Authentifikation des Benutzers

Dieses Kapitel beschäftigt sich mit den Möglichkeiten der Authentifikation des Benutzers gegen-über dem Gerät oder dem Rechenzentrum.

8.1.1 Gesichtserkennung

Eine Möglichkeit der Identifikation ohne Wissen oder Besitz basiert auf biometrischen Merkmalen.

Die meisten Smartphones verfügen über mindestens eine Kamera. Mit dieser kann ein Bild vom Benutzer aufgenommen und dieser anhand der Gesichtsmerkmalen identifiziert werden. Dadurch identifiziert sich der Benutzer gegenüber dem mobilen Gerät.

8.1.1.1 Abgedeckte Gefahren

Die Identifikation basiert auf einem biometrischen Merkmal des Benutzers. Es ist genetisch veran-lagt und kann somit nicht verändert werden. Eine Fälschung ist jedoch durch Bilder oder Masken möglich. Durch diese Methode werden die Gefahren Social Engineering (vgl Seite 30, 6.1) und Shoulder Surfing (vgl Seite 33, 6.5) sowie die des physikalischen Zugriffes (vgl Seite 33, 6.4) abgedeckt bzw abgeschwächt.

Die Authentifikation mittels eines biometrischen Merkmals ermöglicht, dass kein Wissen oder Besitz bei der Anmeldung verfügbar sein muss. Es kann der Zugang auf genau eine Person be-schränkt werden. Auch der physikalische Zugriff auf das Gerät ermöglicht keinen Zugang.

8.1.1.2 Zutreffende Gefahren

Durch die Verwendung eines biometrischen Identifikationssystems entstehen für das System neue Gefahren, die Angriffe auf dieses ermöglichen. Durch Schadsoftware (vgl Seite 31, 6.2) sowie durch Methoden wie das Austricksen mit Fotos oder Masken, das Einspielen eines gespeicherten Bildes in den Contentmanager des Kamera-APPs oder die Veränderung der gespeicherten Referenz-bilder kann das Sicherheitssystem umgangen oder beeinträchtigt werden.

Die Bibliotheken für die Gesichtserkennung sind erst ab Android 4.0 verfügbar. Diese Gesichts-erkennung ist jedoch unsicher und kann mit einem Foto leicht ausgetrickst werden. ^[23]

8.1.1.3 Beteiligte Instanzen

Der gesamte Identifizierungsvorgang wird am Gerät abgewickelt und erfordert keine Eingabe von Passwörtern oder Mustern durch den Benutzer. Der Benutzer nimmt mit Hilfe der Kamera ein Foto seines Gesichtes auf. (Merkmalsaufnahme) Das Gerät vergleicht dann das Bild mit den ge-speicherten Referenzbildern und gewährt oder verweigert basierend auf der Ähnlichkeit den Zugriff (Merkmalsauswertung).

8.1.2 Mustereingabe (Wischmuster)

Die Eingabe von Zeichen ist auf mobilen Geräten verhältnismäßig schwierig durchzuführen. Sie ist nur mit der Hilfe der Bildschirmtastatur möglich. Die Eingabegeschwindigkeit ist durch die Hard-ware begrenzt. Aufgrund des geringen Platzbedarfs kann nicht die gesamte Tastatur auf einmal abgebildet werden. Für Zahlen und Sonderzeichen muss vorher die Anzeige geändert werden, was die Geschwindigkeit weiter reduziert. Außerdem ist die Wahrscheinlichkeit von Eingabefehlern erhöht. Eine Alternative zur klassischen Passworteingabe bietet das Wischmuster unter Android.

Hierbei werden mindestens 4 von 9 Punkten in einer bestimmten Reihenfolge miteinander ver-bunden.

8.1.2.1 Abgedeckte Gefahren

Die Eingabe eines Musters basiert auf dem Wissen des Benutzers. Es ist ein nicht zeichenbasiertes Passwort. Damit können die Gefährdungen, die vom physikalischen Zugriff (vgl Seite 33, 6.4) und von Shoulder Surfing (vgl Seite 33, 6.5) ausgehen teilweise abgedeckt werden.

Die Passworteingabe in Form eines Musters ermöglicht eine erhöhte Benutzerfreundlichkeit gegen-über der umständlichen Eingabe gegen-über die Bildschirmtastatur. Bei einem entsprechend komplexen Muster kann auch die Gefahr von Shoulder Surfing verringert werden.

8.1.2.2 Zutreffende Gefahren

Durch die Eingabe des Musters teilt der Benutzer dem Gerät mit, dass er das Muster kennt. Ob es sich um den richtigen Benutzer handelt, kann vom Gerät jedoch nicht bestätigt werden. Die Sicherheit dieses Mechanismus wird hauptsächlich von Social Engineering (vgl Seite 30, 6.1) beeinträchtigt.

Der physikalische Zugriff (vgl Seite 33, 6.4) erhöht die Gefahr, durch Gebrauchsspuren das Muster ablesen zu können. Je einfacher das Muster ist, umso leichter kann es aus den Gebrauchsspuren oder durch Shoulder Surfing (vgl Seite 33, 6.5) ermittelt werden. (vgl Seite 71, Abb. 24 Beispiele für unsichere Muster)

8.1.2.3 Beteiligte Instanzen

Der Benutzer identifiziert sich beim Endgerät. Das mobile Gerät fungiert als Eingabeschnittstelle und benutzt die Authentifizierungsinformation, um die Anwendung mit dem Benutzer auszuführen, dem das Muster zugeordnet ist.

8.1.2.4 Sicherheitsprobleme

Das Muster ist jedoch anfällig für Shoulder Surfing (vgl Seite 33, 6.5) und die Analyse der Gebrauchsspuren. (vgl Seite 25, 5.3.2)

Bei der Konfiguration stehen mehrere Einstellungsmöglichkeiten zur Verfügung. Diese Ein-stellungen reduzieren jedoch teilweise die Sicherheit des Musters. Durch das Anzeigen des Musters während der Eingabe kann dieses sehr leicht durch Shoulder Surfing ausgelesen werden. Weiters ist es möglich, sehr einfache und somit unsichere Muster zu verwenden.

Abb. 24. Beispiele für unsichere Muster

8.1.2.5 Testprogramm

Für die Mustererkennung sind keine eigenen Bibliotheken im Android SDK verfügbar. Die Erkennung des Musters muss manuell ausprogrammiert werden. Somit ist auch die Sicherheit dieser Methode sehr stark von der Implementierung abhängig. Es besteht jedoch die Möglichkeit, das Loginpattern aus den Android Sourcen zu exportieren. Die Sourcen können von heruntergeladen werden. ^[28]

8.1.3 Mustereingabe (Touchmuster)

Die Mustereingabe funktioniert ähnlich wie beim Wischmuster, nur dass die Punkte nicht durch Wischen verbunden werden, sondern eine bestimmte Anzahl an Buttons gedrückt werden muss.

Aus der Reihenfolge dieser wird ein Code erstellt, der in Form eines Hashwertes mit dem des richtigen Codes verglichen wird.

8.1.3.1 Abgedeckte Gefahren

Die Eingabe eines Musters basiert auf dem Wissen des Benutzers. Damit können die Gefährdungen des physikalischen Zugriffs (vgl Seite 33, 6.4) und von Shoulder Surfing (vgl Seite 33, 6.5)

abge-Die Passworteingabe in Form eines Musters ermöglicht eine erhöhte Benutzerfreundlichkeit, da die Eingabe über die Bildschirmtastatur sehr aufwändig ist. Bei einem entsprechend komplexen Muster kann auch die Gefahr von Shoulder Surfing gebannt werden. Im Gegensatz zum Wischmuster entstehen keine Gebrauchsspuren, da nicht über den Monitor gewischt wird und somit keine Kratzer entstehen können.

8.1.3.2 Zutreffende Gefahren

Durch die Eingabe des Musters teilt der Benutzer dem Gerät mit, dass er das Muster kennt. Ob es sich um den richtigen Benutzer handelt, kann vom Gerät durch die Eingabe nicht bestätigt werden.

Die größte Gefahr für diesen Sicherheitsmechanismus geht von Social Engineering aus. (vgl Seite 30, 6.1)

Je einfacher das Muster ist, umso leichter kann es durch Shoulder Surfing (vgl Seite 33, 6.5) er-mittelt werden. (vgl Seite 71, Abb. 24 Beispiele für unsichere Muster)

8.1.3.3 Beteiligte Instanzen

Der Benutzer identifiziert sich entweder beim Endgerät oder direkt beim Server. Das mobile Gerät benutzt diese Authentifizierungsinformation, um die Anwendung mit dem Benutzer auszuführen, dem das Muster zugeordnet ist. Alternativ kann auch die Eingabe an den Server über den Kommunikationskanal übertragen und dort überprüft werden.

8.1.4 Passworteingabe, PIN

Durch die Passworteingabe bestätigt der Benutzer, dass er ein bestimmtes Wissen hat. Dieses Wissen kann in unterschiedlicher Form eingegeben werden. Die übliche Variante ist ein textuelles Passwort, das über ein Textfeld eingegeben wird. Möglich wäre aber auch eine numerische PIN, die mit Hilfe eines Touchmusters (vgl Seite 71, 8.1.3) erfasst wird.

8.1.4.1 Abgedeckte Gefahren

Da das Passwort nicht wie ein Wischmuster (vgl Seite 70, 8.1.2) gewischt sondern getippt wird, entstehen keine Gebrauchsspuren. Die Gefährdungen durch reverse Engineering (vgl Seite 32, 6.3) und dem physikalischen Zugriff (vgl Seite 33, 6.4) können vermindert werden.

Abhängig von der Art der Eingabe kann auch die Gefahr von Shoulder Surfing (vgl Seite 33, 6.5) reduziert werden.

8.1.4.2 Zutreffende Gefahren

Da es sich bei einem Passwort um Wissen handelt, kann es weitergegeben werden. Bei einfachen Passwörtern oder einer schlechten Eingabeweise kann dieses leichter von einem Angreifer

mitgelesen werden. Somit sind die Gefahren durch Social Engineering (vgl Seite 30, 6.1) und Shoulder Surfing (vgl Seite 33, 6.5) zu beachten.

Wird die Eingabe vom Server überprüft, muss beachtet werden, dass diese nicht während der Übertragung durch einen Lauschangriff (vgl Seite 35, 6.7) oder einen Man in the Middle Angriff (vgl Seite 38, 6.11) ausgelesen oder verändert wird.

8.1.4.3 Beteiligte Instanzen

Der Benutzer gibt seine Kennung mit Hilfe des Textfeldes oder des Touchmusters ein. Danach wird es vom Gerät zum Server übertragen und dort auf die Gültigkeit überprüft. Aus Sicherheitsgründen sollte nur ein Hash der Eingabe zum Server übertragen werden.