Buffl
Buffl
Grundlagen der Sicherheit

Identitätsmanagement

ib
by ite B.

Identity Management - 5 Komponenten für System zur Benutzerauthentifikation

  • Authentifizierungsdaten - Grundlage um Identität nchweisen

  • Referenzdaten - im System gespeichert, zur Überprüfung der Identität

  • Funktion um Fromat AD vergleichbar mit RD zu machen

  • Authentifizierungsfunktion - überprüft Identität

  • Menge von Funktionen, die es Person erlauben Authentifizierungs- bzw. Referenzdaten zu erzeugen oder ändern


Ablauf Authentifizierung

  1. Authentifizierungsobjekt

  2. Datenaufnahme

  3. Merkmalextraktion

  4. Referenzdaten -> Vergleich

  5. Entscheidung

  6. Ja/Nein


Authentifizierungsmethoden

  • physikalischer Besitz

    • Schlüssel, Chipkarte

  • biometrische Merkmale

    • Fingerabdruck, Retina, Gesicht

  • Wissen

    • Passwort, Algorithmus



am besten Multifaktor Authentifizierung


Biometrische Benutzerauthentifizierung

  • automatische Verfahren zur Erkennung von Personen anhand physiologischer und/oder verhaltensbedingter Merkmale

  1. Phase: Registrierung

    • Verhaltens oder physiologisches Merkmal

    • Datenerfassung

    • Vorverarbeitung

    • Extraktion des Merkmals

    • in Referenzspeicher

  2. Authentifikation mittels Identifikation oder Verifikation

    • Verhalten oder physiologisches Merkmal

    • Datenerfassung

    • Vorverarbeitung

    • Extraktion des Merkmals

    • Vergleich mit daten in Referenzspeicher

    • Entscheidung


Authentifikation

Verifikation

Identifikation

Autorisierung

  • Überprüfung der Identität

  • Richtigkeit/ Vollständigkeit prüfen

  • Identität wird festgestellt

  • Überprüfung ob notwendige Rechte vorliegen


statische physiologische Merkmale

  • passiv

  • physiologisch bedingt

z.B.:

  • Gesicht, Retina, Iris,

  • Fingerabdruck, Handgeometrie

  • DNA, Ohr


dynamische physiologische Merkmale

  • aktiv

  • verhaltensorientiert

z.B.:

  • Stimme, Sprechverhalten,

  • Gestik, Gang

  • Tippverhalten, Unterschrift, Handschrift


Basis biometrischer Authentifizierungssysteme

  • Machine Learning

    • statistische Mustererkennung

    • Template Matching

  • -> ML basierte Systeme haben Fehlerraten

  • False Acceptance Rate (FAR, Falschakzeptanz), fälschliche Identifikation/Authorisierung (auch FPR)

  • False Rejection Rate (FRR, Falschabweisung), fälschliche Abweisung legitimer Nutzer (auch FNR)

  • Eine Gleichheit der Werte FAR und FRR beschreibt die EER (Equal Error Rate, Gleichfehlerrate)


Diagram


Multifaktorielle Authentifizierung

  • Zur Erhöhung der Sicherheit: Authentifizierungsmethoden kombinieren

  • Vereint man in einem System zwei oder mehr Methoden so spricht man von einer multi-faktoriellen Authentifizierung.

  • Kombination von mehreren biologischen Eigenschaften: multi- modale biometrische Authentifizierung

  • Beide Arten der Kombination können wiederum miteinander kombiniert werden, dabei handelt sich dann um eine multi- faktiorielle, multi-modale Authentifizierung .


positionsbasierte Authentifizierung

Ansätze, die Authentifizierung über den Standort einer Person durchzuführen.

  • IP-Adressen

  • GPS


Single-Sign-On Systeme

  • Menge an Authentifizierungsanfragen u.U. enorm

  • möchte Aufwand für Nutzer gering halten

Idee:

Einmalige Authentifizierung - Zugriff auf alle Ressourcen


Vorteil:

einfach, schnell


Nachteil:

potentieller Angreifer erlangt mit einemmal Zugriff auf alles


Kerberos

  • Single-Sign-On System

  • basiert auf Tickets


Client:

  • IT-System von dem aus auf Ressource zugriffen werdensoll

Alice:

  • auf C eingeloggter Nutzer

KDC - Key Distribution Center:

  • zuständig für Vergabe und Prüfung von Service Tickets

TGS - Ticket Granting System:

  • wenn Authentizität von Alice nachgewiesen stellt TGS Tickets für Ressourcen her

AS - Authentification Server:

  • authentifiziert Nutzer und gibt TGT-Ticket Granting System an Nutzer zurück

R - Ressource/ Application Server/ Dienst Server

  • Dienst auf Server auf die aktuell zugegriffen werden




Kerberos Ablauf

  1. C stellt eine verschlüsselte Anfrage AS

    • AS sucht anhand Benutzer-ID in Kerberos-Datenbank nach gehashten Kennwort

    • AS entschlüsselt die Anfrage.

  2. AS stellt TGT aus, sendet es an C

    • TGT versichert anderen das C authentifiziert wurde.

  3. C sendet TGT an TGS

    TGT zeigt an, welchen Zugriff auf welche Ressource

    TGS entschlüsselt Ticket (geheimen Schlüssel geteilt von AS und TGS (also KDC))

  4. wenn TGT gültig, stellt TGS Service-Ticket für C aus

  5. C sendet Service-Ticket an Hosting-Server/ Ressource Dieser entschlüsselt Ticket mit geheimen Schlüssel (geteilt von Server und TGS)

    Hosting-Server erlaubt C Zugriff auf Dienst

    Service-Ticket bestimmt, wie lange

    Sobald Zugriff abläuft, kann er erneuert werden, indem das gesamte Kerberos-Authentifizierungsprotokoll erneut durchlaufen wird


Join Course
Preview

Author

ite B.

Information

Last changed

Report course
© 2023 Buffl GmbH