From 6fe80827b063ef68d625e08be967f3df2cd9f847 Mon Sep 17 00:00:00 2001 From: Dominik Date: Mon, 28 Jul 2025 21:31:22 +0200 Subject: [PATCH] fix: enhance clarity and detail in biometric authentication and SMS OTP sections --- .../content.tex | 2 +- .../content.tex | 2 ++ .../content.tex | 19 +++++++++++++++++++ 3 files changed, 22 insertions(+), 1 deletion(-) diff --git a/content/3 Moderne Authentifizierungsverfahren Überblick/content.tex b/content/3 Moderne Authentifizierungsverfahren Überblick/content.tex index 1f7ade5..c3d7787 100644 --- a/content/3 Moderne Authentifizierungsverfahren Überblick/content.tex +++ b/content/3 Moderne Authentifizierungsverfahren Überblick/content.tex @@ -10,4 +10,4 @@ Organisationen wechseln von den traditionellen Authentifizierungsverfahren zu mo Im Falle das ein Angreifer die erste Überprüfungsstufe, die zum Beispiel ein Passwort ist, überwindet aber die zweite Stufe nicht, so erhält dieser keinen Zugriff auf die Ressourcen und die Daten bleiben geschützt. (vgl.\:\cite{vigo2024}) -Die folgenden Abschnitte geben einen Überblick über die modernen AAuthentifizierungsverfahren FIDO2, biometrische Authentifizierungsverfahren und Multi-Faktor-Authentifizierung. \ No newline at end of file +Die folgenden Abschnitte geben einen Überblick über die modernen Authentifizierungsverfahren FIDO2, biometrische Authentifizierungsverfahren und Multi-Faktor-Authentifizierung. \ No newline at end of file diff --git a/content/5 Biometrische Authentifizierungsverfahren/content.tex b/content/5 Biometrische Authentifizierungsverfahren/content.tex index 8fb8b07..de201fe 100644 --- a/content/5 Biometrische Authentifizierungsverfahren/content.tex +++ b/content/5 Biometrische Authentifizierungsverfahren/content.tex @@ -179,11 +179,13 @@ Viele Systeme basieren auf verzerrten Datensätzen, die zu 77\,\% aus männliche Diese ungleiche Verteilung führt zu einer groben Fehldarstellung der allgemeinen Demografie und hat zur Folge, dass bestimmte Bevölkerungsgruppen benachteiligt werden. So werden asiatische und afroamerikanische Personen häufiger falsch oder gar nicht erkannt. Auch Transgender- und nicht-binäre Personen werden oft fehlerhaft kategorisiert, was nicht nur zu praktischen Problemen, sondern auch zu Diskriminierung führen kann. + Ein weiteres zentrales Thema sind Datenschutzbedenken. Die Sammlung großer Mengen biometrischer Daten findet oftmals ohne ausdrückliche Zustimmung durch staatliche Stellen ab und wirft erhebliche Fragen nach dem Schutz der Privatsphäre auf. Durch die Speicherung dieser sensiblen Informationen in großen Datenbanken werden sie zu einem attraktiven Ziel für Hacker, wodurch das Risiko von Identitätsdiebstahl und Betrug deutlich steigt. Selbst wenn Verschlüsselungstechnologien eingesetzt werden, bleiben Sicherheitsbedenken bestehen, da biometrische Merkmale im Gegensatz zu Passwörtern nicht einfach geändert werden können. Einmal kompromittierte Daten stellen daher ein dauerhaftes Risiko dar. + Darüber hinaus sind biometrische Systeme anfällig für physische Veränderungen. Verändert sich das Aussehen einer Person zum Beispiel durch Verletzungen, Operationen, Alterungsprozesse oder andere körperliche Anpassungen, kann dies dazu führen, dass die Authentifizierung fehlschlägt. Im schlimmsten Fall kann der Zugang zu Konten oder Geräten dauerhaft verloren gehen, wenn keine alternativen Authentifizierungsmethoden vorhanden sind. diff --git a/content/6 Multi-Faktor-Authentifizierung/content.tex b/content/6 Multi-Faktor-Authentifizierung/content.tex index a98cd56..34df4f1 100644 --- a/content/6 Multi-Faktor-Authentifizierung/content.tex +++ b/content/6 Multi-Faktor-Authentifizierung/content.tex @@ -42,6 +42,7 @@ Hardware-Token oder auch Authentifizierungstoken genannt, waren ursprünglich da Vom aussehen ähneln sie einer Mischung aus einem USB-Stick und einem Schlüsselanhänger mit größtenteils einem kleinen Display. Manche besitzen auch ein Tastenfeld, um eine PIN einzugeben. Die Hauptfunktion eines Hardware-Tokens ist es, bei jedem Login-Versuch einen neuen nummerischen Code zu generieren. + Heutzutage gibt es zwei Arten von Hardware-Token, die synchronisierten und asynchronen Tokens. Synchronisierte Tokens stimmen ihre interne Zeit mit der des Authentifizierungsservers ab und erzeugen auf Basis dieser Zeit einen Code. Asynchrone Tokens hingegen, erhalten eine zufällige Ziffernfolge vom Server. @@ -52,4 +53,22 @@ Somit kann der Token den nummerischen Code automatisch an das System oder die An \subsubsection{Einmalpasswörter über Short-Message-Service}\label{subsubsec:einmalpassworter-uber-sms} +Die SMS als Authentifizierungsfaktor ist keine neue Methode und lässt sich folgendermaßen beschreiben: Nachdem ein Nutzer seinen Benutzernamen und sein Passwort in ein System eingegeben hat, wird ein einmalig gültiges Passwort, ein sogenanntes One-Time Password (OTP), erzeugt und dem Nutzer per SMS zugesendet. +Der Nutzer muss diesen erhaltenen Code anschließend in das System oder die Anwendung eingeben, bevor ihm der Zugang gewährt wird. + +Das OTP wird dabei mithilfe des HMAC-based One-Time Password (HOTP)-Algorithmus berechnet. +Die technische Spezifikation dieses Verfahrens ist im Dokument RFC 4226 beschrieben. +Das OTP zählt nicht zur Kategorie „Wissen“, da sich der Nutzer den Code nicht merken muss. +Vielmehr gehört es zur Kategorie „Besitz“, da der Code an das persönliche Mobiltelefon des Nutzers gesendet wird. + +Es gibt jedoch einige Schwachstellen bei dieser Methode. Das National Institute of Standards and Technology (NIST) hat erkannt, dass das System nicht überprüfen kann, ob das OTP tatsächlich beim vorgesehenen Empfänger ankommt. +Ein weiteres potenzielles Risiko ergibt sich aus Sicherheitslücken im SS7-Protokoll (Signaling System Number 7), das auch als CCIS7 (Common Channel Interoffice Signaling 7) bekannt ist. +Dieses Protokoll wird hauptsächlich dazu verwendet, Mobilfunknetze zu verbinden und Anrufe sowie SMS zwischen verschiedenen Netzwerken weiterzuleiten. +Sollte ein Angreifer Zugriff auf das SS7-Protokoll erhalten, könnte er Telefonate und SMS mitlesen und so auch OTPs abfangen, die per SMS versendet werden. + +Aus diesen Gründen betrachten Experten den SMS-Authentifizierungsfaktor als die am wenigsten sichere Form der Benutzerauthentifizierung. +Dennoch wird diese Methode nach wie vor am häufigsten eingesetzt, vor allem von Finanzinstituten. +(vgl.\:\cite{boonkrong2021}, S.\,138\:f.) + + (vgl. \cite{boonkrong2021}, S.\,138\:f.) \ No newline at end of file