dom/Ausarbeitung_Informationssicherheit_II
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

fix: enhance clarity and detail in biometric authentication and SMS OTP sections

Browse Source
This commit is contained in:
Dominik
2025-07-28 21:31:22 +02:00
parent 9e497b5409
commit 6fe80827b0
3 changed files with 22 additions and 1 deletions
Download Patch File Download Diff File Expand all files Collapse all files

19
content/6 Multi-Faktor-Authentifizierung/content.tex
View File

@@ -42,6 +42,7 @@ Hardware-Token oder auch Authentifizierungstoken genannt, waren ursprünglich da
Vom aussehen ähneln sie einer Mischung aus einem USB-Stick und einem Schlüsselanhänger mit größtenteils einem kleinen Display.
Manche besitzen auch ein Tastenfeld, um eine PIN einzugeben.
Die Hauptfunktion eines Hardware-Tokens ist es, bei jedem Login-Versuch einen neuen nummerischen Code zu generieren.
Heutzutage gibt es zwei Arten von Hardware-Token, die synchronisierten und asynchronen Tokens.
Synchronisierte Tokens stimmen ihre interne Zeit mit der des Authentifizierungsservers ab und erzeugen auf Basis dieser Zeit einen Code.
Asynchrone Tokens hingegen, erhalten eine zufällige Ziffernfolge vom Server.
@@ -52,4 +53,22 @@ Somit kann der Token den nummerischen Code automatisch an das System oder die An
\subsubsection{Einmalpasswörter über Short-Message-Service}\label{subsubsec:einmalpassworter-uber-sms}
Die SMS als Authentifizierungsfaktor ist keine neue Methode und lässt sich folgendermaßen beschreiben: Nachdem ein Nutzer seinen Benutzernamen und sein Passwort in ein System eingegeben hat, wird ein einmalig gültiges Passwort, ein sogenanntes One-Time Password (OTP), erzeugt und dem Nutzer per SMS zugesendet.
Der Nutzer muss diesen erhaltenen Code anschließend in das System oder die Anwendung eingeben, bevor ihm der Zugang gewährt wird.
Das OTP wird dabei mithilfe des HMAC-based One-Time Password (HOTP)-Algorithmus berechnet.
Die technische Spezifikation dieses Verfahrens ist im Dokument RFC 4226 beschrieben.
Das OTP zählt nicht zur Kategorie „Wissen“, da sich der Nutzer den Code nicht merken muss.
Vielmehr gehört es zur Kategorie „Besitz“, da der Code an das persönliche Mobiltelefon des Nutzers gesendet wird.
Es gibt jedoch einige Schwachstellen bei dieser Methode. Das National Institute of Standards and Technology (NIST) hat erkannt, dass das System nicht überprüfen kann, ob das OTP tatsächlich beim vorgesehenen Empfänger ankommt.
Ein weiteres potenzielles Risiko ergibt sich aus Sicherheitslücken im SS7-Protokoll (Signaling System Number 7), das auch als CCIS7 (Common Channel Interoffice Signaling 7) bekannt ist.
Dieses Protokoll wird hauptsächlich dazu verwendet, Mobilfunknetze zu verbinden und Anrufe sowie SMS zwischen verschiedenen Netzwerken weiterzuleiten.
Sollte ein Angreifer Zugriff auf das SS7-Protokoll erhalten, könnte er Telefonate und SMS mitlesen und so auch OTPs abfangen, die per SMS versendet werden.
Aus diesen Gründen betrachten Experten den SMS-Authentifizierungsfaktor als die am wenigsten sichere Form der Benutzerauthentifizierung.
Dennoch wird diese Methode nach wie vor am häufigsten eingesetzt, vor allem von Finanzinstituten.
(vgl.\:\cite{boonkrong2021}, S.\,138\:f.)
(vgl. \cite{boonkrong2021}, S.\,138\:f.)