fix: improve clarity in biometric authentication challenges section
This commit is contained in:
@@ -1,2 +1,55 @@
|
||||
\section{Multi-Faktor-Authentifizierung}\label{sec:multi-faktor-authentifizierung}
|
||||
|
||||
Die Multi-Faktor-Authentifizierung kurz MFA, ist eine Authentifizierungsmethode bei der mindestens zwei oder mehr Authentifizierungsfaktoren kombiniert werden, um Zugang zu einem System oder Ressource zu erhalten.
|
||||
Die MFA ist eine Kernkomponente einer starken Richtlinie für das Identitäts- und Zugriffsmanagement (IAM).
|
||||
Anstelle, dass das System nur nach einem Benutzernamen und Passwort fragt, wird vom Benutzer ein oder mehrere Authentifizierungsfaktoren verlangt, was die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich verringert.
|
||||
|
||||
Es bleibt die Frage offen, warum MFA so wichtig ist.
|
||||
Der Hauptgrund ist, das die Sicherheit des Unternehmens erhöht wird, da der Benutzer sich nicht mehr ausschließlich mit einem Benutzernamen und Passwort anmeldet.
|
||||
Diese sind anfällig für zum Beispiel Brute-Force-Angriffe und können somit von Dritten gestohlen werden.
|
||||
Der Einsatz eines weiteren Authentifizierungsfaktors erhöht das Vertrauen, dass das Unternehmen von Angriffen solcher Art geschützt ist.
|
||||
Die Zwei-Faktor-Authentifizierung (2FA) wird meist als synonym für die MFA verwendet, ist aber eigentlich ein Teilbereich dessen.
|
||||
Sie beschränkt die Anzahl der Authentifizierungsfaktoren auf zwei, während die MFA mindestens zwei oder mehr Authentifizierungsfaktoren umfasst.
|
||||
(vgl.\:\cite{onelogin2025})
|
||||
|
||||
\subsection{Implementierungsvarianten}\label{subsec:implemntierungsvarianten}
|
||||
|
||||
\subsubsection{Software-Token}\label{subsubsec:software-token}
|
||||
|
||||
Aus den verschiedenen Implementierungsvarianten ist die Nutzung eines software- und zeitbasierten Einmalpasswortes die beliebteste Option.
|
||||
Bekannt ist diese unter dem Namen Time-Based One-Time Passwort (TOTP).
|
||||
Für die Nutzung ist eine Authentifizierungs-App auf einem mobilen Endgerät zu installieren.
|
||||
Die am häufigsten genutzten Apps sind Google Authenticator oder Authy.
|
||||
Innerhalb der App wird durch den Time-Based One-Time Passwort Algorithmus ein Code generiert.
|
||||
Wie der Algorithmus funktioniert wird in dem RFC 6238 näher erläutert.
|
||||
Als Eingabe erhält die Generierungsfunktion die aktuelle Uhrzeit zum Zeitpunkt der Authentifizierung.
|
||||
Dies ist der Grund, warum ein generierter Code nur für maximal 60 Sekunden gültig ist und wird der Code nicht innerhalb dieser Zeit eingegeben, so muss ein neuer erstellt werden.
|
||||
Im Gegensatz zum herkömmlichen SMS-basierten Einmalpasswort, wird der Authentifizierungscode auf demselben Gerät generiert und auch angezeigt.
|
||||
So muss der Code nicht über das Netzwerk übertragen werden und das Risiko entfällt, dass der Code von einem Angreifer abgefangen wird.
|
||||
|
||||
Bei der Benutzerfreundlichkeit von softwarebasierten Authentifizierungs-Apps herrscht uneinigkeit.
|
||||
Jeder Nutzer hat die Möglichkeit sich so eine App herunterzuladen, zu installieren und zu nutzen.
|
||||
Dabei sind aber nicht alle TOTP-Anwendungen sicher.
|
||||
Die Android-Malware \glqq{}Cerberus\grqq{} ist in der Lage, zeitbasierte Einmalpasswörter abzufangen, die von bestimmten TOTP-Apps erzeugt wurden.
|
||||
Cerberus ist vom Malware-Typ Trojaner und nutzt eine Schwachstelle in der App aus, um sich weitere Berechtigungen zu verschaffen.
|
||||
Läuft die App, so kann der Trojaner die Bildschirminhalte der App auslesen und an den Server des Angreifers übermitteln.
|
||||
Positiv ist, dass Cerberus nicht weit verbreitet ist, was dem Anbieter die Möglichkeit gibt, die Sicherheitslücke in der Anwendung zu schließen.
|
||||
(vgl.\:\cite{boonkrong2021}, S.\,139-141)
|
||||
|
||||
\subsubsection{Hardware-Token}\label{subsubsec:hardware-token}
|
||||
|
||||
Hardware-Token oder auch Authentifizierungstoken genannt, waren ursprünglich das am meisten genutzte Geräte für den zweiten Authentifizierungsfaktor.
|
||||
Vom aussehen ähneln sie einer Mischung aus einem USB-Stick und einem Schlüsselanhänger mit größtenteils einem kleinen Display.
|
||||
Manche besitzen auch ein Tastenfeld, um eine PIN einzugeben.
|
||||
Die Hauptfunktion eines Hardware-Tokens ist es, bei jedem Login-Versuch einen neuen nummerischen Code zu generieren.
|
||||
Heutzutage gibt es zwei Arten von Hardware-Token, die synchronisierten und asynchronen Tokens.
|
||||
Synchronisierte Tokens stimmen ihre interne Zeit mit der des Authentifizierungsservers ab und erzeugen auf Basis dieser Zeit einen Code.
|
||||
Asynchrone Tokens hingegen, erhalten eine zufällige Ziffernfolge vom Server.
|
||||
Diese wird manuell in den Token eingegeben und dieser generiert daraufhin einen Code.
|
||||
Neuere Hardware-Token in Form von USB-Sticks werden direkt in den USB-Port des Computers gesteckt.
|
||||
Somit kann der Token den nummerischen Code automatisch an das System oder die Anwendung, bei dem der Nutzer sich gerade anmelden möchte, übertragen werden.
|
||||
(vgl. \cite{boonkrong2021}, S.\,137\:f.)
|
||||
|
||||
\subsubsection{Einmalpasswörter über Short-Message-Service}\label{subsubsec:einmalpassworter-uber-sms}
|
||||
|
||||
(vgl. \cite{boonkrong2021}, S.\,138\:f.)
|
||||
@@ -1,2 +1 @@
|
||||
\section{Ausblick}\label{sec:ausblick}
|
||||
|
||||
\section{Zusammenfassung}\label{sec:zusammenfassung}
|
||||
Reference in New Issue
Block a user