3

• Unser äußeres Erscheinungsbild —> physische Identität

• Dient dem Wiedererkennen und “erinnern” welche Berechtigung man hat.

• Digitale Identität —> Ensemble elektronischer Daten

• Nötig, da physisches Erscheinungsbild unbekannt

• Dient dazu, erkannt zu werden und sich auszuweisen

• Kontodaten

• E-Mail

• Anschrift

• Telefonnummer

• Nutzername/Passwort

• Pass/Ausweisdaten

• Gesundheitskarte

• Die (Erst-)Anmeldung (Registrierung) führt technisch zur

Einrichtung einer digitalen Identität, die in der Nutzerdatenbank

des Dienstes hinterlegt wird

• Ein Nutzer (physische Identität) kann im Internet unter vielen

verschiedenen digitalen Identitäten unterwegs sein

• Bei jedem Registriervorgang können neue Daten eingegeben

werden, z.B.

anderer Nutzername, andere Bankverbindung, anderes Passwort, …

• Wenn gewünscht, kann eine digitale Identität auch von

Gruppe von Nutzern oder auch

von anderen Objekten oder Diensten (Entitäten)

zum Zugang zu einem Dienst genutzt werden

• Reale Personen, die sich im Internet bewegen oder digitale

  Dienste nutzen, brauchen eine digitale Identität

• Bei jeder Registrierung kommt es darauf an, die Bindung einer

  digitalen Identität an ihren Nutzer so missbrauchssicher wie

  möglich herzustellen

• verschiedene E-Mail Adressen

• verschiedene Kontonummern

• verschiedene Nutzernamen

• Anonym: Online-Foren mit Pseudonym (Fußfetish Forum)

• Privat: Facebook-Account mit Hobbies (Milfs)

• Geschäftlich: LinkedIn-Account mit Skills (https://de.linkedin.com/in/florian-grensing-701826137)

• Nachweis nötig, damit der Person z.B. die mit der Identität verknüften Rechte zugestanden werden können

  
  

• Authentisierung: Eine Person gibt einen Beweis, dass ihr eine

  bestimmte Identität gehört, z.B. Eingabe eines Passworts

• Authentifizierung: Die Gegenseite (der Onlinedienst) prüft den Beweis,

  vergleicht z.B. eingegebenes Passwort mit dem bei der Registrierung

  hinterlegten Passwort

—> Jeder der sich erfolgreich authentifiziert kann die DI nutzen

• Ja, auch Computer, Smartwatches,… brauchen eine Digitale ID.

• Beispiel Heimnetzwerk: Welcher von 6 Computern ist Adressat für eine Datei von einem Server,… ohne Digitale ID sind die verschiedenen Rechner nicht zu unterscheiden

• Authentifizierung in der physikalischen Welt: Ausweis, Führerschein, Lichtbild,…

• Authentifizierung in der digitalen Welt: Digitale Identität ↔ Nutzer (physische Identität)

Verbindung der Beiden:

• Kenntniss Geheimnis: Passwort, TAN

• Biometrisches Merkmal: FaceID, Fingerabdruck

• Besitz bestimmten Dokuments: Digitales Zertifikat, Kreditkarte,…

• isolierte Modelle

• zentrale Modelle

—> Umgang mit Digitalen ID soll einfacher und sicherer werden

—> Unterschied in Ort der Speicherung und Verwaltung der ID’s

• im isolierten Modell verwaltet der Dienst die Identitäten seiner Nutzer selbst – „isoliert“ –

  dann müssen Nutzer für diesen Dienst eine neue Identität

  erstellen (sprich: „sich anmelden/registrieren“)

• Ein Dienst hat die volle eigene Kontrolle über die Identitäten, die

  den Dienst nutzen

• Digitale Identitäten sind für den Dienst vertrauenswürdig, weil sie

  über den Dienst direkt erfasst wurden

• Nutzt Anwender viele Dienste, hat er viele verschiedene Identitäten

• Gleiche Attribute, z.B. Adresse, Bankverbindung, … müssen oft

  wiederholt werden

• hoher Aufwand bei der Änderung eines

  Attributes, z.B. Adresse, Bankverbindung

• Jeder Dienst muss sich selbst um Sicherheit kümmern —> Schutz vor falscher Autorisierung

  Schutz vor Zugriffen auf und Hacking der Datenbank

• Es gibt einen (zentralen) Dienst, der sich nur um die

  Registrierung und Verwaltung der digitalen Identitäten kümmert —> ID Provider

• übernimmt auch den Authentisierungs- und

  Authentifizierungsprozess

• Über den ID-Provider kann der Nutzer (User) eine digitale Identität bei

  vielen verschiedenen Diensten nutzen

• Benötigen Dienste ein bestimmtes Attribut, bekommen sie es vom

  Identitätsprovider

• Es gibt einen dedizierten Dienst, der sich nur um die digitalen

  Identitäten und deren Sicherheit kümmert

• Andere Dienste konsumieren interne digitale Tokens und können

  sich nur auf ihre Funktionalitäten konzentrieren

• Anwender haben nur eine (1) digitale Identität

• Ausfall des Identitätsprovider macht alle Dienste unbrauchbar

  (Verfügbarkeit)

• Identitätsprovider braucht hohe Sicherheit/Schutz, weil alle Dienste

  (einfaches Forum, Provider, Bankapplikationen) davon abhängig

  sind

• Dienste müssen Identitätsprovider vertrauen, dass genutzte Tokens

  gültige und valide Daten enthalten

  
  

• Im Gegensatz zum zentralen Modell gibt es im dezentralen Modell

  mehrere Identitätsprovider

• Onlinedienste können mit mehreren Identitätsprovidern

  zusammenarbeiten und deren Dienste nutzen

• Anwender können sich dann „ihren“ Identitätsprovider aussuchen

• Nutzer können sich ihren ID-Provider aussuchen

• Onlinedienste können auch wählen, welchem ID-Provider sie

  vertrauen und mit welchem sie zusammenarbeiten wollen

• Anwender müssen ihre Identitäten bei mehreren ID-Providern

  hinterlegen, weil Onlinedienste mit unterschiedlichen ID-Providern

  zusammenarbeiten

• Wenn der ID-Provider eines Nutzers nicht erreichbar ist, kann der

  Nutzer die nachgelagerten Onlinedienste nicht mehr verwenden —> Nutzer anderer ID-Provider dagegen haben noch Zugang

Passworteingabe

• Kerberos ist eines der ersten Authentifizierungsprotokolle für

  zentrale Authentisierung und Authentifizierung

• Kerberos arbeitet mit einem Authentisierungs- und

  Authentifizierungsdienst und einem Ticket-Ausstellungsdienst

• Nach erfolgreicher Authentifizierung erhält Nutzer ein Masterticket

  (Ticket-Granting Ticket, TGT)

• Mit diesem Masterticket können Einzeltickets für die

  entsprechenden Dienste beim Ticket-Granting Service (TGS) erlangt

  werden

—> Einzelticket ist nur für einen Dienst gültig und ist verschlüsselt

—-> Einzelticket gewährt Zugang zum entsprechenden Dienst

—> Kann für Single-Sign-On-Lösungen genutzt werden

• Alternative zur Authentifizierungsmethode mit Passwort Digitale

  Signaturen

• Speziell für Onlinedienste: OpenID Connect (OIDC)

—> erlaubt es Onlinedienst, die Authentifizierung an einen

dritten Dienst auszulagern

—> Dieser Dienst kann zu anderem Unternehmen gehören

—> Nutzer können bereits bestehende Identitäten nutzen

• Videoidentifikation – VideoIdent, z.B. über WebID

• neuer elektronischer Personalausweis

• Post-Ident Verfahren

Ein Onlinedienst überprüft die Korrektheit des Passworts durch

Abgleich mit den bei der Registrierung erhobenen und in der

Nutzerdatenbank gespeicherten Informationen

—> Bei Übereinstimmung erhält die Person Zugang und die mit der digitalen

Identität verbundenen Autorisierungen

NEIIIIIN NIEMAALS

—> sollte nur in verschleierter Form gespeichert werden

—> dafür Nutzung der kryptographischen HASH Funktion

• Nutzer gibt Nutzername und Klartext-Passwort auf einer

  Webseite im Browser ein

• Webseite sendet das Passwort zusammen mit dem

  Nutzernamen an den (Server des) Onlinedienst

• Server verschleiert (unter Verwendung einer Hash-Funktion)

  das übertragene Passwort und vergleicht es mit dem

  verschleierten Passwort, das in der Nutzerdatenbank für den

  Nutzer mit dem angegebenen Nutzernamen gespeichert ist

• JA!

• Anbieter speichert Passwort bei Anmeldung und Einrichtung

  eines Nutzer-Accounts (digitaler Identität) im Klartext in der

  Nutzerdatenbank

• Gelingt es Cyberkriminellen, über das Internet Zugriff auf die IT-

  Systeme des Onlinedienstes zu erlangen, dann können sie die

  Nutzerdatenbank mit allen Passwörtern auslesen und nutzen

• Angreifer kann sich mit gestohlenem Passwort bei dem Onlinedienst

  einloggen, bei dem das Passwort gestohlen wurde

• Angreifer kann versuchen, gleiche oder leicht abgewandelte Nutzer-

  Passwort-Kombination bei anderen Diensten zu verwenden

• Nutzer wissen meist nichts vom Diebstahl ihrer Identitätsdaten

• Speicherung der Passwörter mit kryptographischem Hash-

  Verfahren

—> Verschleierung durch Hashing des Passwortes = irreversible

„Verschlüsselung“ in einem String fester Länge

• Häufige verwendete Hash-Verfahren sind MD5 und SHA1

—> Aber: MD5 und SHA1 gelten inzwischen als unsicher, weil sie mit der

heute zur Verfügung stehenden Rechnerpower umkehrbar sind

• Als sicher gelten die neueren Hash-Verfahren SHA2 und SHA3

• Passwortverschleierung durch Hashing hat weitere Schwachstellen:

  —> Zwei Nutzer mit gleichem Passwort haben auch gleichen Hash in

  der Datenbank

  —> Kennt man das Passwort eines Nutzers, kennt man die

  Passwörter von allen Nutzern mit gleichem Passwort

  —> Hash kann erraten werden, wenn man sämtliche Wörter aus

  einem Wörterbuch, wie z.B. Passwort, hasht (Wörterbuchangriffe)

• Lösung:

  Ein gleiches Passwort erzeugt jedes Mal einen unterschiedlichen Hash.

• Idee:

  Bevor man den Hashwert eines Passwortes berechnet, wird dem Passwort eine zufällige

  Zeichenfolge (Salt / Salz) angehängt.

—> Dann wird Salt zusammen mit dem Passwort-Hash in der Datenbank gespeichert.

• Bequemlichkeit

• komplexe Passwörter schwer zu merken

• Sicherheit nicht bequem

• Passwörter haben nur geringe Komplexität

• Passwörter sind aus verschiedenen Kontexten (z.B. Nutzerkontext, eigener Name)

  hergeleitet

• Passwörtern werden für verschiedene Dienste und Systeme wiederverwendet

• Anzahl der Zeichen zu gering

• Verwendung nur einer

  Zeichengruppe (Zahlen,

  Buchstaben, Sonderzeichen)

• Auffindbar in einem Wörterbuch

• Tastenfolge auf Tastatur, z.B.

  „qwertz“, „jkl789“, ...

• Wörterbuch: Inzwischen sind

  Listen mit Tabellen von geleakten

  Identitäts-datenbanken mit

  Millionen von Passwörtern online

  verfügbar

• Ausreichende Länge der Passwörter wählen (mindestens 10

  Zeichen lang, oder gemäß Unternehmens-Policy)

• Keine Informationen aus privaten Zusammenhängen

  (Nutzerkontext) verwenden, also keine Informationen, die ein

  Angreifer über ein Opfer recherchieren kann, z.B.

  Name, Vorname, Geburtsdatum, Haustier, Lieblingsband, …

• Passwortzeichen aus verschiedenen Zeichengruppen wählen

• Sonderzeichen, Groß- und Kleinbuchstaben, Ziffern

• Keine Wörter aus einem Wörterbuch oder Sprichwörter

  verwenden

• Unterschiedliche Passwörter für unterschiedliche Accounts

  einsetzen

• Keinesfalls alte Passwörter wiederverwenden

• Direktes Erraten von Passwörtern

—> Wenn die Passwortsicherheit aus Bequemlichkeitsgründen

vernachlässigt wurde, können Passwörter erraten werden und ein

Angreifer kann diese direkt online ausprobieren

• Knacken von Passwörtern

—> Systematisches Durchprobieren bereits bekannter oder

veröffentlichter Passwörter, z.B. mit Wortlisten, Wörterbücher,...

—> Rainbow-Tables können das Knacken mit vorberechneten Hashes

beschleunigen (Gegenmaßnahme: Hashing mit Salt)

• Abfangen von Passwörtern (Sniffing) (SCHNÜFFELN)

—> Netzwerkpakete werden mitgelesen und nach Vorkommen von

Benutzernamen und Passwörtern durchsucht

—> Werkzeuge dafür sind frei verfügbar

• Einsatz von Keyloggern und Trojanern, die das System des

  Opfers bei der Passworteingabe belauschen

—> Wenn eingeschleuste Lauschprogramme jeden Tastenschlag erfassen,

ist die Qualität der Passwörter irrelevant

—> Gesammelte Informationen werden in Echtzeit an einen Server gesandt

oder in gesammelter Form "abgeholt"

• Brute Force Attacken

—> Geradlinigste und einfachste Art und Weise, um ein Passwort zu

knacken

—> (𝐴𝑛𝑧𝑎ℎ𝑙 𝑃𝑎𝑠𝑠𝑤𝑜𝑟𝑡𝑘𝑎𝑛𝑑𝑖𝑑𝑎𝑡𝑒𝑛) =

(𝑈𝑚𝑓𝑎𝑛𝑔 𝑑𝑒𝑠 𝑍𝑒𝑖𝑐ℎ𝑒𝑛𝑣𝑜𝑟𝑟𝑎𝑡𝑠)𝑃𝑎𝑠𝑠𝑤𝑜𝑟𝑡𝐿ä𝑛𝑔𝑒

• Social Engineering

—> Ausnutzen menschlicher Schwächen