Verhaltensbasierte Authentifizierung und Architekturen (Wintersemester 2019/2020)
Dozent:
Prof. Dr. Christoph Meinel
(Internet-Technologien und -Systeme)
,
M.Sc. Eric Klieme
(Internet-Technologien und -Systeme)
,
M.Sc. Christian Tietz
(Internet-Technologien und -Systeme)
Allgemeine Information
- Semesterwochenstunden: 4
- ECTS: 6
- Benotet:
Ja
- Einschreibefrist: 01.10.-30.10.2019
- Lehrform: Seminar / Projekt
- Belegungsart: Wahlpflichtmodul
- Lehrsprache: Deutsch
Studiengänge, Modulgruppen & Module
- ISAE: Internet, Security & Algorithm Engineering
- ISAE: Internet, Security & Algorithm Engineering
- OSIS: Operating Systems & Information Systems Technology
- OSIS: Operating Systems & Information Systems Technology
- SAMT: Software Architecture & Modeling Technology
- SAMT: Software Architecture & Modeling Technology
Beschreibung
Seminarinhalt
In diesem Seminar sollen neue Formen der verhaltensbasierten Authentifizierung oder IDM-Architekturen erfasst und analysiert werden. Die Studenten werden in Gruppenarbeit sich in vorgegebene Themen einarbeiten, einen Prototypen entwickeln und diesen testen. Die Ergebnisse werden in einem kurzen Paper niedergeschrieben und durch zwei Präsentationen vorgestellt.
Kernproblem des Identitätsmanagements
Durch die fortschreitende Digitalisierung und immer mehr Services, die von der analogen in die digitale Welt wandern, gewinnt das Identitätsmanagement (IDM) immer mehr an Bedeutung und betrifft fast jeden von uns. Das IDM beschäftigt sich vor allem mit digitalen Identitäten, die eine Person während der Nutzung von Services im Web repräsentieren. Abhängig vom Service kann das ein „digitaler Einkäufer“ sein, der in einem Onlinehandel verschiedene Produkte kauft oder ansieht oder ein „digitaler Bankbesucher“, der im Onlinebanking Transaktionen tätigt. Typischerweise ist der Zugang zu diesen Services und damit den Identitäten mit einer Kombination aus Benutzername und Passwort geschützt. Durch die Menge potentiell genutzter Services (Email, Onlinebanking, Onlinehandel, Social Networks..) werden Benutzernamen und/oder Passwörter aus Bequemlichkeitsgründen mehrfach genutzt.
Wie gefährlich das ist zeigen fast täglich veröffentlichte Artikel über Hacks von IT-Systemen, in denen diese Zugangsdaten entwendet werden. Gelangen die Daten in falsche Hände können oft mehrere digitale Identitäten von Nutzern übernommen werden und führen zu großem Schaden.
Diese Problematik ist bekannt und es gibt bereits Methoden, die die Authentifizierung sicherer machen. Eine Möglichkeit ist die Zwei-Faktor-Authentifizierung bei Online-Banking-Transaktionen, wo neben einem statischen PIN eine extra Nummer (TAN) mit eingegeben werden muss, die der Nutzer auf einem zweiten Weg wie bspw. seinem Smartphone erhält. Neben der Absicherung über einen nur dem Nutzer bekannten PIN erfolgt eine zweite Absicherung über ein Gerät auf das nur der Nutzer Zugriff hat. Ohne den Zugriff auf das Smartphone sind Nutzername/PIN für jeden Angreifer fast wertlos. Diese Methoden sind bei anderen Services jedoch oft nur optional und erhöhen den Aufwand für den Endnutzer.
Aktuelle Forschung
Eine alternative Authentifizierung ist gegeben, wenn die Geräte und Systeme uns anhand unserer physischen Merkmale und unseres Verhaltens selbst erkennen. In unserem Secure Identity Labor beschäftigen wir uns genau mit dem verhaltensbasierten Ansatz. In erster Linie fokussieren wir uns auf Geräte, die die meisten Personen bereits besitzen. Allem voran steht das Smartphone. Dazu kommen weitere Geräte, die sogenannten Wearables wie Smartwatches und Fitness Trackers sowie IoT Geräte, z.B. im Auto oder Smart Home. Alle diese Geräte besitzen eine Reihe von Sensoren, mit denen Nutzerverhalten erfasst und analysiert werden kann.
Ein Beispiel dafür ist das Laufverhalten. Jeder Mensch hat ein eigenes Laufverhalten, das nur sehr schwer durch Angreifer zu imitieren ist. In einem unserer Projekte können wir mit Hilfe einer Smartwatch- und Smartphone-App dieses Laufverhalten erkennen und so zusätzlich angeben, mit welcher Wahrscheinlichkeit das Smartphone vom rechtmäßigen Besitzer getragen wird. Ein zukünftiger Service könnte neben der richtigen Kombination von Benutzername und Passwort eine entsprechende Wahrscheinlichkeit für die Übereinstimmung des Laufverhaltens voraussetzen, bevor Zugang gewährt wird. Ein Angreifer müsste daraufhin für eine erfolgreiche Attacke also auch noch das Laufverhalten imitieren, obwohl ihm Benutzername und Passwort bekannt sind und er vielleicht sogar das Smartphone in seinen Besitz bringen konnte.
Die Ergebnisse von Verhaltensbasierten-Methoden werden zu einem Trust Level zusammengefasst. Dieses Trust level kann benutzt werden um sich für Dienste anzumelden. Diese Dienste können selbst entscheiden, welcher Wert notwendig ist für eine erfolgreiche Authentifikation.
Themen
- Nutzung und Austausch vom Trust Leveln sowie Inputs dafür in komplexen Umgebungen wie bspw. App-Ebene, Geräte-Ebene (Smartphone, Laptop, Rechner)
- Evaluierung eines einheitlichen Datenformats für die Erfassung und Verarbeitung von Verhaltensdaten in Experimenten und Authentifizierungssystemen
- Verwendung des Smartphones als Authenfikator für Webanwendungen mit Hilfe von FIDO2
- Aufbau und Evaluation einer Umgebung, um den Trust Level Ansatz hinsichtlich der Performanz in unterschiedlichen Umgebungen zu testen (Anzahl Sender/Empfänger, Netzwerkumgebungen, etc.)
- Entwicklung und Evaluation einer Referenzarchitektur für Trust Level Client und Server
- Entwicklung und Evaluation einer App, um generische Experimente im Kontext von verhaltensbasierter Authentifizierung durchzuführen
Presentation
Voraussetzungen
Prinzipiell gibt es hier keine speziellen Voraussetzungen. Je nachdem, welches Thema bearbeitet wird kann es natürlich von Vorteil sein, wenn ihr in den folgenden Bereichen schon Erfahrungen habt:
- App-Entwicklung mit Java oder Kotlin
- Pythonprogrammierung zur Verarbeitung von Daten
- Webprogrammierung
- Docker
Lern- und Lehrformen
Alle Teilnehmer bilden Gruppen (normalerweise 2-3 Studenten) und bearbeiten jeweils eines der Themen.
Leistungserfassung
Eure finale Note setzt sich aus folgenden Teilbereichen zusammen:
- Zwischenpräsentation
- Endpräsentation
- Projektdokumentation
- Quellcode
- Projektaktivität
Termine
Erstes Treffen:
Montag, 14.10, 11.00 in Raum A-1.2
Themenwünsche bis 20.10.2019 per email Christian und Eric schicken.
Zurück