Vorlesung 5 Flashcards
Was ist Authentifizierung?
Der Prozess der Bestätigung der Identität eines Benutzers oder Systems, oft durch Überprüfung von Anmeldeinformationen.
Was ist der Unterschied zwischen Authentifizierung und Autorisierung?
- Authentifizierung: Überprüfung, ob eine Person ist, wer sie vorgibt zu sein.
- Autorisierung: Entscheidung, ob diese Person Zugriff auf eine Ressource hat.
Welche drei Faktoren gibt es zur Authentifizierung?
- Wissen – Etwas, das der Benutzer weiß (z. B. Passwort, PIN).
- Besitz – Etwas, das der Benutzer besitzt (z. B. Sicherheits-Token, EC-Karte).
- Biometrie – Etwas, das der Benutzer ist (z. B. Fingerabdruck, Gesichtserkennung).
Was ist Multi-Faktor-Authentifizierung (MFA)?
Eine Kombination aus mindestens zwei Authentifizierungsfaktoren (z. B. Passwort + Fingerabdruck).
Warum ist Multi-Faktor-Authentifizierung sicherer als Einzelfaktor-Authentifizierung?
Weil ein Angreifer mehrere unabhängige Hürden überwinden muss, anstatt nur ein Passwort zu erraten.
Warum sind Passwörter allein nicht sicher genug?
- Nutzer wählen oft schwache oder wiederverwendete Passwörter.
- Passwortdatenbanken können durch Datenlecks kompromittiert werden.
- Angriffe wie Phishing oder Credential Stuffing sind möglich.
Welche Angriffsmethoden gibt es auf passwortbasierte Authentifizierung?
- Brute-Force-Angriff: Durchprobieren aller möglichen Passwörter.
- Wörterbuchangriff: Testen häufig verwendeter Passwörter.
- Credential Stuffing: Nutzung gestohlener Passwörter aus früheren Leaks.
- Phishing: Nutzer dazu bringen, ihre Passwörter preiszugeben.
- Shoulder Surfing: Passwörter durch Beobachten ausspähen.
Wie können Server Passwörter sicher speichern?
Durch Hashing und Salting, damit selbst bei einem Datenleck keine Passwörter im Klartext zugänglich sind.
Warum wird Salt beim Hashing von Passwörtern verwendet?
Um zu verhindern, dass gleiche Passwörter denselben Hash haben, was Angriffe durch Rainbow Tables erschwert.
Welche Hashfunktionen sind für die Speicherung von Passwörtern empfehlenswert?
PBKDF2, bcrypt, Argon2 – weil sie iterativ sind und Brute-Force-Angriffe verlangsamen.
Warum sind einfache Passwortrichtlinien wie „mindestens 8 Zeichen, ein Sonderzeichen“ nicht optimal?
- Nutzer neigen dazu, vorhersehbare Muster zu verwenden.
- Lange, zufällige Passwörter oder Passphrasen sind sicherer.
- Passwort-Manager helfen, komplexe Passwörter zu verwalten.
Was ist ein One-Time Password (OTP)?
Ein einmalig gültiges Passwort, das oft per SMS, E-Mail oder App generiert wird.
Warum ist SMS als zweiter Faktor problematisch?
- Angreifer können durch SIM-Swapping die Kontrolle über SMS erhalten.
- SMS kann durch Man-in-the-Middle-Angriffe abgefangen werden.
Wie funktioniert die FIDO2-Authentifizierung?
- Nutzt asymmetrische Kryptographie zur Authentifizierung ohne Passwörter.
- Der Server speichert nur den öffentlichen Schlüssel.
- Der private Schlüssel bleibt sicher auf dem Gerät des Nutzers.
Was ist der Unterschied zwischen FIDO2 und Passkeys?
FIDO2 ist der technische Standard für passwortlose Authentifizierung. Passkeys sind eine benutzerfreundliche Implementierung davon.
Was ist ein Security Token?
Ein physisches Gerät (z. B. YubiKey), das für die Authentifizierung genutzt wird.
Was ist der Unterschied zwischen Einweg- und Zweiweg-Authentifizierung?
- Einweg-Authentifizierung: Der Nutzer authentifiziert sich gegenüber dem Server.
- Zweiweg-Authentifizierung: Beide Parteien authentifizieren sich gegenseitig (z. B. TLS mit Client-Zertifikaten).
Was ist eine Challenge-Response-Authentifizierung?
Ein Verfahren, bei dem der Server eine zufällige Herausforderung sendet, die der Nutzer mit einer verschlüsselten Antwort beantwortet.
Wie schützt Liveness Detection biometrische Systeme?
Durch Überprüfung von Merkmalen wie Blinzeln oder Wärme, um Spoofing mit Fotos oder Masken zu verhindern.
Warum sind biometrische Authentifizierungsmethoden nicht immer sicher?
- Biometrische Merkmale können nicht einfach geändert werden, falls sie kompromittiert werden.
- Hochauflösende Bilder oder künstliche Fingerabdrücke können genutzt werden, um Scanner zu täuschen.
Was ist die False Acceptance Rate (FAR)?
Der Anteil der fälschlicherweise akzeptierten nicht berechtigten Nutzer bei biometrischer Authentifizierung.
Was ist die False Rejection Rate (FRR)?
Der Anteil der berechtigten Nutzer, die fälschlicherweise abgelehnt werden.
Was bedeutet die Equal Error Rate (EER) in biometrischen Systemen?
Der Punkt, an dem FAR und FRR gleich groß sind – oft als Maß für die Gesamtgenauigkeit eines Systems verwendet.
Warum ist die Identifizierung mit biometrischen Daten problematisch?
- Identitätsdiebstahl ist möglich, da biometrische Merkmale nicht zurückgesetzt werden können.
- Datenschutzbedenken bei zentraler Speicherung von biometrischen Daten.
Warum sind graphische Passwörter wie Windows Picture Passwords weniger verbreitet?
- Schwierigkeit, eine ausreichende Passwortvielfalt zu gewährleisten.
- Erhöhte Anfälligkeit für Shoulder-Surfing-Angriffe.
- Weniger Standardisierung und Unterstützung in der Softwarelandschaft.
Wie funktionieren Passfaces?
Der Nutzer authentifiziert sich, indem er bekannte Gesichter aus einer Menge von Bildern auswählt.
Was ist ein gutes Passwort?
Ein langes, zufälliges Passwort oder eine Passphrase mit mindestens 12–16 Zeichen, idealerweise generiert und gespeichert in einem Passwort-Manager.
Warum sind Passwortrichtlinien mit erzwungenem regelmäßigen Wechsel oft kontraproduktiv?
- Nutzer tendieren dazu, vorhersehbare Muster zu nutzen.
- Regelmäßiger Wechsel führt zu Wiederverwendung ähnlicher Passwörter
- Stattdessen sollten Passwörter nur nach einem Datenleck geändert werden.
Warum sollten Benutzer Passwort-Manager verwenden?
- Ermöglichen die Nutzung einzigartiger, starker Passwörter für jeden Dienst.
- Reduzieren die Gefahr von Credential Stuffing und Phishing.
- Automatisieren das sichere Speichern und Ausfüllen von Login-Daten.
