Open Access

Florian Schmuck

• Da immer mehr Geräte und Benutzer Zugang zum Internet bekommen, muss die Sicherheit von Web Applikationen immer mehr im Blick behalten werden. Besonders bei Authentifizierungsmechanismen steigen die Anforderungen enorm. Passwörter gelten schon länger als unsicher, um ein Benutzerkonto vor unbefugtem Zugriff zu schützen. Die in dieser Arbeit behandelte Spezifikation soll dabei Abhilfe schaffen. Bei dieser Spezifikation handelt es sich um die WebAuthn Spezifikation, welche von der FIDO Alliance entwickelt wurde. WebAuthn wird im Zuge dieser Arbeit auf Schwachstellen von derzeit gängigen Authentifizierungsmechanismen untersucht. Diese bedient sich bewährten kryptografischen Methoden, um Sicherheit für die Authentifizierung zu gewährleiten. Zur Verifizierung eines Authentifizierungsvorganges wird asymmetrische Kryptografie eingesetzt. WebAuthn benötigt Authentifikatoren, um diesen Vorgang durchführen zu können. Diese können FIDO2-zertifizierte Smartphones, Security Token oder biometrische Authentifikatoren sein. Bei der Registrierung einer Benutzerin oder eines Benutzers wird von Authentifikator und Server ein Schlüsselpaar, bestehend aus privatem und öffentlichem Schlüssel, generiert und die öffentlichen Schlüssel zwischen ihnen ausgetauscht. Nun ist es dem Client möglich, sich am Zielsystem mithilfe des registrierten Authentifikators anzumelden. Um Benutzerinnen und Benutzern sowie Entwicklerinnen und Entwicklern zu zeigen, welche Vor- und Nachteile WebAuthn gegenüber herkömmlicher Authentifizierung bietet, wurden bekannte Angriffe recherchiert und auf die WebAuthn Spezifikation ausgeführt. Attacken, welche darauf ausgeführt werden, beinhalten Angriffe, um an Zugangsdaten von Benutzerinnen oder Benutzern zu kommen, Angriffe, welche auf die Übernahme einer Sitzung des Clients abzielen, Angriffe welche nicht technischer Natur sind und Angriffe auf die Authentifikatoren.
• As numbers of devices and users on the web are growing, security gains more and more weight in the development and usage of a web application. Authentication mechanisms need to be robust against a various amount of attacks but simple enough to enable usage to every user. Passwords are no longer safe to provide security against unauthorized access to a user account. The purpose of this thesis is to provide information about the new WebAuthn specification developed by the FIDO Alliance. This specification is designed to overcome the weaknesses of the common authentication mechanism used currently on the web. WebAuthn uses asymmetric cryptographic methods to provide security for the authentication process. To proof if WebAuthn is more secure than any other authentication mechanism, an experiment is run against a reference application. For this purpose, a collection of attacks from common authentication mechanism was evaluated and tested against the WebAuthn specification. Users and developers of web applications should gain awareness of improving security of accounts through the results of the experiment. Attacks on the specification include stealing user credentials, stealing client sessions, non-technical based attacks and attacks to bypass verification of an authenticator device. Quelle FWG_alma