dom/Ausarbeitung_Informationssicherheit_II
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Compare commits

base: dom:5ffa3ce1e476c9cf3b0ad261ba8289bcee241338
Branches Tags
dom:master
..
compare: dom:83b5b958f6a997868ca3b17be087682ae7bcf00c
Branches Tags
dom:master

10 Commits
5ffa3ce1e4 ... 83b5b958f6

Author SHA1 Message Date
Dominik
83b5b958f6 fix: improve clarity in biometric authentication challenges section 2025-07-26 17:02:28 +02:00
Dominik
0f5b9d8957 feat: add comprehensive section on biometric authentication methods and their applications 2025-07-26 16:50:25 +02:00
Dominik
ae734e9839 feat: expand overview of modern authentication methods and introduce FIDO2 protocol details 2025-07-22 17:12:01 +02:00
Dominik
99e4922449 fix: improve clarity and formatting in Web Authentication and Trusted Platform Module sections 2025-07-17 10:59:54 +02:00
Dominik
b38aad023c fix: correct citation formatting and improve clarity in authentication sections 2025-07-16 17:33:29 +02:00
Dominik
f110897521 feat: add description of Trusted Platform Module and its security benefits 2025-07-15 17:54:21 +02:00
Dominik
b59928e825 feat: add FIDO2 section with technical foundations and authentication challenges 2025-07-15 14:47:52 +02:00
Dominik
741e8be8d5 fix: correct citation placement in the section on possession authentication factors 2025-07-12 12:55:42 +02:00
Dominik
0e20eac15f feat: expand section on authentication challenges with details on default passwords 2025-07-12 12:47:54 +02:00
Dominik
5ea34dc4ae fix: update authentication section for clarity and reintroduce hyperref package 2025-07-10 20:54:54 +02:00
10 changed files with 542 additions and 27 deletions
Expand all files Collapse all files

28
Horn_Dominik_Moderne_Authentifizierungsverfahren.tex
View File

@@ -41,11 +41,13 @@
\setkomafont{title}{\normalfont\bfseries} % ergänzt für times-Font unter lualatex (RST 2021)
\setkomafont{descriptionlabel}{\normalfont\bfseries} % ergänzt für times-Font unter lualatex (RST 2021)
\setlength{\parindent}{0em}
\usepackage[citecolor=black,hidelinks,breaklinks]{hyperref}
% Korrekte Prositionierung des Links bei Abbildungen und Tabellen
\usepackage[figure,table]{hypcap}
\usepackage{ibs} %Immer zuletzt einbinden
\usepackage[citecolor=black,hidelinks,breaklinks]{hyperref}
\usepackage[figure,table]{hypcap} % Korrekte Prositionierung des Links bei Abbildungen und Tabellen
\definecolor{codegreen}{rgb}{0,0.6,0}
\definecolor{codegray}{rgb}{0.5,0.5,0.5}
@@ -84,8 +86,8 @@
%Titel
\title{\titel} % Titel der Arbeit
\subtitle{Informationssicherheit I}
\author{Dominik Horn}
\subtitle{\untertitel} % Untertitel der Arbeit
\author{\autorName}
\publishers{\dozent}
%\maketitle %dadurch wird der Titel auch erstellt
@@ -98,22 +100,12 @@
%\rfoot{}
%\thispagestyle{empty}
%\part*{Sperrvermerk}
%Diese Arbeit basiert auf internen und vertraulichen Informationen der BTC Business Technology
%Consulting AG.\\
%Sie darf Dritten, mit Ausnahme der betreuenden Dozenten und befugten Mitgliedern des Prüfungsausschusses,
%ohne ausdrückliche Zustimmung des Unternehmens und des Verfassers nicht
%zugänglich gemacht werden.\\
%Eine Vervielfältigung und Veröffentlichung dieser Arbeit ohne ausdrückliche Genehmigung,
%auch in Auszügen, ist nicht erlaubt.
\newpage
\setcounter{page}{1}
\lfoot{\normalfont\rmfamily \small Ausarbeitung von \autorName} % angepasst für times-Font footer unter lualatex (RST 2021)
\rfoot{\normalfont\rmfamily \small Seite \thepage}
%\input{content/0 Allgemein/Sperrvermerk} % Sperrvermerk einfügen
\tableofcontents %damit kann ein Inhaltsverzeichnis eingefügt werden; Achtung:
@@ -133,7 +125,7 @@
\renewcommand{\cftfigaftersnum}{:}
\setlength{\cftfignumwidth}{2.3cm}
\setlength{\cftfigindent}{0cm}
%\listoffigures
\listoffigures
%Abkürzungsverzeichnis
%\section*{Abkürzungsverzeichnis}
@@ -170,7 +162,7 @@
% Literatur
%\addcontentsline{toc}{section}{Literatur} %sorgt dafür, dass Literaturverzeichnis auch im Inhaltsverzeichnis erscheint
\addcontentsline{toc}{section}{Literatur} %sorgt dafür, dass Literaturverzeichnis auch im Inhaltsverzeichnis erscheint
\bibliographystyle{alpha} % Alphadin-Bibitem-Style zur Darstellung der Zitatkeys nach BA-Vorgabe

5
content/0 Allgemein/Sperrvermerk.tex Normal file
View File

@@ -0,0 +1,5 @@
\part*{Sperrvermerk}
Diese Arbeit basiert auf internen und vertraulichen Informationen der BTC Business Technology Consulting AG.\\
Sie darf Dritten, mit Ausnahme der betreuenden Dozenten und befugten Mitgliedern des Prüfungsausschusses, ohne ausdrückliche Zustimmung des Unternehmens und des Verfassers nicht zugänglich gemacht werden.\\
Eine Vervielfältigung und Veröffentlichung dieser Arbeit ohne ausdrückliche Genehmigung, auch in Auszügen, ist nicht erlaubt.

39
content/2 Grundlagen der Authentifizierung/content.tex
View File

@@ -1,16 +1,43 @@
\section{Grundlagen der Authentifizierung}\label{sec:grundlagen-der-authentifizierung}
Unter Authentifizierung ist der Prozess zu verstehen, welcher festlegt, ob einem Nutzer der Zugang zu einem System gewährt wird. Außerdem wird dabei auch die Identität des Nutzers überprüft. Der Nutzer wird dazu verpflichtet für die Erlaubnis oder die Rechte für den Zugang und die Nutzung des Systems, eine Art Nachweis erbringen. Je nach System können diese Berechtigungsnachweise unterschiedlich aussehen. Sie sind auch unter dem Begriff Authentifizierungsfaktor bekannt. Die Authentifizierung kann in drei verschiedene Kategorien unterteilt werden, die sich auf die Art des Nachweises beziehen. Diese Kategorien sind Wissen, Besitz und Biometrie. (vgl.\:\cite{boonkrong2021}, S.\, 45\:f.)
Unter Authentifizierung ist der Prozess zu verstehen, welcher festlegt, ob einem Nutzer der Zugang zu einem System gewährt wird. Außerdem wird dabei auch die Identität des Nutzers überprüft. Der Nutzer wird dazu verpflichtet für die Erlaubnis oder die Rechte für den Zugang und die Nutzung des Systems, eine Art Nachweis erbringen. Je nach System können diese Berechtigungsnachweise unterschiedlich aussehen. Sie sind auch unter dem Begriff Authentifizierungsfaktor bekannt. Die Authentifizierung kann in drei verschiedene Kategorien unterteilt werden, die sich auf die Art des Nachweises beziehen. Diese Kategorien sind Wissen, Besitz und Biometrie. Auf die einzelnen Kategorien wird im \autoref{subsec:kategorien-von-authentifizierungsfaktoren} noch genauer eingegangen. (vgl.\:\cite{boonkrong2021}, S.\,45\:f.)
\subsection{Abgrenzung von Authentifizierung, Vertraulichkeit und Integrität}\label{subsec:abgrenzung-von-authentifizierung-vertraulichkeit-und-integritat}
Zur Abgrenzung der Authentifizierung von den Begriffen Vertraulichkeit und Integrität, ist es nötig die weiteren Begriffe zu definieren.
Vertraulichkeit beschreibt, dass ein nur autorisierte Nutzer Zugang zu entsprechenden Daten erhalten.
Sie geht verloren, wenn Daten an einen unbefugten Nutzer weitergeben werden.
Als Beispiel für eine Verletzung der Vertraulichkeit kann die weitergabe von Kundendaten an ein Konkurrenzunternehmen genannt werden.
Unter der Integrität ist der Schutz von Daten vor unbefugten Veränderung oder Löschung zu verstehen.
Es soll nicht möglich bestehen unbefugt Daten zu manipulieren oder gar zu löschen.
Beispielsweise wird bei einer Überweisung die Kontonummer des Empfängers gefälscht.
(vgl.\:\cite{kaufmann2023}, S.\,567)
\subsection{Unterschied zwischen Authentifizierung, Authentisierung und Autorisierung}\label{subsec:unterschied-zwischen-authentifizierung-authentisierung-und-autorisierung}
Der Begriff Authentifizierung ist zu Beginn des Kapitels definiert worden.
Die Begriffe Authentisierung und Autorisierung sind jedoch nicht identisch mit der Authentifizierung, dennoch werden sie oft synonym verwendet.
Authentisierung beschreibt den Nachweis der Identität eines Nutzers durch beispielsweise die Eingabe eines Benutzernamens und Passworts.
Geht es um die Autorisierung, so wird von der Vergabe von Zugriffsrechten basierende auf der bestätigten Identität des Benutzers gesprochen.
Also welche Aktionen oder Ressourcen dem Nutzer nach erfolgreicher Anmeldung zur Verfügung stehen.
(vgl.\:\cite{koeller2023})
\subsection{Kategorien von Authentifizierungsfaktoren}\label{subsec:kategorien-von-authentifizierungsfaktoren}
Beim Authentifizierungsfaktor des Typs Wissen, nutzt der Benutzer, was er in seinem Gedächtnis gespeichert hat zur Authentifizierung. Dies kann beispielsweise ein Passwort oder eine PIN-Nummer sein. Die Authentifizierung durch Wissen besteht in vereinfachter Form aus zwei Schritten. Im ersten Schritt ist die Registrierungsphase, in dieser wählt der Antragsteller ein Passwort aus. Dieses wird dann in einer Passwortdatenbank gespeichert. Im Vorfeld der Speicherung wird möglicherweise das Passwort noch vorverarbeitet. Abgeschlossen ist diese Phase mit der Speicherung des Passwortes. Im zweiten Schritt, der Authentifizierungsphase, gibt der Antragsteller sein Passwort ein. Dieses wird dann mit dem in der Datenbank gespeicherten Passwort verglichen. Stimmen die Passwörter überein, so wird dem Antragsteller der Zugang gewährt. (vgl.\:\cite{boonkrong2021}, S.\, 49\:f.)
Beim Authentifizierungsfaktor des Typs Wissen, nutzt der Benutzer, was er in seinem Gedächtnis gespeichert hat zur Authentifizierung. Dies kann beispielsweise ein Passwort oder eine PIN-Nummer sein. Die Authentifizierung durch Wissen besteht in vereinfachter Form aus zwei Schritten. Im ersten Schritt ist die Registrierungsphase, in dieser wählt der Antragsteller ein Passwort aus. Dieses wird dann in einer Passwortdatenbank gespeichert. Im Vorfeld der Speicherung wird möglicherweise das Passwort noch vorverarbeitet. Abgeschlossen ist diese Phase mit der Speicherung des Passwortes. Im zweiten Schritt, der Authentifizierungsphase, gibt der Antragsteller sein Passwort ein. Dieses wird dann mit dem in der Datenbank gespeicherten Passwort verglichen. Stimmen die Passwörter überein, so wird dem Antragsteller der Zugang gewährt. (vgl.\:\cite{boonkrong2021}, S.\,49\:f.)
Ist der Authentifizierungsfaktor des Typs Besitz, so ist eine Voraussetzung, dass der Antragsteller einen physischen Gegenstand besitzt. Dieser Gegenstand kann beispielsweise eine Chipkarte oder ein Authentifizierungs-Token sein. Ein Authentifizierungs-Token ist ein kleines Gerät, meist als Schlüsselanhänger, welches auf einem Display eine Reihe von Zahlen anzeigt. Diese Zahlen dienen als Passcode für den Authentifizierungsprozess. Der Token kann entweder synchron oder asynchron arbeiten. Im Falle eines synchronen Tokes, wird dieser mit dem Authentifizierungsserver synchronisiert. Das bedeutet, dass der Token die Zeit des Servers kennt und die angezeigten Zahlen auf dem Display in regelmäßigen Abständen aktualisiert. Während der Anmeldephase gibt der Antragsteller den angezeigten Code ein. Der Server vergleicht diesen Code mit dem, den er selbst berechnet hat. Asynchrone Tokens sind zeitunabhängig. Der Benutzer erhält beim Anmeldeversuch vom Authentifizierungsserver eine zufällige Ziffernfolge. Diese kann dann in den Token eingegeben werden. Der Authentifizierungs-Token berechnet anhand der Ziffernfolge einen Passcode, als Antwort. Der Benutzer gibt zum Abschluss des Anmeldeversuchs den Passcode ein. Bei übereinstimmenden Passcodes wird der Zugang gewährt.
(vgl.\:\cite{boonkrong2021}, S.\, 51\:f.)
Die dritte Kategorie der Authentifizierungsfaktoren ist die Biometrie. Dieses Kriterium beschäftigt sich mit Merkmalen des Antragstellers. Es nutzt somit Körpermaße, welche als biometrische Daten bezeichnet werden. Einfacher ausgedrückt, der Faktor erfordert, dass der Authentifikator den Antragsteller mittels einer biometrischen Information authentifiziert. Allgemein bekannte biometrische Merkmale sind beispielsweise der Fingerabdruck, der Handabdruck, die Handgeometrie, das Gesicht, die Iris und die Retina. Von diesen Merkmalen gelten allerdings nur der Fingerabdruck, die Netzhaut und die Iris als einzigartig. Wie beim Faktor Wissen besteht auch hier der Authentifizierungsprozess aus zwei Phasen. Die Registrierungsphase beginnt mit der Erfassung der biometrischen Daten des Antragstellers. Im Anschluss werden die erfassten Daten verarbeitet und in ein biometrisches Muster umgewandelt. Das Muster wird in einer Datenbank gespeichert. Auch in der zweiten Phase, der Authentifizierungsphase, wird mit der Erfassung der biometrischen Daten begonnen. Diese werden dann auch umgewandelt und mit dem in der Datenbank gespeicherten Muster verglichen. Bei Übereinstimmung war die Authentifizierung erfolgreich und der Antragsteller erhält Zugang. (vgl.\:\cite{boonkrong2021}, S.\, 52\:f.)
Ist der Authentifizierungsfaktor des Typs Besitz, so ist eine Voraussetzung, dass der Antragsteller einen physischen Gegenstand besitzt. Dieser Gegenstand kann beispielsweise eine Chipkarte oder ein Authentifizierungs-Token sein. Ein Authentifizierungs-Token ist ein kleines Gerät, meist als Schlüsselanhänger, welches auf einem Display eine Reihe von Zahlen anzeigt. Diese Zahlen dienen als Passcode für den Authentifizierungsprozess. Der Token kann entweder synchron oder asynchron arbeiten. Im Falle eines synchronen Tokes, wird dieser mit dem Authentifizierungsserver synchronisiert. Das bedeutet, dass der Token die Zeit des Servers kennt und die angezeigten Zahlen auf dem Display in regelmäßigen Abständen aktualisiert. Während der Anmeldephase gibt der Antragsteller den angezeigten Code ein. Der Server vergleicht diesen Code mit dem, den er selbst berechnet hat. Asynchrone Tokens sind zeitunabhängig. Der Benutzer erhält beim Anmeldeversuch vom Authentifizierungsserver eine zufällige Ziffernfolge. Diese kann dann in den Token eingegeben werden. Der Authentifizierungs-Token berechnet anhand der Ziffernfolge einen Passcode, als Antwort. Der Benutzer gibt zum Abschluss des Anmeldeversuchs den Passcode ein. Bei übereinstimmenden Passcodes wird der Zugang gewährt. (vgl.\:\cite{boonkrong2021}, S.\,51\:f.)
Die dritte Kategorie der Authentifizierungsfaktoren ist die Biometrie. Dieses Kriterium beschäftigt sich mit Merkmalen des Antragstellers. Es nutzt somit Körpermaße, welche als biometrische Daten bezeichnet werden. Einfacher ausgedrückt, der Faktor erfordert, dass der Authentifikator den Antragsteller mittels einer biometrischen Information authentifiziert. Allgemein bekannte biometrische Merkmale sind beispielsweise der Fingerabdruck, der Handabdruck, die Handgeometrie, das Gesicht, die Iris und die Retina. Von diesen Merkmalen gelten allerdings nur der Fingerabdruck, die Netzhaut und die Iris als einzigartig. Wie beim Faktor Wissen besteht auch hier der Authentifizierungsprozess aus zwei Phasen. Die Registrierungsphase beginnt mit der Erfassung der biometrischen Daten des Antragstellers. Im Anschluss werden die erfassten Daten verarbeitet und in ein biometrisches Muster umgewandelt. Das Muster wird in einer Datenbank gespeichert. Auch in der zweiten Phase, der Authentifizierungsphase, wird mit der Erfassung der biometrischen Daten begonnen. Diese werden dann auch umgewandelt und mit dem in der Datenbank gespeicherten Muster verglichen. Bei Übereinstimmung war die Authentifizierung erfolgreich und der Antragsteller erhält Zugang. (vgl.\:\cite{boonkrong2021}, S.\,52\:f.)
\subsection{Herausforderungen bei der klassischen Authentifizierung}\label{subsec:herausforderungen-bei-der-authentifizierung}
Eine große Herausforderung bei klassischen Authentifizierungsverfahren ist, dass die Authentifizierungsmechanismen vor Kompromittierung durch Angreifer zu schützen. Die Angreifer versuchen auf ganz unterschiedliche Weisen an die Authentifizierungsdaten zu gelangen. Im weitern Verlauf soll detaillierter auf Standardpasswörter, Replay-Angriffe und Man-in the Middle-Angriffe eingegangen werden.
Eine große Herausforderung bei klassischen Authentifizierungsverfahren ist, dass die Authentifizierungsmechanismen vor Kompromittierung durch Angreifer zu schützen. Authentifizierungsmethoden welche ausschließlich aus Benutzernamen und Passwort bestehen, gelten als unsicher. Das Open Web Application Security Project (OWASP) stuft auf der Liste der am meisten beobachteten Anwendungsschwachstellen, die fehlerhafte Authentifizierung auf dem zweiten Platz. Die Angreifer versuchen auf ganz unterschiedliche Weisen an die Authentifizierungsdaten zu gelangen. Im weiteren Verlauf soll detaillierter auf Standardpasswörter, Replay-Angriffe und Man-in the Middle-Angriffe eingegangen werden.
Standardpasswörter sind vordefinierte und vorkonfigurierte Passwörter für eine Software oder ein Gerät. Oft vorhanden in Geräten wie Routern, Switchen, drahtlose Zugangspunkte und Internet of Things (IoT) Geräte. Sie gelten als Hauptproblem bei Authentifizierungsmechanismen, da sie oft übersehen werden. Werden diese Passwörter nicht geändert, können Angreifer ohne große Probleme für beliebige Geräte und Software ein Standardpasswort finden. Diese Passwörter sind in der Regel öffentlich zugänglich und können von Angreifern leicht gefunden werden. Ein Beispiel für ein Standardpasswort ist ``admin'' oder ``123456''. Mittels dem in Erfahrung gebrachten Passwort kann der Angreifer in den meisten Fällen als Administrator auf das Gerät zugreifen. Es gibt aber auch Möglichkeiten die Sicherheit von Standardpasswörtern zu erhöhen. Das wären unter anderem, das Verwenden von eindeutigen und sicheren Standardpasswörtern oder der den Benutzer nach der erstmaligen Anmeldung zwingen, das Standardpasswort zu ändern. (vgl.\:\cite{boonkrong2021}, S.\,59\:f.)
Eine beliebte Methode um Authentifizierungsmechanismen anzugreifen sind Replay-Angriffe. Zur Durchführung eines solchen Angriffs muss der Angreifer Zugang zum Netzwerk zwischen zwei kommunizierenden Parteien haben. Der Angriff kann nur dann Erfolgreich sein, wenn die Anmeldedaten des Benutzers nicht im Klartextformat vorliegen. Die Durchführung eines Replay-Angriffs ist wie folgt, der Angreifer kopiert das Passwort oder die Zugangsdaten einer Entität und verwendet diese, um sich bei der anderen Entität zu authentifizieren. Es wird das Ziel verfolgt den Benutzer zu imitieren, dessen Zugangsdaten kopiert wurden. Vereinfacht ausgedrückt, kopiert der Angreifer die Nachricht mit den Zugangsdaten und sendet diese erneut an einen Authentifizierungsserver, in der Hoffnung, erfolgreich verifiziert zu werden. (vgl.\:\cite{boonkrong2021}, S.\,61)
Der Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer in der Kommunikation zwischen zwei Parteien sitzt und die Kommunikation abhört. Da alle Nachrichten über den Angreifer geleitet werden, kann dieser die Nachrichten lesen und manipulieren. Das bietet dem Angreifer die Möglichkeit beiden Parteien vorzutäuschen, dass jede Partei glaubt, direkt mit der anderen zu kommunizieren. Ein Authentifizierungsangriff kann so aussehen, dass der Angreifer sich z. B. als legitimer WLAN-Zugangspunkt ausgibt. Dadurch kann der Angreifer Benutzernamen und Passwörter abfangen und diese an den Authentifizierungsserver weiterleiten und sich damit als der Benutzer ausgeben. (vgl.\:\cite{boonkrong2021}, S.\,62)

12
content/3 Moderne Authentifizierungsverfahren Überblick/content.tex
View File

@@ -1 +1,13 @@
\section{Moderne Authentifizierungsverfahren Überblick}\label{sec:moderne-authentifizierungsverfahren--uberblick}
Über viele Jahre hinweg haben traditionelle Authentifizierungsverfahren, wie Passwörter und PINs, gut funktioniert.
Allerdings haben Angreifer in der aktuellen Bedrohungslandschaft anspruchsvollere Angriffe entwickelt, die diese traditionellen Methoden umgehen können.
Für die Angriffe nutzen die Angreifer verschiedene Verfahren wie Wörterbuchangriffe, Social-Engineering-Kampagnen, Ausnutzung von Schwachstellen oder auch ganz neu die Nutzung von Künstlicher Intelligenz (KI) und Maschinelles Lernen (ML).
All diese Verfahren ermöglichen es, Passwörter leicht zu erraten, zu umgehen oder gehackt zu werden. Traditionelle Verfahren, die auf einem Faktor basieren, sind daher einfach umgehbar.
Moderne Authentifizierungsverfahren nutzen mehrere Faktoren, bedingte und kontextbezogene Sicherheitsrichtlinien und robuste Autorisierungsprotokolle, um zu bewerten, ob der Benutzer auch der ist, für den er sich ausgibt.
Organisationen wechseln von den traditionellen Authentifizierungsverfahren zu modernen Verfahren, da ihr Authentifizierungsprozess auf eine Kombination von Faktoren setzt,
Im Falle das ein Angreifer die erste Überprüfungsstufe, die zum Beispiel ein Passwort ist, überwindet aber die zweite Stufe nicht, so erhält dieser keinen Zugriff auf die Ressourcen und die Daten bleiben geschützt.
(vgl.\:\cite{vigo2024})
Die folgenden Abschnitte geben einen Überblick über die modernen AAuthentifizierungsverfahren FIDO2, biometrische Authentifizierungsverfahren und Multi-Faktor-Authentifizierung.

142
content/4 FIDO2/content.tex
View File

@@ -1 +1,143 @@
\section{FIDO2}\label{sec:fido2}
FIDO steht für Fast Identity Online und wurde von der FIDO-Alliance entwickelt. Die FIDO-Alliance ist ein Bündnis aus mehreren großen Unternehmen, darunter Google, Microsoft, Apple, Amazon und viele weitere. Das Ziel der FIDO Alliance ist es, das FIDO-Verfahren bei den Diensten zu etablieren. Der FIDO2-Standard verfolgt den Ansatz der passwortlosen Authentifizierung. Das bedeutet, anstelle von Passwörtern werden zur Authentifizierung kryptografische Verfahren eingesetzt. So ist es nicht mehr notwendig, Passwörter über das Internet zu übertragen. Die Authentifizierung des Nutzers erfolgt mittels, den Nachweis das der Nutzer im Besitz seines vertraulichen Verschlüsselungspassworts ist. Bei dem Nachweis handelt es sich um eine Verschlüsselungsaufgabe, auch Challenge genannt.
(vgl.\:\cite{kebschull2023}, S.\,147\:f.)
\subsection{Technische Grundlagen}\label{subsec:technische-grundlagen}
Der FIDO2-Standard nutzt mehrere technische Komponenten, um eine sicher und benutzerfreundliche Authentifizierung zu ermöglichen. Diese Komponenten umfassen unter anderem das Client-to-Authenticator Protocol (CTAP), das Web Authentication (WebAuthn) Protokoll und Trusted Platform Module (TPM).
\subsubsection{Client-to-Authenticator Protocol}\label{subsubsec:ctap-protokoll}
Das Client-to-Authenticator Protocol kurz CTAP, ist ein Protokoll, welches die Kommunikation zwischen dem System eines Nutzers und em Token regelt. Es legt fest wie beide Komponenten miteinander zu kommunizieren haben. Dieses Protokoll gibt es in zwei Versionen. Das erste Protokoll ist auch unter dem Namen Universal Second Factor (U2F) bekannt und bezieht sich hauptsächlich auf die Zwei-Faktor-Authentifizierung. Die zweite Version CTAP2, wird im Zusammenhang mit FIDO2 eingesetzt und sorgt im Zusammenhang mit WebAuthn das FIDO2 funktionsfähig ist. (vgl.\:\cite{ionos2021})
\subsubsection{Web Authentication}\label{subsubsec:web-authentication}
In Zusammenarbeit der FIDO-Alliance und dem WWW-Consortium wurde die Web Authentication (WebAuthn) entwickelt. Sie hatten das Ziel einen Standard zu schaffen, welcher Phishing-Angriffe verhindert. WebAuthn wurde im März 2019 als offizieller Webstandard anerkannt und wird von den meisten Browsern, zur Anmeldung bei webbasierten Diensten, unterstützt. Der Unterschied zwischen dem FIDO2-Standard und WebAuthn liegt darin, dass WebAuthn zusätzlich zum privaten Schlüssel, auch die korrekte Domain des Dienstes im Endgerät speichert und miteinander verknüpft. Dies schränkt die Nutzung des Schlüssels auf die konkrete Domain ein, wodurch Man-in-the-Middle-Angriffe ausgehebelt werden. (vgl.\:\cite{kebschull2023}, S.\,150\:f.)
Beim WebAuthn ist genauso wie beim FIDO2-Standard in Registrierungs- und Anmeldeprozess zu unterscheiden. In \autoref{fig:webauthn-registrierung} ist der Registrierungsprozess dargestellt.
\begin{figure}[H]
\centering
\includegraphics[width=1.0\textwidth]{content/Bilder/WebAuthn_Registrierung}
\caption[Registrierung über WebAuthn]{Registrierung über WebAuthn (Quelle: in Anlehnung an \cite{kebschull2023}, S.\,150)}
\label{fig:webauthn-registrierung}
\end{figure}
Im ersten Schritt der Registrierung wird die Webseite des Webdienstes aufgerufen (1). Voraussetzung für die Nutzung von WebAuthn ist, dass der Webdienst diesen auch als Authentifizierungsmethode anbietet. Nach der Auswahl der WebAuthn-Authentifizierungsmethode wird das zu verschlüsselnde Datenwort (Challenge) mit dem Benutzernamen an den Client zurückgesendet (2). Die erhaltenden Daten werden mit der Domain des Webdienstes an den Authentifikator geben (3). Dieser erstellte eine dazugehörige ID, den privaten und öffentlichen Schlüssel und speichert diese auf dem Gerät. Im Anschluss wird die Challenge mit dem privaten Schlüssel verschlüsselt. Die verschlüsselte Challenge wird zusammen mit der ID und dem öffentlichen Schlüssel zurückgesendet (4). Der Client leitet die Daten an den Webdienst weiter (5) und schließt damit die Registrierung ab.
Der Anmeldeprozess ist in der folgenden \autoref{fig:webauthn-anmeldung} dargestellt.
\begin{figure}[H]
\centering
\includegraphics[width=1.0\textwidth]{content/Bilder/WebAuthn_Anmeldung}
\caption[Anmeldung über WebAuthn]{Anmeldung über WebAuthn (Quelle: in Anlehnung an \cite{kebschull2023}, S.\,151)}
\label{fig:webauthn-anmeldung}
\end{figure}
Für die Anmeldung muss der Benutzer sich mit dem gleichen Sicherheitsverfahren gegenüber dem Browser authentifizieren. Darauf folgend wird über das FIDO2-Protokoll die passwortlose Anmeldung zwischen dem Browser und dem Dienst durchgeführt.
Die Vorteile der Nutzung von Webauthn sind:
\begin{itemize}
\item Erhöhung der Sicherheit und des Komforts, da zu keinem Zeitpunkt Passwörter übertragen werden müssen
\item Es ist nicht mehr notwendig, Passwörter zu merken oder zu verwalten
\item Jeder Webdienst erhält einen spezifischen Zugang und dieser kann somit nicht über verschiedene Dienste hinweg zugeordnet werden
\item Ist ein wirksames Mittel gegen Man-in-the-Middle-Angriffe
\item die Sicherheit von WebAuthn kann durch die zusätzliche Verwendung eines USB-Tokens erhöht werden
\end{itemize}
(vgl.\:\cite{kebschull2023}, S.\,151)
\subsubsection{Trusted Platform Module}\label{subsubsec:trusted-platform-module}
Auf dem Mainboard moderner Computers ist häufig das sogenannte Trusted Platform Module (TPM) verbaut. Es dient zur Sicherung der Hardware mit integrierten kryptografischen Schlüsseln und hilft zusätzlich dabei die Identität eines Benutzers nachzuweisen und das Gerät zu authentifizieren. Außerdem trägt es zur Sicherheit vor Bedrohungen wie Firmware- und Ransomware-Angriffen bei und bietet die Funktion Passwörter, Zertifikate und Verschlüsselungsschlüssel zu speichern. Alle gängigen Betriebssysteme unterstützen TPM\@. Eine Kombination mit weiteren Sicherheitstechnologien kann die Funktionalität von TPM verbessern. Technologien wie Firewalls, Antivirus-Software, Smartcards und biometrische Überprüfung sind Beispiele dafür.
In jedem TPM-Chip ist ein RSA-Schlüsselpaar gespeichert, mit der Bezeichnung Endorsement Key (EK). Das Schlüsselpaar wird ausschließlich innerhalb des TPM-Chips verwaltet und kann von keiner Software aufgerufen werden. Übernimmt ein Administrator oder ein Benutzer den Besitz eines Systems, so wird auf der Basis des EK und das Passwort vom Eigentümer der Storage Root Key generiert.
Ein weiterer Schlüssel, der im TPM-Chip gespeichert ist, ist der Attestation Identity Key (AIK). Dieser ist zum Schutz des Gerätes vor nicht autorisierter Firmware- und Softwareänderungen. Zur überprüfung werden vor der Ausführung der Software oder Firmware kritische Abschnitte gehasht. Baut das System dann eine Netzwerkverbindung auf, so wird der Hashwert an einen Server gesendet. Werden bei der Überprüfung der Hashwerte Abweichungen an den geänderten Komponenten festgestellt, so erhält das System keinen Zugriff auf das Netzwerk.
TPM kann auf fünf verschiedenen Arten implementiert werden. Die verschiedenen Arten sind:
\begin{itemize}
\item \textbf{Diskrete TPMs} sind als dedizierter Chip auf dem Mainboard verbaut und von den fünf Arten wohl die sicherste Variante. Aus dem Grund das sie in der Regel fast gar nicht fehleranfällig und nicht zu manipulieren sind.
\item \textbf{Physisch-basierte TPMs} werden in den Prozessor integriert und enthalten Mechanismen, welche sie sichern vor Manipulationen.
\item \textbf{Firmware-basierte TPMs} laufen auf einem Prozessor in einer vertrauenswürdigen Umgebung. Sie sind fast so sicher wie diskrete TPMs.
\item \textbf{Software-basierte TPMs}: bieten keinen erhöhten Schutz, da sie fehleranfällig und leicht angreifbar sind.
\item \textbf{Virtualisierte TPMs}: werden durch den Hypervisor bereitgestellt. Der Hypervisor tuft die Sicherheitscodes unabhängig der virtuellen Maschine auf.
\end{itemize}
Der Einsatz von TPMs hat folgende Vorteile:
\begin{itemize}
\item Erzeugung, sichere Aufbewahrung und kontrollierte Nutzung kryptografischer Schlüssel
\item Wahrung der Plattformintegrität durch den Einsatz von Metriken, die Änderungen an früheren Systemkonfigurationen erkennen
\item Authentifizierung des Plattformgeräts mittels des RSA-Schlüssels im TPM
\item Schutz vor Bedrohungen wie manipulierte Firmware, Ransomware, Wörterbuchangriffe und Phishing durch geeignete Sicherheitsmechanismen
\item Wahrung von Urheberrechten digitaler Inhalte durch den Einsatz von Digital Rights Management (DRM)
\item Absicherung und Schutz von Softwarelizenzen gegen unbefugte Nutzung oder Manipulation
\end{itemize}
(vgl.\:\cite{gillis2024})
\subsection{Funktionsweise und Ablauf}\label{subsec:funktionsweise-und-ablauf}
In der Funktionsweise ähnelt das FIDO2-Protokoll einem Public-Key-Verfahren.
Im groben Ablauf wird bei der Registrierung ein Schlüsselpaar aus einen privaten und einem öffentlichen Schlüssel generiert.
Der private Schlüssel ist nur auf dem Endgerät des Nutzers im TPM gespeichert und kann nicht ausgelesen werden.
An den Dienstleister wird der öffentliche Schlüssel übermittelt.
Bei der Anmeldung des Nutzers dient der private Schlüssel zur Verschlüsselung eines Datenpakets und wird ausschließlich im TPM eingesetzt.
So weisst das Endgerät des Nutzers nach, dass der Nutzer im Besitz des privaten Schlüssels ist.
Bei genauerer Betrachtung des Ablaufs der FIDO2-Authentifizierung, ist zu erkennen, dass in zwei Authentifizierungsschritte unterschieden wird.
Zum einen die Registrierung und zum anderen die Anmeldung.
Bei der Registrierung wird dem Nutzer ein FIDO2-Authentifikator angeboten.
Dem gegenüber muss der Nutzer sich über biometrische Faktoren, einer PIN, einer beliebigen anderen sicheren Methode oder dem Besitz authentifizieren.
Auf Basis dessen wird für den Dienst vom Authentifikator ein Schlüsselpaar generiert.
Der private Schlüssel wird im Authentifikator gespeichert und der öffentliche Schlüssel wird an den Dienst übermittelt.
Der zweite Authentifizierungsschritt ist die Anmeldung.
In diesem Schritt fordert der Dienst den Nutzer auf, sich mit demselben FIDO2-Authentifikator zu authentifizieren, den er bereits bei der Registrierung verwendet hat.
Um den Authentifizierungsprozess zu starten, muss der Nutzer auf seinem Gerät dieselbe Authentifizierungsmethode verwenden, die er ursprünglich für die Anmeldung genutzt hat.
Hierzu sendet der Dienst ein Datenpaket an den Authentifikator. Dieser verschlüsselt es mithilfe des privaten Schlüssels, der beispielsweise in der Hardware eines USB-Tokens hinterlegt ist, und übermittelt das verschlüsselte Ergebnis zurück an den Dienst.
Anschließend überprüft der Dienst die Authentizität, indem er das empfangene Datenpaket mit dem zugehörigen öffentlichen Schlüssel entschlüsselt und mit dem ursprünglich gesendeten Datenpaket vergleicht. Stimmen beide überein, ist nachgewiesen, dass der Nutzer im Besitz des privaten Schlüssels ist.
Die Authentisierung gilt in diesem Fall als erfolgreich, und der Dienst gewährt dem Nutzer den Zugriff.
\subsection{Weitere Arten von FIDO-Protokollen}\label{subsec:weitere-fido-protokollen}
Neben dem FIDO2-Standard hat die FIDO-Alliance noch zwei weitere Protokolle entwickelt.
Dies sind das Universal Second Factor (U2F) und das Universal Authentication Framework (UAF)\@.
Jeder von ihnen hat durch ihre Umsetzung bestimmte Vor- und Nachteile.
In den nächsten Abschnitten werden die beiden Protokolle kurz vorgestellt.
\subsubsection{Universal Second Factor}\label{subsubsec:universal-second-factor}
Das Universal Second Factor (U2F) Protokoll ersetzt das Passwort nicht vollständig, sondern arbeitet nebenher.
Es fordert den Nutzer auf seine Identität, zusätzlich zu seinem Passwort mit einem zweiten Faktor zu verifizieren.
Das kann aus etwas sein was der Kategorie Wissen oder Besitz sein.
Wurde der Sicherheitsschlüssel aktiviert, verwendet der Browser diesen, um den Zugang zum gewünschten Dienst zu ermöglichen.
(vgl.\:\cite{nevis2022})
\subsubsection{Universal Authentication Framework}\label{subsubsec:universal-authentication-framework}
Ein weiteres Protokoll ist das Universal Authentication Framework (UAF), welches eine passwortfreie Authentifizierung ermöglicht.
Gleichzeitig unterstützt es eine Multi-Faktor-Authentifizierung, für erhöhte Sicherheit.
Entwickelt würde es hauptsächlich für mobile Endgeräte, wie Smartphones.
Weit verbreitet ist das UAF im Finanzsektor in den Vereinigten Staaten und Europa.
(vgl.\:\cite{nevis2022})
\subsection{Vorteile und Herausforderungen}\label{subsec:vorteile-und-herausforderungen}
Der FIDO2-Standard bietet mehrere Vorteile, die ihn zu einer attraktiven Wahl für moderne Authentifizierungsmethoden machen:
\begin{itemize}
\item Nutzer müssen sich nie mit einem komplexen Passwort auseinandersetzen
\item Private Schlüssel verlassen das Endgerät nicht
\item Jeder Dienst erhält ein eigenes Passwort
\item Jede Authentifizierung hat immer ein unterschiedliches Datenpaket
\item Passwort oder Schlüssel wird niemals über das internet übertragen, was heißt es kann nicht abgefangen werden
\end{itemize}
Jedoch hat auch dieses Authentifizierungsverfahren seine Herausforderungen:
\begin{itemize}
\item Der Betreiber des Dienstes muss sicherstellen, dass es keine alternativen Authentifizierungsmethoden gibt, die das FIDO2-Verfahren umgehen können
\item Erhöhter administrative Aufwand, da ein robustes Verfahren für den Einsatz des FIDO2-Authenfikators geschaffen werden muss
\item Es ist trotzdem grundsätzlich über einen Man-in-the-Middle-Angriff angreifbar
\end{itemize}
(vgl.\:\cite{kebschull2023}, S.\,148\:f.)

189
content/5 Biometrische Authentifizierungsverfahren/content.tex
View File

@@ -1 +1,190 @@
\section{Biometrische Authentifizierungsverfahren}\label{sec:biometrische-authentifizierungsverfahren}
Die biometrische Authentifizierung ist im Wesentlichen ein Prozess, der die Identität anhand physiologischer oder verhaltensbezogener Merkmale überprüft.
IN den letzten Jahren hat diese
Art der Authentifizierung an Popularität gewonnen, aufgrund der starken Verbreitung durch Smartphones und anderen Geräten, die biometrische Sensoren integriert haben.
Gründe für den Einsatz der biometrischen Authentifizierung sind unter anderem das die Biometrie als einzigartig gilt als ein Passwort.
Die Wahrscheinlichkeit, dass zwei Personen zum Beispiel denselben Fingerabdruck haben ist geringer als das gleiche Passwort.
Außerdem gelten biometrische Authentifizierungssysteme im Vergleich zu wissensbasierten Systemen als sicherer, insbesondere gegen Phishing- oder Social-Engineering-Angriffe.
Diese Angriffe sind ohne die tatsächliche Anwesenheit des physiologischen oder verhaltensbezogenen Merkmals einer Person nicht erfolgversprechend.
(vgl.\:\cite{boonkrong2021}, S.\,107)
\subsection{Biometrie}\label{subsec:biometrie}
Im Kontext der Informationstechnologie ist die Biometrie ein Verfahren zur Identifizierung, Authentifizierung und Zugangskontrolle anhand messbarer biologischer Merkmale eines Menschen.
Biometrische Merkmale können in zwei Kategorien unterteilt werden.
Die erste Kategorie sind die physiologischen Merkmale, welche zur Beschreibung der Form und Struktur von Körperteilen dienen.
Die Beschreibung der Merkmale erfolgt anhand von Daten und Messungen der Körperteile.
Beispiele für physiologische Merkmale sind Fingerabdrücke, Handflächenabdrucke, Handgeometrie, Netzhaut, Iris und das Gesicht.
Verhaltensbezogene Merkmale hingegen beschreiben Verhaltensmuster und Handlungen und beruhen auf Daten und Messungen von menschlichen Aktionen.
Beispiele für diese Merkmale sind Handschrift oder Unterschrift, Nutzungsmuster in sozialen Medien, Tippverhalten, Herzschlag oder das Gangmuster.
(vgl.\:\cite{boonkrong2021}, S.\,108-111)
\subsection{Funktionsweise}\label{subsec:funktionsweise}
Zum Verständnis des Prozesses ist der Unterschied zwischen biometrischer Identifikation und biometrischer Authentifizierung zu beachten.
Die biometrische Identifikation stellt die Identität einer Person fest, somit ist die Zielfrage \glqq{}Wer bist du?\grqq{}.
Zur Feststellung werden biometrische Merkmale wie das Gesicht, der Fingerabdruck oder das Gangmuster erfasst.
Die erfassten Merkmale werden mit den einer Datenbank verglichen, so soll herausgefunden werden, um wen es sich handelt.
Zur Bestätigung der Identität einer Person anhand ihrer biometrischen Merkmale ist der Prozess der biometrischen Authentifizierung notwendig.
(vgl.\:\cite{boonkrong2021}, S.\,113)
Im Grundprinzip sind alle Systeme der biometrischen Authentifizierung ähnlich aufgebaut.
Trotz ihres individuellen Aufbaus haben sie die Komponenten zur:
\begin{itemize}
\item Personalisierung und Registrierung des Nutzers (Enrolment)
\item Erfassung der biometrischen relevanten Eigenschaften einer Person (Templates)
\item Vergleich aktueller präsentierter Daten mir dem zuvor abgespeicherten Daten (Matching)
\end{itemize}
Erfasst werden die biometrischen Merkmale zum einen bei der erstmaligen Registrierung zur Bildung des Referenzdatensatzes und bei der späteren Erfassung zur Wiedererkennung.
Sensoren, die dabei verwendet werden, sind zum Beispiel Kameras, Mikrofone, Tastaturen, Druckpads und viele mehr.
Beim Enrolment wird zunächst ein Bild vom Originalmerkmal einer Person erstellt.
Das Bild wird auch Rohdaten genannt.
Mithilfe von herstellerspezifischen Algorithmen werden die Rohdaten in einen Datensatz umgewandelt.
Auch als Template bezeichnet.
(vgl.\:\cite{bsi2025})\\
Das Template kann ih den unterschiedlichsten Formaten vorliegen, zum Beispiel als Referenzwerte, als Bild oder als Binärwert(vgl.\:\cite{boonkrong2021}, S.\,114).
Für Vergleiche von Bildern wird kein Template erstellt, sondern das Originalbild als Referenzbild abgespeichert.
Das Matching vergleicht das Template mit dem neuen Datensatz der bei erneuter Präsentation des Merkmals gegenüber dem biometrischen System erstellt wird.
Stimmen beide überein, so meldet das Gerät die Erkennung des Nutzers.
Es kann bei der Erfassung, Auswertung und dem Vergleich der Merkmale zu Messfehlern kommen.
Diese Messfehler können durch verschiedene Gründe entstehen, wie zum Beispiel, dass Merkmale sich über die Zeit verändert haben.
Häufige Gründe für solche Veränderung sind Alterung, Verletzungen oder Krankheiten.
Es ist somit nicht möglich einen exakten Abgleich zu garantieren.
Die tatsächliche Entscheidung, ob eine Person erkannt wurde oder nicht hängt von den eingestellten Parametern des biometrischen Systems ab.
Somit werden biometrische Merkmale nicht auf Gleichheit, sondern auf hinreichende Ähnlichkeit geprüft.
Systeme sind nur in der Lage mittels systematischer Wahrscheinlichkeit zu bestimmen, ob es sich um den wirklich Berechtigten handelt.
(vgl.\:\cite{bsi2025})
\subsection{Beispiele für biometrische Authentifizierungsverfahren}\label{subsec:beispiele-fur-biometrische-authentifizierungsverfahren}
Es gibt eine Vielzahl von biometrischen Authentifizierungsverfahren, die sich in der Art der erfassten Merkmale unterscheiden. Im Folgenden werden einige der gängigsten Verfahren vorgestellt.
\subsubsection{Fingerabdruck-Authentifizierung}\label{subsubsec:fingerabdruck-authentifizierung}
Für die Authentifizierung mittels des Fingerabdrucks wird durch das Auflegen des Fingers auf einen Sensor ein Bild des Fingerabdrucks erstellt.
Auf em Bild ist im Normalfall ein Muster aus dunklen Linien (Ridges) zu sehen, welche die Hautrippen darstellen.
Zwischen den Ridges liegen die Täler (Valleys), welche als helle Linien auf dem Bild zu sehen sind.
Die Ridges und Valleys bilden in Kombination die Fingerabdruck-Minutien, was im Wesentlichen die charakteristischen Merkmale des Fingerabdrucks sind.
In \autoref{fig:fingerabdruck-minutien} sind einige Beispiele für Fingerabdruck-Minutien dargestellt.
(vgl.\:\cite{boonkrong2021}, S.\,115\:f.)
\begin{figure}[H]
\centering
\includegraphics[width=0.6\textwidth]{content/Bilder/Grafik_Fingerabdruck}
\caption[Darstellung von Fingerabrduck-Minutien]{Darstellung von Fingerabrduck-Minutien (Quelle: \cite{boonkrong2021}, S.\,115)}
\label{fig:fingerabdruck-minutien}
\end{figure}
Viele Algorithmen die zur analyse von Fingerabdrücken verwendet werden, basieren auf dem Minutien-Abgleich.
In der Regel erfolgt die Erkennung des Fingerabdrucks auf zwei Ebenen.
Die erste Ebene untersucht den generellen Verlauf der Ridges auf dem Finger, während die zweite Ebene Merkmale die entlang der Rippenbahnen liegen oder auch nicht liegen, untersucht.
Dabei ist das am häufigsten verwendete Merkmal die Bifurkation.
An dieser Stelle wird durch eine Verzweigung aus einer Ridge zwei Ridges.
Der Minutienabgleich basiert auf der genauen Postion der Minutien und den Richtungen der Ridges und Valleys.
Die Minutienabgleich-Algorithmen sind nicht die einzige Methode, um Fingerabdrücke zu erkennen.
Eine weitere aber nicht so verbreitete Methode ist das Pattern Matching.
Dies vergleicht die Bilder der Fingerabdrücke direkt miteinander und stellt fest, wie ähnlich sie sind.
(vgl.\:\cite{boonkrong2021}, S.\,116)
\subsubsection{Iris-Authentifizierung}\label{subsubsec:iris-authentifizierung}
Die Iris-Authentifizierung ist ein Prozess, der ein Muster der Iris eines Benutzers erkennt und analysiert.
Ein Nachteil an diesem Verfahren ist, dass es komplex zu implementieren ist.
Grundlegend funktioniert die Iris-Authentifizierung, indem ein Bild der Iris aufgenommen wird.
Die Iris ist der Muskel im Auge, der die Pupille umgibt.
Eine Herausforderung ist das bei der Aufnahme des Bildes auch andere Bereiche enthalten sind.
Solche Bereiche sind als Rauschen zu betrachten.
Die Rauschenbereiche sind zum Beispiel die Wimpern, Augenlider, Augenbrauen, das Sklera und die Pupille.
Vor dem Einsatz des Algorithmus zur Iris-Erkennung, muss ein Algorithmus angewendet werden, der das Rauschen reduziert und charakteristische Merkmale der Iris extrahiert.
Hierfür is der am häufigsten verwendete Algorithmus die Circular Hough Transform (CHT)-Methode.
Die CHT-Methode besteht aus zwei Schritten.
Gestartet wird mit der Segmentierung, in der das Augenbild in verschiedene Bereiche unterteilt wird.
Dabei wir die Iris als Hauptsegment isoliert.
Auf die Segmentierung folgt die Normalisierung, in der wird das Rauschen reduziert und wesentliche Merkmale der verschiedenen Augenbereiche und insbesondere der Iris extrahiert.
Die extrahierten Daten werden in der Regel als Binärwerte gespeichert.
Für den Abgleich des erfassten Iris-Bildes mit dem in einer Datenbank gespeicherten Iris-Bildes wird der Hamming-Distance (HD)-Algorithmus verwendet.
Dieser mist den statischen Unterschied zwischen beiden Binärwert-Mustern.
Es wird versucht, den Anteil der übereinstimmenden Binärbits des erfassten Iris-Bildes mit dem gespeicherten Iris-Bild zu bestimmen.
(vgl.\:\cite{boonkrong2021}, S.\,116\:f.)
\subsection{Einsatzgebiete}\label{subsec:einsatzgebiete-der-biometrischen-authentifizierung}
Die biometrische Authentifizierung findet in vielen Bereichen Anwendung, darunter in Smartphones, beim Militär oder auch im Finanzsektor.
\subsubsection{Smartphones}\label{subsubsec:smartphones}
Hersteller von Smartphones haben erkannt, das anstelle herkömmlicher PIN-Codes eine stärkere Form der Authentifizierung erforderlich ist.
Die bevorzugte Lösung die entwickelt wurde, ist die biometrische Authentifizierung.
Dadurch ist die Akzeptanz solcher Systeme in den letzten Jahren stark gestiegen.
Für Smartphones stehen verschiedene biometrische Authentifizierungsverfahren zur Verfügung.
Die am häufigsten verwendeten Verfahren sind die Fingerabdruck-Authentifizierung, die Gesichtserkennung und bei einigen Geräten die Tastendynamik.
Es kann nicht nur zum Entsperren des Geräts verwendet werden, sondern eine viel Zahl von Anwendungen können damit interagieren.
Als Beispiel kann die Banking-App genannt werden, wo biometrische Authentifizierung für geschützte und sicherheitsrelevante Transaktionen wie Überweisungen oder Zahlungen verwendet wird.
(vgl.\:\cite{boonkrong2021}, S.\,127)
\subsubsection{Militärisch}\label{subsubsec:militarisch}
In den Vereinigten Staaten ist die Nutzung von biometrischer Authentication im Militär weit verbreitet.
Eine Behörde des Verteidigungsministeriums hat eine große Datenbank eingerichtet, welche rund 7,4 Millionen Identitäten enthält.
Laut Berichten sollen der Großteile der biometrischen Daten aus dem Operation im Irak und in Afghanistan stammen.
Die US-Streitkräfte nutzen die biometrische Identifizierung, um die Identität von Feinden auf dem Schlachtfeld zu überprüfen.
(vgl.\:\cite{boonkrong2021}, S.\,128)
\subsubsection{Finanzsektor}\label{subsubsec:finanzsektor}
Im Bereich des Finanzsektors spielt Key Your Customer (KYC) eine zentrale Rolle und ist verpflichtend.
Ziel ist es, den Kunden eindeutig zu identifizieren, um Finanzkriminalität und Geldwäsche zu bekämpfen.
KYC kommt in dem Prozess der Kontoeröffnung zum Einsatz, und dient der Kundenidentifikation und -authentifierung.
Banken sind in der pflicht, sicherzustellen, dass der Kunde auch wirklich die Person ist, für die er sich ausgibt.
Werden die KYC-Anforderungen nicht erfüllt, so wird die Kontoeröffnung verweigert.
Das Verfahren gibt es in zwei Formaten, einmal papierbasiert und einmal digital.
Für das papierbasierte Verfahren muss der Kunde ein Formular ausfüllen und als Anlage ein Lichtbildausweisdokument wie Personalausweis oder Reisepass vorlegen.
Das digitale Verfahren hingegen nutzt biometrische Authentifizierung, um die Identität des Kunden zu überprüfen.
Ein modernes KYc-Verfahren ist, das Electronic Know Your Customer (E-KYC)-Verfahren.
Hier muss der Kunden zum Eröffnen eines Kontos nicht einmal mehr persönlich in die Bankfiliale kommen.
Über die Banking-App werden die biometrischen Merkmale des Kunden erfasst.
Nötig sind da ein Foto des Gesichts und ein nationales Ausweisdokument oder Reisepass.
Der Ablauf des E-KYC-Verfahrens ist wie folgt:
\begin{enumerate}
\item Künde öffnet die Banking-App und gibt die benötigten Informationen ein
\item Foto des Ausweisdokuments hochladen und ein Selfie aufnehmen
\item Gesichtserkennungssystem der Bank vergleicht das Foto des Ausweisdokuments mit dem Selfie
\item Bei Übereinstimmung wird das Konto eröffnet
\item Das Gesichtsbild kann für anschließende Authentifizierungen und Transaktionen verwendet werden
\end{enumerate}
(vgl.\:\cite{boonkrong2021}, S.\,129)
\subsection{Vorteile und Herausforderungen}\label{subsec:vorteile-und-herausforderungen-biometrischer-authentifizierungsverfahren}
Vorteile der biometrischen Authentifizierung sind eine erhöhte Sicherheit, da es schwierig ist, biometrische Merkmale zu fälschen oder zu stehlen.
Dadurch wird das Risiko von Identitätsdiebstahl und -betrug verringert.
Es ist auch nicht erforderlich, Passwörter zu erstellen, zu pflegen oder zu merken.
Da Fingerabdrücke oder das Gesicht immer verfügbar sind, ist eine Authentifizierung überall und jederzeit möglich.
Die Nutzung von biometrischer Authentifizierung bietet eine einfache und intuitive Nutzung, es ist nicht notwendig ein Konto anzulegen oder Zugangscodes einzugeben.
Der letzte Vorteil ist, dass biometrische Authentifizierungen in der Regel schnell und effizient sind.
Die biometrische Authentifizierung steht vor mehreren Herausforderungen.
Ein zentrales Problem sind implizite Vorurteile, die vor allem in der Gesichtserkennungstechnologie deutlich werden.
Viele Systeme basieren auf verzerrten Datensätzen, die zu 77\,\% aus männlichen und zu 83\,\% aus weißen Personen bestehen.
Diese ungleiche Verteilung führt zu einer groben Fehldarstellung der allgemeinen Demografie und hat zur Folge, dass bestimmte Bevölkerungsgruppen benachteiligt werden.
So werden asiatische und afroamerikanische Personen häufiger falsch oder gar nicht erkannt.
Auch Transgender- und nicht-binäre Personen werden oft fehlerhaft kategorisiert, was nicht nur zu praktischen Problemen, sondern auch zu Diskriminierung führen kann.
Ein weiteres zentrales Thema sind Datenschutzbedenken.
Die Sammlung großer Mengen biometrischer Daten findet oftmals ohne ausdrückliche Zustimmung durch staatliche Stellen ab und wirft erhebliche Fragen nach dem Schutz der Privatsphäre auf.
Durch die Speicherung dieser sensiblen Informationen in großen Datenbanken werden sie zu einem attraktiven Ziel für Hacker, wodurch das Risiko von Identitätsdiebstahl und Betrug deutlich steigt.
Selbst wenn Verschlüsselungstechnologien eingesetzt werden, bleiben Sicherheitsbedenken bestehen, da biometrische Merkmale im Gegensatz zu Passwörtern nicht einfach geändert werden können.
Einmal kompromittierte Daten stellen daher ein dauerhaftes Risiko dar.
Darüber hinaus sind biometrische Systeme anfällig für physische Veränderungen.
Verändert sich das Aussehen einer Person zum Beispiel durch Verletzungen, Operationen, Alterungsprozesse oder andere körperliche Anpassungen, kann dies dazu führen, dass die Authentifizierung fehlschlägt.
Im schlimmsten Fall kann der Zugang zu Konten oder Geräten dauerhaft verloren gehen, wenn keine alternativen Authentifizierungsmethoden vorhanden sind.
(vgl.\:\cite{bocetta2023})

BIN
content/Bilder/Grafik_Fingerabdruck.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 657 KiB

BIN
content/Bilder/WebAuthn_Anmeldung.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 25 KiB

BIN
content/Bilder/WebAuthn_Registrierung.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 26 KiB

148
literatur.bib
View File

@@ -1,3 +1,17 @@
@misc{bocetta2023,
title = {{Biometrische Authentifizierung: Vor-/Nachteile sowie Risiken}},
shorttitle = {{Biometrische Authentifizierung}},
author = {Bocetta, Sam},
year = {2023},
journal = {GlobalSign},
urldate = {2025-07-23},
abstract = {Dieser Artikel erl{\"a}utert, was biometrische Authentifizierung ist und wof{\"u}r sie eingesetzt wird.},
langid = {ngerman},
file = {C:\Users\Dominik\Zotero\storage\QVXD3NNA\biometrische-authentifizierung-gutes-schlechtes-und-problematisches.html},
note = {(Zugriff am 23.07.2025)},
howpublished = {\url{https://www.globalsign.com/de-de/blog/biometrische-authentifizierung-gutes-schlechtes-und-problematisches}}
}
@book{boonkrong2021,
title = {Authentication and {{Access Control}}: {{Practical Cryptography Methods}} and {{Tools}}},
shorttitle = {Authentication and {{Access Control}}},
@@ -14,6 +28,19 @@
file = {C:\Users\Dominik\Zotero\storage\GUDGV4NS\Boonkrong - 2021 - Authentication and Access Control Practical Cryptography Methods and Tools.pdf}
}
@misc{bsi2025,
title = {{Grunds{\"a}tzliche Funktionsweise biometrischer Verfahren}},
author = {{BSI}},
year = {2025},
journal = {Bundesamt f{\"u}r Sicherheit in der Informationstechnik},
urldate = {2025-07-23},
abstract = {Einleitung: Ziel einer biometrischer Erkennung ist stets, die Identit{\"a}t einer Person zu ermitteln (Identifikation) oder die behauptete Identit{\"a}t zu best{\"a}tigen oder zu widerlegen (Verifikation).},
langid = {ngerman},
file = {C:\Users\Dominik\Zotero\storage\3RTTS9P8\einfuehrung.html},
note = {(Zugriff am 23.07.2025)},
howpublished = {\url{https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Technologien_sicher_gestalten/Biometrie/AllgemeineEinfuehrung/einfuehrung.html?nn=452592}}
}
@book{bub2015,
title = {{Sicherheit im Wandel von Technologien und M{\"a}rkten}},
editor = {Bub, Udo and Deleski, Viktor and Wolfenstetter, Klaus-Dieter},
@@ -29,6 +56,37 @@
file = {C:\Users\Dominik\Zotero\storage\PTHW773Q\Bub et al. - 2015 - Sicherheit im Wandel von Technologien und Märkten.pdf}
}
@article{catalano2025,
title = {Defeating {{FIDO2}}/{{CTAP2}}/{{WebAuthn}} Using Browser in the Middle and Reflected Cross Site Scripting},
author = {Catalano, Christian and Chezzi, Andrea and Barletta, Vita Santa and Tommasi, Franco},
year = {2025},
journal = {Journal of Computer Virology and Hacking Techniques},
volume = {21},
number = {1},
publisher = {{Springer Science and Business Media LLC}},
issn = {2263-8733},
doi = {10.1007/s11416-025-00556-2},
urldate = {2025-07-14},
abstract = {In our modern digital landscape, web browsers play a crucial role as gateways to large amounts of information and services. However, recent developments have demonstrated that the very features that make browsing convenient and seamless can be exploited by malicious actors through a potent threat vector known as the ``Browser-in-the-Middle'' (BitM) attack. Most of the Multi-Factor Authen- tication (MFA) security measures are shown to be ineffective to prevent BitM attacks. However, the FIDO2 Project that includes CTAP2 protocol that works together with the Web Authentication API (WebAuthn API) has been proven to be a virtually unattackable MFA method by current state-of-the-art BitM implementations. At least until now. This work expands the range of applica- ble scenarios where BitM attack can be used by taking its technical architecture a step further: we show how the effectiveness of BitM---used along a Reflected XSS vulnerability exploitation---can be improved resulting in the novel BitM + attack that proves to be capable of defeating any available MFA method including FIDO2/WebAuthn solutions that rely on hardware dongles and represent the only method of authentication that went undefeated by virtually any phishing attack approach to date.},
copyright = {https://creativecommons.org/licenses/by/4.0},
langid = {english},
keywords = {Vorhanden},
file = {C:\Users\Dominik\Zotero\storage\PGFNMK29\Catalano et al. - 2025 - Defeating FIDO2CTAP2WebAuthn using browser in the middle and reflected cross site scripting.pdf}
}
@misc{deinhard2025,
title = {{Welche modernen Authentifizierungsm{\"o}glichkeiten gibt es?}},
author = {Deinhard, Florian},
year = {2025},
journal = {IT-Schulungen.com},
urldate = {2025-07-12},
abstract = {Moderne Authentifizierungsmethoden spielen eine zentrale Rolle in der Absicherung von IT-Infrastrukturen und Benutzerzugriffen. Durch die Entwicklung fortschrittlicher Techniken wie Multi-Faktor-Authentifizierung (MFA), biometrische Verfahren und},
langid = {ngerman},
file = {C:\Users\Dominik\Zotero\storage\AXP2BY7Y\welche-modernen-authentifizierungsmoeglichkeiten-gibt-es.html},
note = {(Zugriff am 12.07.2025)},
howpublished = {\url{https://www.it-schulungen.com/wir-ueber-uns/wissensblog/welche-modernen-authentifizierungsmoeglichkeiten-gibt-es.html}}
}
@book{eichstaedt2024,
title = {{52 Stunden Informatik: Was jeder {\"u}ber Informatik wissen sollte}},
shorttitle = {{52 Stunden Informatik}},
@@ -45,6 +103,16 @@
file = {C:\Users\Dominik\Zotero\storage\E455ZNKU\Eichstädt und Spieker - 2024 - 52 Stunden Informatik Was jeder über Informatik wissen sollte.pdf}
}
@misc{fido-alliance2019,
title = {Client to {{Authenticator Protocol}} ({{CTAP}})},
author = {{FIDO-Alliance}},
year = {2019},
urldate = {2025-07-14},
file = {C:\Users\Dominik\Zotero\storage\F7L7LM6I\fido-client-to-authenticator-protocol-v2.0-ps-20190130.html},
note = {(Zugriff am 14.07.2025)},
howpublished = {\url{https://fidoalliance.org/specs/fido-v2.0-ps-20190130/fido-client-to-authenticator-protocol-v2.0-ps-20190130.html}}
}
@book{garbis2024,
title = {{Zero Trust Sicherheit: Ein Leitfaden f{\"u}r Unternehmen}},
shorttitle = {{Zero Trust Sicherheit}},
@@ -61,6 +129,33 @@
file = {C:\Users\Dominik\Zotero\storage\8DG9NI4S\Garbis und Chapman - 2024 - Zero Trust Sicherheit Ein Leitfaden für Unternehmen.pdf}
}
@misc{gillis2024,
title = {{Was ist Trusted Platform Module (TPM)? - Definition von Computer Weekly}},
shorttitle = {{Was ist Trusted Platform Module (TPM)?}},
author = {Gillis, Alexander S.},
year = {2024},
journal = {ComputerWeekly.de},
urldate = {2025-07-14},
abstract = {Ein Trusted Platform Module (TPM) ist ein spezialisierter Chip, der Hardware mit integrierten kryptografischen Schl{\"u}sseln sichert.},
langid = {ngerman},
file = {C:\Users\Dominik\Zotero\storage\ERHS8F2D\Trusted-Platform-Module-TPM.html},
note = {(Zugriff am 14.07.2025)},
howpublished = {\url{https://www.computerweekly.com/de/definition/Trusted-Platform-Module-TPM}}
}
@misc{ionos2021,
title = {{CTAP: Protokoll f{\"u}r mehr Sicherheit \& Komfort im Web}},
shorttitle = {{CTAP}},
author = {{IONOS}},
year = {2021},
journal = {IONOS Digital Guide},
urldate = {2025-07-15},
abstract = {Mit FIDO2, WebAuthn und CTAP k{\"o}nnten Passw{\"o}rter bald der Vergangenheit angeh{\"o}ren. Neue Standards setzen stattdessen auf Hardware-Tokens und biometrische Daten.},
langid = {ngerman},
note = {(Zugriff am 15.07.2025)},
howpublished = {\url{https://www.ionos.de/digitalguide/server/sicherheit/client-to-authenticator-protocol-ctap/}}
}
@book{kaufmann2023,
title = {{Grundkurs Wirtschaftsinformatik: Eine kompakte und praxisorientierte Einf{\"u}hrung}},
shorttitle = {{Grundkurs Wirtschaftsinformatik}},
@@ -91,6 +186,20 @@
file = {C:\Users\Dominik\Zotero\storage\97CIRM6Z\Kebschull - 2023 - Computer Hacking Eine Einführung zur Verbesserung der Computersicherheit in komplexen IT-Infrastruk.pdf}
}
@misc{koeller2023,
title = {{Authentisierung, Authentifizierung \& Autorisierung: Was ist der Unterschied?}},
shorttitle = {{Authentisierung, Authentifizierung \& Autorisierung}},
author = {K{\"o}ller, Joe},
year = {2023},
journal = {tenfold Security},
urldate = {2025-07-24},
abstract = {Die Anmeldung in IT-Systemen erfolgt in 3 Phasen: Dateneingabe, Kontrolle und Freigabe. Alles {\"u}ber Authentisierung vs Authentifizierung {$\rightarrow$}},
langid = {ngerman},
file = {C:\Users\Dominik\Zotero\storage\UNBYQ5W9\authentisierung-authentifizierung-autorisierung-unterschied.html},
note = {(Zugriff am 24.07.2025)},
howpublished = {\url{https://www.tenfold-security.com/authentisierung-authentifizierung-autorisierung-unterschied/}}
}
@phdthesis{kruse2020,
type = {{Masterarbeit}},
title = {{Biometriebasierte Authentifizierung mit WebAuthn}},
@@ -104,6 +213,19 @@
file = {C:\Users\Dominik\Zotero\storage\Y8MJYGT8\SAR-PR-2020-02_.pdf}
}
@misc{nevis2022,
title = {{Grundlegendes Wissen von Nevis: Was ist FIDO}},
shorttitle = {{Grundlegendes Wissen von Nevis}},
author = {{Nevis}},
year = {2022},
urldate = {2025-07-21},
abstract = {Erfahren Sie mehr {\"u}ber den offenen, skalierbaren und sicheren, passwortfreien FIDO Standard f{\"u}r die Online-Authentifizierung},
langid = {ngerman},
file = {C:\Users\Dominik\Zotero\storage\ZHZPGEPT\was-ist-fido.html},
note = {(Zugriff am 21.07.2025)},
howpublished = {\url{https://www.nevis.net/de/grundlagen/was-ist-fido}}
}
@article{ometov2018,
title = {Multi-{{Factor Authentication}}: {{A Survey}}},
shorttitle = {Multi-{{Factor Authentication}}},
@@ -140,6 +262,19 @@
file = {C:\Users\Dominik\Zotero\storage\JHXGLIBP\Pufahl et al. - 2024 - Cybersecurity für Manager Cybergefahren wirksam begegnen das Kompetenzmodell für die Praxis.pdf}
}
@misc{schwabe2021,
title = {{Passwortlose Authentifizierung {\"u}ber FIDO2}},
author = {Schwabe, Caroline},
year = {2021},
journal = {Robin Data GmbH},
urldate = {2025-07-14},
abstract = {Passwortlose Authentifizierung {\"u}ber FIDO2, Webauthn \& CTAP. Warum das Passwort veraltet ist und welche Sicherheits-Standard g{\"a}ngig sind!},
langid = {ngerman},
file = {C:\Users\Dominik\Zotero\storage\22H5YPKT\passwortlose-authentifizierung-ueber-fido2.html},
note = {(Zugriff am 14.07.2025)},
howpublished = {\url{https://www.robin-data.io/datenschutz-akademie/wiki/passwortlose-authentifizierung-ueber-fido2}}
}
@book{trojahn2016,
title = {{Sichere Multi-Faktor-Authentifizierung an Smartphones mithilfe des Tippverhaltens}},
author = {Trojahn, Matthias},
@@ -169,3 +304,16 @@
keywords = {Vorhanden},
file = {C:\Users\Dominik\Zotero\storage\ND6EMKH4\Tsolkas und Schmidt - 2017 - Rollen und Berechtigungskonzepte.pdf}
}
@misc{vigo2024,
title = {{Moderne Authentifizierung: {\"U}bersicht und Anwendungsf{\"a}lle}},
shorttitle = {{Moderne Authentifizierung}},
author = {Vigo, Jesus},
year = {2024},
urldate = {2025-07-13},
abstract = {Erfahren Sie, was moderne Authentifizierung ist und wie man sie implementiert. Erfahren Sie, wie Sie mit MFA, SSO, OAuth, OpenID Connect und mehr die Sicherheit Ihrer Organisation erh{\"o}hen k{\"o}nnen.},
langid = {ngerman},
file = {C:\Users\Dominik\Zotero\storage\WKHPL6ZK\moderne-authentifizierung-uebersicht.html},
note = {(Zugriff am 13.07.2025)},
howpublished = {\url{https://www.jamf.com/de/blog/moderne-authentifizierung-uebersicht/}}
}