Identity Management - 5 Komponenten für System zur Benutzerauthentifikation
Authentifizierungsdaten - Grundlage um Identität nchweisen
Referenzdaten - im System gespeichert, zur Überprüfung der Identität
Funktion um Fromat AD vergleichbar mit RD zu machen
Authentifizierungsfunktion - überprüft Identität
Menge von Funktionen, die es Person erlauben Authentifizierungs- bzw. Referenzdaten zu erzeugen oder ändern
Ablauf Authentifizierung
Authentifizierungsobjekt
Datenaufnahme
Merkmalextraktion
Referenzdaten -> Vergleich
Entscheidung
Ja/Nein
Authentifizierungsmethoden
physikalischer Besitz
Schlüssel, Chipkarte
biometrische Merkmale
Fingerabdruck, Retina, Gesicht
Wissen
Passwort, Algorithmus
am besten Multifaktor Authentifizierung
Biometrische Benutzerauthentifizierung
automatische Verfahren zur Erkennung von Personen anhand physiologischer und/oder verhaltensbedingter Merkmale
Phase: Registrierung
Verhaltens oder physiologisches Merkmal
Datenerfassung
Vorverarbeitung
Extraktion des Merkmals
in Referenzspeicher
Authentifikation mittels Identifikation oder Verifikation
Verhalten oder physiologisches Merkmal
Vergleich mit daten in Referenzspeicher
Authentifikation
Verifikation
Identifikation
Autorisierung
Überprüfung der Identität
Richtigkeit/ Vollständigkeit prüfen
Identität wird festgestellt
Überprüfung ob notwendige Rechte vorliegen
statische physiologische Merkmale
passiv
physiologisch bedingt
z.B.:
Gesicht, Retina, Iris,
Fingerabdruck, Handgeometrie
DNA, Ohr
dynamische physiologische Merkmale
aktiv
verhaltensorientiert
Stimme, Sprechverhalten,
Gestik, Gang
Tippverhalten, Unterschrift, Handschrift
Basis biometrischer Authentifizierungssysteme
Machine Learning
statistische Mustererkennung
Template Matching
-> ML basierte Systeme haben Fehlerraten
False Acceptance Rate (FAR, Falschakzeptanz), fälschliche Identifikation/Authorisierung (auch FPR)
False Rejection Rate (FRR, Falschabweisung), fälschliche Abweisung legitimer Nutzer (auch FNR)
Eine Gleichheit der Werte FAR und FRR beschreibt die EER (Equal Error Rate, Gleichfehlerrate)
Diagram
Multifaktorielle Authentifizierung
Zur Erhöhung der Sicherheit: Authentifizierungsmethoden kombinieren
Vereint man in einem System zwei oder mehr Methoden so spricht man von einer multi-faktoriellen Authentifizierung.
Kombination von mehreren biologischen Eigenschaften: multi- modale biometrische Authentifizierung
Beide Arten der Kombination können wiederum miteinander kombiniert werden, dabei handelt sich dann um eine multi- faktiorielle, multi-modale Authentifizierung .
positionsbasierte Authentifizierung
Ansätze, die Authentifizierung über den Standort einer Person durchzuführen.
IP-Adressen
GPS
Single-Sign-On Systeme
Menge an Authentifizierungsanfragen u.U. enorm
möchte Aufwand für Nutzer gering halten
Idee:
Einmalige Authentifizierung - Zugriff auf alle Ressourcen
Vorteil:
einfach, schnell
Nachteil:
potentieller Angreifer erlangt mit einemmal Zugriff auf alles
Kerberos
Single-Sign-On System
basiert auf Tickets
Client:
IT-System von dem aus auf Ressource zugriffen werdensoll
Alice:
auf C eingeloggter Nutzer
KDC - Key Distribution Center:
zuständig für Vergabe und Prüfung von Service Tickets
TGS - Ticket Granting System:
wenn Authentizität von Alice nachgewiesen stellt TGS Tickets für Ressourcen her
AS - Authentification Server:
authentifiziert Nutzer und gibt TGT-Ticket Granting System an Nutzer zurück
R - Ressource/ Application Server/ Dienst Server
Dienst auf Server auf die aktuell zugegriffen werden
Kerberos Ablauf
C stellt eine verschlüsselte Anfrage AS
AS sucht anhand Benutzer-ID in Kerberos-Datenbank nach gehashten Kennwort
AS entschlüsselt die Anfrage.
AS stellt TGT aus, sendet es an C
TGT versichert anderen das C authentifiziert wurde.
C sendet TGT an TGS
TGT zeigt an, welchen Zugriff auf welche Ressource
TGS entschlüsselt Ticket (geheimen Schlüssel geteilt von AS und TGS (also KDC))
wenn TGT gültig, stellt TGS Service-Ticket für C aus
C sendet Service-Ticket an Hosting-Server/ Ressource Dieser entschlüsselt Ticket mit geheimen Schlüssel (geteilt von Server und TGS)
Hosting-Server erlaubt C Zugriff auf Dienst
Service-Ticket bestimmt, wie lange
Sobald Zugriff abläuft, kann er erneuert werden, indem das gesamte Kerberos-Authentifizierungsprotokoll erneut durchlaufen wird
Zuletzt geändertvor 2 Jahren