feat: add FIDO2 section with technical foundations and authentication challenges
This commit is contained in:
@@ -41,11 +41,13 @@
|
||||
\setkomafont{title}{\normalfont\bfseries} % ergänzt für times-Font unter lualatex (RST 2021)
|
||||
\setkomafont{descriptionlabel}{\normalfont\bfseries} % ergänzt für times-Font unter lualatex (RST 2021)
|
||||
\setlength{\parindent}{0em}
|
||||
% Korrekte Prositionierung des Links bei Abbildungen und Tabellen
|
||||
\usepackage[figure,table]{hypcap}
|
||||
|
||||
|
||||
\usepackage{ibs} %Immer zuletzt einbinden
|
||||
\usepackage[citecolor=black,hidelinks,breaklinks]{hyperref}
|
||||
\usepackage[figure,table]{hypcap} % Korrekte Prositionierung des Links bei Abbildungen und Tabellen
|
||||
|
||||
|
||||
|
||||
\definecolor{codegreen}{rgb}{0,0.6,0}
|
||||
\definecolor{codegray}{rgb}{0.5,0.5,0.5}
|
||||
@@ -84,8 +86,8 @@
|
||||
|
||||
%Titel
|
||||
\title{\titel} % Titel der Arbeit
|
||||
\subtitle{Informationssicherheit I}
|
||||
\author{Dominik Horn}
|
||||
\subtitle{\untertitel} % Untertitel der Arbeit
|
||||
\author{\autorName}
|
||||
|
||||
\publishers{\dozent}
|
||||
%\maketitle %dadurch wird der Titel auch erstellt
|
||||
@@ -98,22 +100,12 @@
|
||||
%\rfoot{}
|
||||
%\thispagestyle{empty}
|
||||
|
||||
%\part*{Sperrvermerk}
|
||||
%Diese Arbeit basiert auf internen und vertraulichen Informationen der BTC Business Technology
|
||||
%Consulting AG.\\
|
||||
%Sie darf Dritten, mit Ausnahme der betreuenden Dozenten und befugten Mitgliedern des Prüfungsausschusses,
|
||||
%ohne ausdrückliche Zustimmung des Unternehmens und des Verfassers nicht
|
||||
%zugänglich gemacht werden.\\
|
||||
%Eine Vervielfältigung und Veröffentlichung dieser Arbeit ohne ausdrückliche Genehmigung,
|
||||
%auch in Auszügen, ist nicht erlaubt.
|
||||
|
||||
|
||||
\newpage
|
||||
\setcounter{page}{1}
|
||||
\lfoot{\normalfont\rmfamily \small Ausarbeitung von \autorName} % angepasst für times-Font footer unter lualatex (RST 2021)
|
||||
\rfoot{\normalfont\rmfamily \small Seite \thepage}
|
||||
|
||||
|
||||
%\input{content/0 Allgemein/Sperrvermerk} % Sperrvermerk einfügen
|
||||
|
||||
\tableofcontents %damit kann ein Inhaltsverzeichnis eingefügt werden; Achtung:
|
||||
|
||||
@@ -170,7 +162,7 @@
|
||||
|
||||
|
||||
% Literatur
|
||||
%\addcontentsline{toc}{section}{Literatur} %sorgt dafür, dass Literaturverzeichnis auch im Inhaltsverzeichnis erscheint
|
||||
\addcontentsline{toc}{section}{Literatur} %sorgt dafür, dass Literaturverzeichnis auch im Inhaltsverzeichnis erscheint
|
||||
|
||||
|
||||
\bibliographystyle{alpha} % Alphadin-Bibitem-Style zur Darstellung der Zitatkeys nach BA-Vorgabe
|
||||
|
||||
5
content/0 Allgemein/Sperrvermerk.tex
Normal file
5
content/0 Allgemein/Sperrvermerk.tex
Normal file
@@ -0,0 +1,5 @@
|
||||
\part*{Sperrvermerk}
|
||||
|
||||
Diese Arbeit basiert auf internen und vertraulichen Informationen der BTC Business Technology Consulting AG.\\
|
||||
Sie darf Dritten, mit Ausnahme der betreuenden Dozenten und befugten Mitgliedern des Prüfungsausschusses, ohne ausdrückliche Zustimmung des Unternehmens und des Verfassers nicht zugänglich gemacht werden.\\
|
||||
Eine Vervielfältigung und Veröffentlichung dieser Arbeit ohne ausdrückliche Genehmigung, auch in Auszügen, ist nicht erlaubt.
|
||||
@@ -12,6 +12,10 @@ Die dritte Kategorie der Authentifizierungsfaktoren ist die Biometrie. Dieses Kr
|
||||
|
||||
\subsection{Herausforderungen bei der klassischen Authentifizierung}\label{subsec:herausforderungen-bei-der-authentifizierung}
|
||||
|
||||
Eine große Herausforderung bei klassischen Authentifizierungsverfahren ist, dass die Authentifizierungsmechanismen vor Kompromittierung durch Angreifer zu schützen. Die Angreifer versuchen auf ganz unterschiedliche Weisen an die Authentifizierungsdaten zu gelangen. Im weiteren Verlauf soll detaillierter auf Standardpasswörter, Replay-Angriffe und Man-in the Middle-Angriffe eingegangen werden.
|
||||
Eine große Herausforderung bei klassischen Authentifizierungsverfahren ist, dass die Authentifizierungsmechanismen vor Kompromittierung durch Angreifer zu schützen. Authentifizierungsmethoden welche ausschließlich aus Benutzernamen und Passwort bestehen, gelten als unsicher. Das Open Web Application Security Project (OWASP) stuft auf der Liste der am meisten beobachteten Anwendungsschwachstellen, die fehlerhafte Authentifizierung auf dem zweiten Platz. Die Angreifer versuchen auf ganz unterschiedliche Weisen an die Authentifizierungsdaten zu gelangen. Im weiteren Verlauf soll detaillierter auf Standardpasswörter, Replay-Angriffe und Man-in the Middle-Angriffe eingegangen werden.
|
||||
|
||||
Standardpasswörter sind vordefinierte und vorkonfigurierte Passwörter für eine Software oder ein Gerät. Oft vorhanden in Geräten wie Routern, Switchen, drahtlose Zugangspunkte und Internet of Things (IoT) Geräte. Sie gelten als Hauptproblem bei Authentifizierungsmechanismen, da sie oft übersehen werden. Werden diese Passwörter nicht geändert, können Angreifer ohne große Probleme für beliebige Geräte und Software ein Standardpasswort finden. Diese Passwörter sind in der Regel öffentlich zugänglich und können von Angreifern leicht gefunden werden. Ein Beispiel für ein Standardpasswort ist ``admin'' oder ``123456''. Mittels dem in Erfahrung gebrachten Passwort kann der Angreifer in den meisten Fällen als Administrator auf das Gerät zugreifen. Es gibt aber auch Möglichkeiten die Sicherheit von Standardpasswörtern zu erhöhen. Das wären unter anderem, das Verwenden von eindeutigen und sicheren Standardpasswörtern oder der den Benutzer nach der erstmaligen Anmeldung zwingen, das Standardpasswort zu ändern. (vgl.\:\cite{boonkrong2021}, S.\, 59\:f.)
|
||||
|
||||
Eine beliebte Methode um Authentifizierungsmechanismen anzugreifen sind Replay-Angriffe. Zur Durchführung eines solchen Angriffs muss der Angreifer Zugang zum Netzwerk zwischen zwei kommunizierenden Parteien haben. Der Angriff kann nur dann Erfolgreich sein, wenn die Anmeldedaten des Benutzers nicht im Klartextformat vorliegen. Die Durchführung eines Replay-Angriffs ist wie folgt, der Angreifer kopiert das Passwort oder die Zugangsdaten einer Entität und verwendet diese, um sich bei der anderen Entität zu authentifizieren. Es wird das Ziel verfolgt den Benutzer zu imitieren, dessen Zugangsdaten kopiert wurden. Vereinfacht ausgedrückt, kopiert der Angreifer die Nachricht mit den Zugangsdaten und sendet diese erneut an einen Authentifizierungsserver, in der Hoffnung, erfolgreich verifiziert zu werden. (vgl.\:\cite{boonkrong2021}, S.\, 61)
|
||||
|
||||
Der Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer in der Kommunikation zwischen zwei Parteien sitzt und die Kommunikation abhört. Da alle Nachrichten über den Angreifer geleitet werden, kann dieser die Nachrichten lesen und manipulieren. Das bietet dem Angreifer die Möglichkeit beiden Parteien vorzutäuschen, dass jede Partei glaubt, direkt mit der anderen zu kommunizieren. Ein Authentifizierungsangriff kann so aussehen, dass der Angreifer sich z. B. als legitimer WLAN-Zugangspunkt ausgibt. Dadurch kann der Angreifer Benutzernamen und Passwörter abfangen und diese an den Authentifizierungsserver weiterleiten und sich damit als der Benutzer ausgeben. (vgl.\:\cite{boonkrong2021}, S.\, 62)
|
||||
@@ -1 +1,25 @@
|
||||
\section{FIDO2}\label{sec:fido2}
|
||||
|
||||
FIDO steht für Fast Identity Online und wurde von der FIDO-Alliance entwickelt. Die FIDO-Alliance ist ein Bündnis aus mehreren großen Unternehmen, darunter Google, Microsoft, Apple, Amazon und viele weitere. Das Ziel der FIDO Alliance ist es, das FIDO-Verfahren bei den Diensten zu etablieren. Der FIDO2-Standard verfolgt den Ansatz der passwortlosen Authentifizierung. Das bedeutet, anstelle von Passwörtern werden zur Authentifizierung kryptografische Verfahren eingesetzt. So ist es nicht mehr notwendig, Passwörter über das Internet zu übertragen. Die Authentifizierung des Nutzers erfolgt mittels, den Nachweis das der Nutzer im Besitz seines vertraulichen Verschlüsselungspassworts ist. Bei dem Nachweis handelt es sich um eine Verschlüsselungsaufgabe, auch Challenge genannt.
|
||||
(vgl.\:\cite{kebschull2023}, S.\, 147\:f.)
|
||||
|
||||
\subsection{Technische Grundlagen}\label{subsec:technische-grundlagen}
|
||||
|
||||
Der FIDO2-Standard nutzt mehrere technische Komponenten, um eine sicher und benutzerfreundliche Authentifizierung zu ermöglichen. Diese Komponenten umfassen unter anderem das Client-to-Authenticator Protocol (CTAP), das Web Authentication (WebAuthn) Protokoll und Trusted Platform Module (TPM).
|
||||
|
||||
\subsubsection{Client-to-Authenticator Protocol}\label{subsubsec:ctap-protokoll}
|
||||
|
||||
Das Client-to-Autenticator Protocol kurz CTAP, ist ein Protokoll, welches die Kommunikation zwischen dem System eines Nutzers und em Token regelt. Es legt fest wie beide Komponenten miteinander zu kommunizieren haben. Dieses Protokoll gibt es in zwei Versionen. Das erste Protokoll ist auch unter dem Namen Universal Second Factor (U2F) bekannt und bezieht sich hauptsächlich auf die Zwei-Faktor-Authentifizierung. Die zweite Version CTAP2, wird im Zusammenhang mit FIDO2 eingesetzt und sorgt im Zusammenhang mit WebAuthn das FIDO2 funktionsfähig ist. (vgl.\:\cite{ionos2021})
|
||||
|
||||
\subsubsection{Web Authentication}\label{subsubsec:web-authentication}
|
||||
|
||||
|
||||
|
||||
\subsubsection{Trusted Platform Module}\label{subsubsec:trusted-platform-module}
|
||||
|
||||
|
||||
|
||||
\subsection{Funktionsweise und Ablauf}\label{subsec:funktionsweise-und-ablauf}
|
||||
|
||||
|
||||
\subsection{Vorteile und Herausforderungen}\label{subsec:vorteile-und-herausforderungen}
|
||||
|
||||
@@ -29,6 +29,37 @@
|
||||
file = {C:\Users\Dominik\Zotero\storage\PTHW773Q\Bub et al. - 2015 - Sicherheit im Wandel von Technologien und Märkten.pdf}
|
||||
}
|
||||
|
||||
@article{catalano2025,
|
||||
title = {Defeating {{FIDO2}}/{{CTAP2}}/{{WebAuthn}} Using Browser in the Middle and Reflected Cross Site Scripting},
|
||||
author = {Catalano, Christian and Chezzi, Andrea and Barletta, Vita Santa and Tommasi, Franco},
|
||||
year = {2025},
|
||||
journal = {Journal of Computer Virology and Hacking Techniques},
|
||||
volume = {21},
|
||||
number = {1},
|
||||
publisher = {{Springer Science and Business Media LLC}},
|
||||
issn = {2263-8733},
|
||||
doi = {10.1007/s11416-025-00556-2},
|
||||
urldate = {2025-07-14},
|
||||
abstract = {In our modern digital landscape, web browsers play a crucial role as gateways to large amounts of information and services. However, recent developments have demonstrated that the very features that make browsing convenient and seamless can be exploited by malicious actors through a potent threat vector known as the ``Browser-in-the-Middle'' (BitM) attack. Most of the Multi-Factor Authen- tication (MFA) security measures are shown to be ineffective to prevent BitM attacks. However, the FIDO2 Project that includes CTAP2 protocol that works together with the Web Authentication API (WebAuthn API) has been proven to be a virtually unattackable MFA method by current state-of-the-art BitM implementations. At least until now. This work expands the range of applica- ble scenarios where BitM attack can be used by taking its technical architecture a step further: we show how the effectiveness of BitM---used along a Reflected XSS vulnerability exploitation---can be improved resulting in the novel BitM + attack that proves to be capable of defeating any available MFA method including FIDO2/WebAuthn solutions that rely on hardware dongles and represent the only method of authentication that went undefeated by virtually any phishing attack approach to date.},
|
||||
copyright = {https://creativecommons.org/licenses/by/4.0},
|
||||
langid = {english},
|
||||
keywords = {Vorhanden},
|
||||
file = {C:\Users\Dominik\Zotero\storage\PGFNMK29\Catalano et al. - 2025 - Defeating FIDO2CTAP2WebAuthn using browser in the middle and reflected cross site scripting.pdf}
|
||||
}
|
||||
|
||||
@misc{deinhard2025,
|
||||
title = {{Welche modernen Authentifizierungsm{\"o}glichkeiten gibt es?}},
|
||||
author = {Deinhard, Florian},
|
||||
year = {2025},
|
||||
journal = {IT-Schulungen.com},
|
||||
urldate = {2025-07-12},
|
||||
abstract = {Moderne Authentifizierungsmethoden spielen eine zentrale Rolle in der Absicherung von IT-Infrastrukturen und Benutzerzugriffen. Durch die Entwicklung fortschrittlicher Techniken wie Multi-Faktor-Authentifizierung (MFA), biometrische Verfahren und},
|
||||
langid = {ngerman},
|
||||
file = {C:\Users\Dominik\Zotero\storage\AXP2BY7Y\welche-modernen-authentifizierungsmoeglichkeiten-gibt-es.html},
|
||||
note = {(Zugriff am 12.07.2025)},
|
||||
howpublished = {\url{https://www.it-schulungen.com/wir-ueber-uns/wissensblog/welche-modernen-authentifizierungsmoeglichkeiten-gibt-es.html}}
|
||||
}
|
||||
|
||||
@book{eichstaedt2024,
|
||||
title = {{52 Stunden Informatik: Was jeder {\"u}ber Informatik wissen sollte}},
|
||||
shorttitle = {{52 Stunden Informatik}},
|
||||
@@ -45,6 +76,16 @@
|
||||
file = {C:\Users\Dominik\Zotero\storage\E455ZNKU\Eichstädt und Spieker - 2024 - 52 Stunden Informatik Was jeder über Informatik wissen sollte.pdf}
|
||||
}
|
||||
|
||||
@misc{fido-alliance2019,
|
||||
title = {Client to {{Authenticator Protocol}} ({{CTAP}})},
|
||||
author = {{FIDO-Alliance}},
|
||||
year = {2019},
|
||||
urldate = {2025-07-14},
|
||||
file = {C:\Users\Dominik\Zotero\storage\F7L7LM6I\fido-client-to-authenticator-protocol-v2.0-ps-20190130.html},
|
||||
note = {(Zugriff am 14.07.2025)},
|
||||
howpublished = {\url{https://fidoalliance.org/specs/fido-v2.0-ps-20190130/fido-client-to-authenticator-protocol-v2.0-ps-20190130.html}}
|
||||
}
|
||||
|
||||
@book{garbis2024,
|
||||
title = {{Zero Trust Sicherheit: Ein Leitfaden f{\"u}r Unternehmen}},
|
||||
shorttitle = {{Zero Trust Sicherheit}},
|
||||
@@ -61,6 +102,33 @@
|
||||
file = {C:\Users\Dominik\Zotero\storage\8DG9NI4S\Garbis und Chapman - 2024 - Zero Trust Sicherheit Ein Leitfaden für Unternehmen.pdf}
|
||||
}
|
||||
|
||||
@misc{gillis2024,
|
||||
title = {{Was ist Trusted Platform Module (TPM)? - Definition von Computer Weekly}},
|
||||
shorttitle = {{Was ist Trusted Platform Module (TPM)?}},
|
||||
author = {Gillis, Alexander S.},
|
||||
year = {2024},
|
||||
journal = {ComputerWeekly.de},
|
||||
urldate = {2025-07-14},
|
||||
abstract = {Ein Trusted Platform Module (TPM) ist ein spezialisierter Chip, der Hardware mit integrierten kryptografischen Schl{\"u}sseln sichert.},
|
||||
langid = {ngerman},
|
||||
file = {C:\Users\Dominik\Zotero\storage\ERHS8F2D\Trusted-Platform-Module-TPM.html},
|
||||
note = {(Zugriff am 14.07.2025)},
|
||||
howpublished = {\url{https://www.computerweekly.com/de/definition/Trusted-Platform-Module-TPM}}
|
||||
}
|
||||
|
||||
@misc{ionos2021,
|
||||
title = {{CTAP: Protokoll f{\"u}r mehr Sicherheit \& Komfort im Web}},
|
||||
shorttitle = {{CTAP}},
|
||||
author = {{IONOS}},
|
||||
year = {2021},
|
||||
journal = {IONOS Digital Guide},
|
||||
urldate = {2025-07-15},
|
||||
abstract = {Mit FIDO2, WebAuthn und CTAP k{\"o}nnten Passw{\"o}rter bald der Vergangenheit angeh{\"o}ren. Neue Standards setzen stattdessen auf Hardware-Tokens und biometrische Daten.},
|
||||
langid = {ngerman},
|
||||
note = {(Zugriff am 15.07.2025)},
|
||||
howpublished = {\url{https://www.ionos.de/digitalguide/server/sicherheit/client-to-authenticator-protocol-ctap/}}
|
||||
}
|
||||
|
||||
@book{kaufmann2023,
|
||||
title = {{Grundkurs Wirtschaftsinformatik: Eine kompakte und praxisorientierte Einf{\"u}hrung}},
|
||||
shorttitle = {{Grundkurs Wirtschaftsinformatik}},
|
||||
@@ -140,6 +208,19 @@
|
||||
file = {C:\Users\Dominik\Zotero\storage\JHXGLIBP\Pufahl et al. - 2024 - Cybersecurity für Manager Cybergefahren wirksam begegnen – das Kompetenzmodell für die Praxis.pdf}
|
||||
}
|
||||
|
||||
@misc{schwabe2021,
|
||||
title = {{Passwortlose Authentifizierung {\"u}ber FIDO2}},
|
||||
author = {Schwabe, Caroline},
|
||||
year = {2021},
|
||||
journal = {Robin Data GmbH},
|
||||
urldate = {2025-07-14},
|
||||
abstract = {Passwortlose Authentifizierung {\"u}ber FIDO2, Webauthn \& CTAP. Warum das Passwort veraltet ist und welche Sicherheits-Standard g{\"a}ngig sind!},
|
||||
langid = {ngerman},
|
||||
file = {C:\Users\Dominik\Zotero\storage\22H5YPKT\passwortlose-authentifizierung-ueber-fido2.html},
|
||||
note = {(Zugriff am 14.07.2025)},
|
||||
howpublished = {\url{https://www.robin-data.io/datenschutz-akademie/wiki/passwortlose-authentifizierung-ueber-fido2}}
|
||||
}
|
||||
|
||||
@book{trojahn2016,
|
||||
title = {{Sichere Multi-Faktor-Authentifizierung an Smartphones mithilfe des Tippverhaltens}},
|
||||
author = {Trojahn, Matthias},
|
||||
@@ -169,3 +250,16 @@
|
||||
keywords = {Vorhanden},
|
||||
file = {C:\Users\Dominik\Zotero\storage\ND6EMKH4\Tsolkas und Schmidt - 2017 - Rollen und Berechtigungskonzepte.pdf}
|
||||
}
|
||||
|
||||
@misc{vigo2024,
|
||||
title = {{Moderne Authentifizierung: {\"U}bersicht und Anwendungsf{\"a}lle}},
|
||||
shorttitle = {{Moderne Authentifizierung}},
|
||||
author = {Vigo, Jesus},
|
||||
year = {2024},
|
||||
urldate = {2025-07-13},
|
||||
abstract = {Erfahren Sie, was moderne Authentifizierung ist und wie man sie implementiert. Erfahren Sie, wie Sie mit MFA, SSO, OAuth, OpenID Connect und mehr die Sicherheit Ihrer Organisation erh{\"o}hen k{\"o}nnen.},
|
||||
langid = {ngerman},
|
||||
file = {C:\Users\Dominik\Zotero\storage\WKHPL6ZK\moderne-authentifizierung-uebersicht.html},
|
||||
note = {(Zugriff am 13.07.2025)},
|
||||
howpublished = {\url{https://www.jamf.com/de/blog/moderne-authentifizierung-uebersicht/}}
|
||||
}
|
||||
|
||||
Reference in New Issue
Block a user