dom/Ausarbeitung_Informationssicherheit_II
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

fix: enhance clarity and detail in biometric authentication and SMS OTP sections

Browse Source
This commit is contained in:
Dominik
2025-07-28 21:31:22 +02:00
parent 9e497b5409
commit 6fe80827b0
3 changed files with 22 additions and 1 deletions
Download Patch File Download Diff File Expand all files Collapse all files

2
content/3 Moderne Authentifizierungsverfahren Überblick/content.tex
View File

@@ -10,4 +10,4 @@ Organisationen wechseln von den traditionellen Authentifizierungsverfahren zu mo
Im Falle das ein Angreifer die erste Überprüfungsstufe, die zum Beispiel ein Passwort ist, überwindet aber die zweite Stufe nicht, so erhält dieser keinen Zugriff auf die Ressourcen und die Daten bleiben geschützt. Im Falle das ein Angreifer die erste Überprüfungsstufe, die zum Beispiel ein Passwort ist, überwindet aber die zweite Stufe nicht, so erhält dieser keinen Zugriff auf die Ressourcen und die Daten bleiben geschützt.
(vgl.\:\cite{vigo2024}) (vgl.\:\cite{vigo2024})
Die folgenden Abschnitte geben einen Überblick über die modernen AAuthentifizierungsverfahren FIDO2, biometrische Authentifizierungsverfahren und Multi-Faktor-Authentifizierung. Die folgenden Abschnitte geben einen Überblick über die modernen Authentifizierungsverfahren FIDO2, biometrische Authentifizierungsverfahren und Multi-Faktor-Authentifizierung.

2
content/5 Biometrische Authentifizierungsverfahren/content.tex
View File

@@ -179,11 +179,13 @@ Viele Systeme basieren auf verzerrten Datensätzen, die zu 77\,\% aus männliche
Diese ungleiche Verteilung führt zu einer groben Fehldarstellung der allgemeinen Demografie und hat zur Folge, dass bestimmte Bevölkerungsgruppen benachteiligt werden. Diese ungleiche Verteilung führt zu einer groben Fehldarstellung der allgemeinen Demografie und hat zur Folge, dass bestimmte Bevölkerungsgruppen benachteiligt werden.
So werden asiatische und afroamerikanische Personen häufiger falsch oder gar nicht erkannt. So werden asiatische und afroamerikanische Personen häufiger falsch oder gar nicht erkannt.
Auch Transgender- und nicht-binäre Personen werden oft fehlerhaft kategorisiert, was nicht nur zu praktischen Problemen, sondern auch zu Diskriminierung führen kann. Auch Transgender- und nicht-binäre Personen werden oft fehlerhaft kategorisiert, was nicht nur zu praktischen Problemen, sondern auch zu Diskriminierung führen kann.
Ein weiteres zentrales Thema sind Datenschutzbedenken. Ein weiteres zentrales Thema sind Datenschutzbedenken.
Die Sammlung großer Mengen biometrischer Daten findet oftmals ohne ausdrückliche Zustimmung durch staatliche Stellen ab und wirft erhebliche Fragen nach dem Schutz der Privatsphäre auf. Die Sammlung großer Mengen biometrischer Daten findet oftmals ohne ausdrückliche Zustimmung durch staatliche Stellen ab und wirft erhebliche Fragen nach dem Schutz der Privatsphäre auf.
Durch die Speicherung dieser sensiblen Informationen in großen Datenbanken werden sie zu einem attraktiven Ziel für Hacker, wodurch das Risiko von Identitätsdiebstahl und Betrug deutlich steigt. Durch die Speicherung dieser sensiblen Informationen in großen Datenbanken werden sie zu einem attraktiven Ziel für Hacker, wodurch das Risiko von Identitätsdiebstahl und Betrug deutlich steigt.
Selbst wenn Verschlüsselungstechnologien eingesetzt werden, bleiben Sicherheitsbedenken bestehen, da biometrische Merkmale im Gegensatz zu Passwörtern nicht einfach geändert werden können. Selbst wenn Verschlüsselungstechnologien eingesetzt werden, bleiben Sicherheitsbedenken bestehen, da biometrische Merkmale im Gegensatz zu Passwörtern nicht einfach geändert werden können.
Einmal kompromittierte Daten stellen daher ein dauerhaftes Risiko dar. Einmal kompromittierte Daten stellen daher ein dauerhaftes Risiko dar.
Darüber hinaus sind biometrische Systeme anfällig für physische Veränderungen. Darüber hinaus sind biometrische Systeme anfällig für physische Veränderungen.
Verändert sich das Aussehen einer Person zum Beispiel durch Verletzungen, Operationen, Alterungsprozesse oder andere körperliche Anpassungen, kann dies dazu führen, dass die Authentifizierung fehlschlägt. Verändert sich das Aussehen einer Person zum Beispiel durch Verletzungen, Operationen, Alterungsprozesse oder andere körperliche Anpassungen, kann dies dazu führen, dass die Authentifizierung fehlschlägt.
Im schlimmsten Fall kann der Zugang zu Konten oder Geräten dauerhaft verloren gehen, wenn keine alternativen Authentifizierungsmethoden vorhanden sind. Im schlimmsten Fall kann der Zugang zu Konten oder Geräten dauerhaft verloren gehen, wenn keine alternativen Authentifizierungsmethoden vorhanden sind.

19
content/6 Multi-Faktor-Authentifizierung/content.tex
View File

@@ -42,6 +42,7 @@ Hardware-Token oder auch Authentifizierungstoken genannt, waren ursprünglich da
Vom aussehen ähneln sie einer Mischung aus einem USB-Stick und einem Schlüsselanhänger mit größtenteils einem kleinen Display. Vom aussehen ähneln sie einer Mischung aus einem USB-Stick und einem Schlüsselanhänger mit größtenteils einem kleinen Display.
Manche besitzen auch ein Tastenfeld, um eine PIN einzugeben. Manche besitzen auch ein Tastenfeld, um eine PIN einzugeben.
Die Hauptfunktion eines Hardware-Tokens ist es, bei jedem Login-Versuch einen neuen nummerischen Code zu generieren. Die Hauptfunktion eines Hardware-Tokens ist es, bei jedem Login-Versuch einen neuen nummerischen Code zu generieren.
Heutzutage gibt es zwei Arten von Hardware-Token, die synchronisierten und asynchronen Tokens. Heutzutage gibt es zwei Arten von Hardware-Token, die synchronisierten und asynchronen Tokens.
Synchronisierte Tokens stimmen ihre interne Zeit mit der des Authentifizierungsservers ab und erzeugen auf Basis dieser Zeit einen Code. Synchronisierte Tokens stimmen ihre interne Zeit mit der des Authentifizierungsservers ab und erzeugen auf Basis dieser Zeit einen Code.
Asynchrone Tokens hingegen, erhalten eine zufällige Ziffernfolge vom Server. Asynchrone Tokens hingegen, erhalten eine zufällige Ziffernfolge vom Server.
@@ -52,4 +53,22 @@ Somit kann der Token den nummerischen Code automatisch an das System oder die An
\subsubsection{Einmalpasswörter über Short-Message-Service}\label{subsubsec:einmalpassworter-uber-sms} \subsubsection{Einmalpasswörter über Short-Message-Service}\label{subsubsec:einmalpassworter-uber-sms}
Die SMS als Authentifizierungsfaktor ist keine neue Methode und lässt sich folgendermaßen beschreiben: Nachdem ein Nutzer seinen Benutzernamen und sein Passwort in ein System eingegeben hat, wird ein einmalig gültiges Passwort, ein sogenanntes One-Time Password (OTP), erzeugt und dem Nutzer per SMS zugesendet.
Der Nutzer muss diesen erhaltenen Code anschließend in das System oder die Anwendung eingeben, bevor ihm der Zugang gewährt wird.
Das OTP wird dabei mithilfe des HMAC-based One-Time Password (HOTP)-Algorithmus berechnet.
Die technische Spezifikation dieses Verfahrens ist im Dokument RFC 4226 beschrieben.
Das OTP zählt nicht zur Kategorie „Wissen“, da sich der Nutzer den Code nicht merken muss.
Vielmehr gehört es zur Kategorie „Besitz“, da der Code an das persönliche Mobiltelefon des Nutzers gesendet wird.
Es gibt jedoch einige Schwachstellen bei dieser Methode. Das National Institute of Standards and Technology (NIST) hat erkannt, dass das System nicht überprüfen kann, ob das OTP tatsächlich beim vorgesehenen Empfänger ankommt.
Ein weiteres potenzielles Risiko ergibt sich aus Sicherheitslücken im SS7-Protokoll (Signaling System Number 7), das auch als CCIS7 (Common Channel Interoffice Signaling 7) bekannt ist.
Dieses Protokoll wird hauptsächlich dazu verwendet, Mobilfunknetze zu verbinden und Anrufe sowie SMS zwischen verschiedenen Netzwerken weiterzuleiten.
Sollte ein Angreifer Zugriff auf das SS7-Protokoll erhalten, könnte er Telefonate und SMS mitlesen und so auch OTPs abfangen, die per SMS versendet werden.
Aus diesen Gründen betrachten Experten den SMS-Authentifizierungsfaktor als die am wenigsten sichere Form der Benutzerauthentifizierung.
Dennoch wird diese Methode nach wie vor am häufigsten eingesetzt, vor allem von Finanzinstituten.
(vgl.\:\cite{boonkrong2021}, S.\,138\:f.)
(vgl. \cite{boonkrong2021}, S.\,138\:f.) (vgl. \cite{boonkrong2021}, S.\,138\:f.)