dom/Ausarbeitung_Informationssicherheit_II
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat: add FIDO2 section with technical foundations and authentication challenges

Browse Source
This commit is contained in:
Dominik
2025-07-15 14:47:52 +02:00
parent 741e8be8d5
commit b59928e825
5 changed files with 138 additions and 19 deletions
Download Patch File Download Diff File Expand all files Collapse all files

5
content/0 Allgemein/Sperrvermerk.tex Normal file
View File

@@ -0,0 +1,5 @@
\part*{Sperrvermerk}
Diese Arbeit basiert auf internen und vertraulichen Informationen der BTC Business Technology Consulting AG.\\
Sie darf Dritten, mit Ausnahme der betreuenden Dozenten und befugten Mitgliedern des Prüfungsausschusses, ohne ausdrückliche Zustimmung des Unternehmens und des Verfassers nicht zugänglich gemacht werden.\\
Eine Vervielfältigung und Veröffentlichung dieser Arbeit ohne ausdrückliche Genehmigung, auch in Auszügen, ist nicht erlaubt.

8
content/2 Grundlagen der Authentifizierung/content.tex
View File

@@ -12,6 +12,10 @@ Die dritte Kategorie der Authentifizierungsfaktoren ist die Biometrie. Dieses Kr
\subsection{Herausforderungen bei der klassischen Authentifizierung}\label{subsec:herausforderungen-bei-der-authentifizierung}
Eine große Herausforderung bei klassischen Authentifizierungsverfahren ist, dass die Authentifizierungsmechanismen vor Kompromittierung durch Angreifer zu schützen. Die Angreifer versuchen auf ganz unterschiedliche Weisen an die Authentifizierungsdaten zu gelangen. Im weiteren Verlauf soll detaillierter auf Standardpasswörter, Replay-Angriffe und Man-in the Middle-Angriffe eingegangen werden.
Eine große Herausforderung bei klassischen Authentifizierungsverfahren ist, dass die Authentifizierungsmechanismen vor Kompromittierung durch Angreifer zu schützen. Authentifizierungsmethoden welche ausschließlich aus Benutzernamen und Passwort bestehen, gelten als unsicher. Das Open Web Application Security Project (OWASP) stuft auf der Liste der am meisten beobachteten Anwendungsschwachstellen, die fehlerhafte Authentifizierung auf dem zweiten Platz. Die Angreifer versuchen auf ganz unterschiedliche Weisen an die Authentifizierungsdaten zu gelangen. Im weiteren Verlauf soll detaillierter auf Standardpasswörter, Replay-Angriffe und Man-in the Middle-Angriffe eingegangen werden.
Standardpasswörter sind vordefinierte und vorkonfigurierte Passwörter für eine Software oder ein Gerät. Oft vorhanden in Geräten wie Routern, Switchen, drahtlose Zugangspunkte und Internet of Things (IoT) Geräte. Sie gelten als Hauptproblem bei Authentifizierungsmechanismen, da sie oft übersehen werden. Werden diese Passwörter nicht geändert, können Angreifer ohne große Probleme für beliebige Geräte und Software ein Standardpasswort finden. Diese Passwörter sind in der Regel öffentlich zugänglich und können von Angreifern leicht gefunden werden. Ein Beispiel für ein Standardpasswort ist ``admin'' oder ``123456''. Mittels dem in Erfahrung gebrachten Passwort kann der Angreifer in den meisten Fällen als Administrator auf das Gerät zugreifen. Es gibt aber auch Möglichkeiten die Sicherheit von Standardpasswörtern zu erhöhen. Das wären unter anderem, das Verwenden von eindeutigen und sicheren Standardpasswörtern oder der den Benutzer nach der erstmaligen Anmeldung zwingen, das Standardpasswort zu ändern. (vgl.\:\cite{boonkrong2021}, S.\, 59\:f.)
Standardpasswörter sind vordefinierte und vorkonfigurierte Passwörter für eine Software oder ein Gerät. Oft vorhanden in Geräten wie Routern, Switchen, drahtlose Zugangspunkte und Internet of Things (IoT) Geräte. Sie gelten als Hauptproblem bei Authentifizierungsmechanismen, da sie oft übersehen werden. Werden diese Passwörter nicht geändert, können Angreifer ohne große Probleme für beliebige Geräte und Software ein Standardpasswort finden. Diese Passwörter sind in der Regel öffentlich zugänglich und können von Angreifern leicht gefunden werden. Ein Beispiel für ein Standardpasswort ist ``admin'' oder ``123456''. Mittels dem in Erfahrung gebrachten Passwort kann der Angreifer in den meisten Fällen als Administrator auf das Gerät zugreifen. Es gibt aber auch Möglichkeiten die Sicherheit von Standardpasswörtern zu erhöhen. Das wären unter anderem, das Verwenden von eindeutigen und sicheren Standardpasswörtern oder der den Benutzer nach der erstmaligen Anmeldung zwingen, das Standardpasswort zu ändern. (vgl.\:\cite{boonkrong2021}, S.\, 59\:f.)
Eine beliebte Methode um Authentifizierungsmechanismen anzugreifen sind Replay-Angriffe. Zur Durchführung eines solchen Angriffs muss der Angreifer Zugang zum Netzwerk zwischen zwei kommunizierenden Parteien haben. Der Angriff kann nur dann Erfolgreich sein, wenn die Anmeldedaten des Benutzers nicht im Klartextformat vorliegen. Die Durchführung eines Replay-Angriffs ist wie folgt, der Angreifer kopiert das Passwort oder die Zugangsdaten einer Entität und verwendet diese, um sich bei der anderen Entität zu authentifizieren. Es wird das Ziel verfolgt den Benutzer zu imitieren, dessen Zugangsdaten kopiert wurden. Vereinfacht ausgedrückt, kopiert der Angreifer die Nachricht mit den Zugangsdaten und sendet diese erneut an einen Authentifizierungsserver, in der Hoffnung, erfolgreich verifiziert zu werden. (vgl.\:\cite{boonkrong2021}, S.\, 61)
Der Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer in der Kommunikation zwischen zwei Parteien sitzt und die Kommunikation abhört. Da alle Nachrichten über den Angreifer geleitet werden, kann dieser die Nachrichten lesen und manipulieren. Das bietet dem Angreifer die Möglichkeit beiden Parteien vorzutäuschen, dass jede Partei glaubt, direkt mit der anderen zu kommunizieren. Ein Authentifizierungsangriff kann so aussehen, dass der Angreifer sich z. B. als legitimer WLAN-Zugangspunkt ausgibt. Dadurch kann der Angreifer Benutzernamen und Passwörter abfangen und diese an den Authentifizierungsserver weiterleiten und sich damit als der Benutzer ausgeben. (vgl.\:\cite{boonkrong2021}, S.\, 62)

26
content/4 FIDO2/content.tex
View File

@@ -1 +1,25 @@
\section{FIDO2}\label{sec:fido2}
\section{FIDO2}\label{sec:fido2}
FIDO steht für Fast Identity Online und wurde von der FIDO-Alliance entwickelt. Die FIDO-Alliance ist ein Bündnis aus mehreren großen Unternehmen, darunter Google, Microsoft, Apple, Amazon und viele weitere. Das Ziel der FIDO Alliance ist es, das FIDO-Verfahren bei den Diensten zu etablieren. Der FIDO2-Standard verfolgt den Ansatz der passwortlosen Authentifizierung. Das bedeutet, anstelle von Passwörtern werden zur Authentifizierung kryptografische Verfahren eingesetzt. So ist es nicht mehr notwendig, Passwörter über das Internet zu übertragen. Die Authentifizierung des Nutzers erfolgt mittels, den Nachweis das der Nutzer im Besitz seines vertraulichen Verschlüsselungspassworts ist. Bei dem Nachweis handelt es sich um eine Verschlüsselungsaufgabe, auch Challenge genannt.
(vgl.\:\cite{kebschull2023}, S.\, 147\:f.)
\subsection{Technische Grundlagen}\label{subsec:technische-grundlagen}
Der FIDO2-Standard nutzt mehrere technische Komponenten, um eine sicher und benutzerfreundliche Authentifizierung zu ermöglichen. Diese Komponenten umfassen unter anderem das Client-to-Authenticator Protocol (CTAP), das Web Authentication (WebAuthn) Protokoll und Trusted Platform Module (TPM).
\subsubsection{Client-to-Authenticator Protocol}\label{subsubsec:ctap-protokoll}
Das Client-to-Autenticator Protocol kurz CTAP, ist ein Protokoll, welches die Kommunikation zwischen dem System eines Nutzers und em Token regelt. Es legt fest wie beide Komponenten miteinander zu kommunizieren haben. Dieses Protokoll gibt es in zwei Versionen. Das erste Protokoll ist auch unter dem Namen Universal Second Factor (U2F) bekannt und bezieht sich hauptsächlich auf die Zwei-Faktor-Authentifizierung. Die zweite Version CTAP2, wird im Zusammenhang mit FIDO2 eingesetzt und sorgt im Zusammenhang mit WebAuthn das FIDO2 funktionsfähig ist. (vgl.\:\cite{ionos2021})
\subsubsection{Web Authentication}\label{subsubsec:web-authentication}
\subsubsection{Trusted Platform Module}\label{subsubsec:trusted-platform-module}
\subsection{Funktionsweise und Ablauf}\label{subsec:funktionsweise-und-ablauf}
\subsection{Vorteile und Herausforderungen}\label{subsec:vorteile-und-herausforderungen}