Filtern
Erscheinungsjahr
- 2019 (1)
Dokumenttyp
- Masterarbeit (1)
Sprache
- Deutsch (1)
Volltext vorhanden
- ja (1)
Gehört zur Bibliographie
- ja (1)
Schlagworte
- Informatik (1)
- Zugriffskontrolle (1)
Institut
Da immer mehr Geräte und Benutzer Zugang zum Internet bekommen, muss die Sicherheit von Web Applikationen immer mehr im Blick behalten werden. Besonders bei Authentifizierungsmechanismen steigen die Anforderungen enorm. Passwörter gelten schon länger als unsicher, um ein Benutzerkonto vor unbefugtem Zugriff zu schützen. Die in dieser Arbeit behandelte Spezifikation soll dabei Abhilfe schaffen. Bei dieser Spezifikation handelt es sich um die WebAuthn Spezifikation, welche von der FIDO Alliance entwickelt wurde. WebAuthn wird im Zuge dieser Arbeit auf Schwachstellen von derzeit gängigen Authentifizierungsmechanismen untersucht. Diese bedient sich bewährten kryptografischen Methoden, um Sicherheit für die Authentifizierung zu gewährleiten. Zur Verifizierung eines Authentifizierungsvorganges wird asymmetrische Kryptografie eingesetzt. WebAuthn benötigt Authentifikatoren, um diesen Vorgang durchführen zu können. Diese können FIDO2-zertifizierte Smartphones, Security Token oder biometrische Authentifikatoren sein. Bei der Registrierung einer Benutzerin oder eines Benutzers wird von Authentifikator und Server ein Schlüsselpaar, bestehend aus privatem und öffentlichem Schlüssel, generiert und die öffentlichen Schlüssel zwischen ihnen ausgetauscht. Nun ist es dem Client möglich, sich am Zielsystem mithilfe des registrierten Authentifikators anzumelden. Um Benutzerinnen und Benutzern sowie Entwicklerinnen und Entwicklern zu zeigen, welche Vor- und Nachteile WebAuthn gegenüber herkömmlicher Authentifizierung bietet, wurden bekannte Angriffe recherchiert und auf die WebAuthn Spezifikation ausgeführt. Attacken, welche darauf ausgeführt werden, beinhalten Angriffe, um an Zugangsdaten von Benutzerinnen oder Benutzern zu kommen, Angriffe, welche auf die Übernahme einer Sitzung des Clients abzielen, Angriffe welche nicht technischer Natur sind und Angriffe auf die Authentifikatoren.