Bequem, aber unsicher, wenn das Objekt den Besitzer wechselt.
(Mandatory) Obligatorische Zugriffskontrolle (MAC) = System erzwingt global die Zugriffskontrolle. Sehr sicher, aber mühsam zu entwerfen und zu betreiben.
(z.B. Militärische Systeme)
Rollenbasierte Zugriffskontrolle (RBAC) = System erzwingt Zugriffskontrolle mit Hilfe von Rollen. *Zwischen den Modellen DAC und MAC
(z.B. Admin, User, Gast).
Wie funktioniert Zugriffskontrolle in Unix-Systemen?
Jede Datei hat Besitzer, Gruppe und Rechte (Lesen, Schreiben, Ausführen).
Das System prüft beim Zugriff, ob der Benutzer die erforderlichen Rechte hat.
Was ist der Unterschied zwischen Authentifizierung und Zugriffskontrolle?
Authentifizierung: Überprüfung, ob eine Person die ist, für die sie sich ausgibt.
Zugriffskontrolle: Bestimmt, welche Rechte eine authentifizierte Person hat.
