Cyber Security

Cyber Security / Pen Testing (Teil 5): Authentifizierung und Autorisierung

By on ( 5 Comments )

Teil 5 der Serie Cyber Security – Pen Testing beschäftigt sich mit dem Thema Authentifizierung und Autorisierung. Die Themengebiete sind für die nächsten Teile von großer Bedeutung.

Eines Vorweg: Das ist kein reines IT-Pro Thema, es geht uns alle an. Ohne aktives Tun aller Mitarbeiter im Unternehmen ist keine IT-Security Strategie zu machen.

Dieser Beitrag ist Teil 5 der Serie Cyber Security – Pen Testing.

Cyber Security / Pen Testing (Teil 1): Einführung

Cyber Security / Pen Testing (Teil 2): Grundlagen der Kryptographie

Cyber Security / Pen Testing (Teil 3): Steganographie

Cyber Security / Pen Testing (Teil 4): Zertifikate und PKI

Cyber Security – Pen Testing (Teil 5): Authentifizierung und Autorisierung

Authentifizierung

Authentifizierung bedeutet „sich als echt erweisen“ oder „glaubwürdig zu sein“ durch

Besitz

  • Chip-Karte
  • Schlüssel
  • SIM-Karte (Kombi PIN)
  • Zertifikat
  • USB Stick
  • TAN

Ein Besitz kann ein Schlüssel sein. Mit diesem Schlüssel können Sie Ihre Eingangstüre aufsperren. Häufig verwendet wird auch die Chip-Karte in Form einer Kredit- oder Bankomatkarte.

Kreditkarte-201100285470

Bei der Bankomatkarte und der Kreditkarte kommt auch noch ein weiteres Kriterium dazu. Nämlich Wissen.

Wissen

  • Kennwort
  • PIN (Kombination mit Chipkarte)
  • Antwort auf Frage (Losungswort)

Sie wissen etwas! Prima. Wenn es das Kennwort Ihres Computers ist, dann können Sie sich auf diesem einloggen, ansonsten nicht.

Unbenannt.JPG

Manchmal reicht aber Wissen allein nicht aus und Sie müssen noch körperlich nachweisen, dass Sie tatsächlich der sind, als der Sie sich ausgeben. Durch körperliche Merkmale.

Körperliche Merkmale

  • Fingerabdruck (z.B. Smartphone)
  • Gesichtserkennung
  • Handschrift (Unterschrift)
  • Stimmerkennung
  • Erbinformation

Der Fingerabdruck-Sensor hat die Smartphone Welt revolutioniert. Keine Kennworteingabe mehr, sondern einfach den Finger hinhalten. Das nennt man Benutzerfreundlichkeit.

HowToUseTouchID.jpg

Quelle: http://www.macworld.co.uk/how-to/apple/how-set-touch-id-fingerprint-scanner-iphone-5s-passcode-3471071/

Dann kam Windows 10 mit Windows Helo auf den Markt. Das Surface Book und das Surface Pro unterstützt Gesichtserkennung mithilfe einer speziellen Kamera. Hier ein Foto meines Surface Books.

IMG_0372.jpg

Oben ist die Kamera zu sehen und unten überlegt sich Windows, ob ich wirklich pewa2303 bin. Das Gesicht kann mehrfach aufgenommen werden, um die Erkennung zu verbessern.

Unbenannt.PNG

Weiterführende Informationen zum Thema Authentifizierung in meinem Beitrag Cyber Security / Pen Testing (Teil 4): Zertifikate und PKI und in in der Serie Active Directory Zertifikatsdienste (Teil 1-8).

Autorisierung

Autorisierung findet in der Regel nach dem Authentifizierungsvorgang statt. Die Frage lautet: “Was darf ich tun?”. Wenn ich am Bankomat meinen PIN erfolgreich eingebe, dann bin ich mit Karte und PIN authentifiziert. Und dann? Ich darf meinen Kontostand lesen und Geld abheben. Aber nur bis zu einem gewissen Betrag. Und ich darf keine anderen Konten einsehen.

Auf einem Windows System bestimmt die Lokale Sicherheitsrichtlinie wer, was, wann und wo tun darf. Man öffnet sie mit secpol.msc.

Unbenannt.JPG

Risiken

Shoulder-Surfing

Alle oben genannten Möglichkeiten haben Ihre Probleme. Passwörter können durch “Shoulder-Surfing” in fremde Hände gelangen. Probieren Sie es selbst aus: In U-Bahn und Straßenbahn einfach mal die Augen aufmachen und den Passagieren über die Schulter schauen. Ein 4-stelliger PIN am Smartphone kann leicht mitgelesen werden. Obwohl: Die Chancen schwinden mit zunehmender Smartphone-Benutzung. Schon mal jungen Menschen in den Öffis beim chatten zugesehen? Die tippen mit gefühlter Lichtgeschwindigkeit…

Rainbow Tables

Weiters kann –  wenn Benutzer vergessen Ihren Rechner zu sperren und dazu noch mit administrativen Rechten angemeldet sind – unter Windows der Hashwert des Passworts ausgelesen werden und in sogenannten Rainbow Tables in den Klartext “übersetzt” werden.

unbenannt

Eine Anleitung wie das funktionieren kann habe ich im Artikel Password Cracking mit fgdump/pwdump beschrieben.

Brute-Force-Methode

Passwörter können erraten werden. Dies geschieht mit sogenannten Passwortlisten (Sie brauchen diese nicht selbst zu schreiben, recherchieren Sie einfach im Internet nach password.lst und Sie werden fündig!). Die Brute Force Methode erfolgt mit Programmen wie beispielsweise Hydra.

1

Für diese Brute-Force Methode mit Hydra braucht man kein IT-Pro sein. Youtube Videos geben Aufschluss über die Handhabung und kann von jedem durchgeführt werden. Oder mein Artikel in der Kategorie Security 😎.

Tja, wer keine maximalen Anmeldeversuche konfiguriert und auch die Kennwörter nicht regelmäßig ändert, darf sich nicht wundern, wenn das Kennwort irgendwann mal nicht nur einem selbst bekannt ist, sondern anderen auch.

Unbenannt.JPG

Nicht nur auf Windows Systemen besteht die Möglichkeit Angriffe auf das Kennwort zu minimieren. Auch auf Netzwerk Devices wie Routern und Switches können maximale Logon Attempts konfiguriert werden. Darauf wird häufig vergessen.

32

Weitere Infos dazu im Artikel Verhindern von Login Attacks (Router/Switch).

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung ist mittlerweile auch bei den Mobile Devices angekommen. Selbst wenn jemand Ihr Password oder den PIN weiß: Um auf das Gerät zugreifen zu können ist zusätzliches Wissen, Besitz oder körperliches Merkmal nötig. Im Falle von Apple ist das die Bestätigung auf einem anderen Apple Gerät. Das bedeutet: Es reicht nicht aus nur das Kennwort zu wissen, Sie müssen auf einem anderen Gerät den Zugriff zusätzlich bestätigen.

Unbenannt.JPG

Quelle: https://support.apple.com/en-us/HT204915

Wie erwähnt haben alle alle Möglichkeiten der Authentifizierung ihre Probleme. Der Holzleim Trick mit dem iPhone ist ausführlich im winfuture.de Artikel beschrieben: iPhone 6 Holzleim-Hack: Finger-Scanner TouchID erneut geknackt. Und auch bei Windows Hello wird es bald so so weit sein.

Fazit

Wie wir gesehen haben bieten alle Ein-Faktor-Authentifizierungen Ihre Risiken. Bei der Methode der Zwei-Faktor-Authentifizierung erhöht sich die Sicherheit bei Einbußen der Benutzerfreundlichkeit. In unserer Welt kann es nicht schnell genug gehen. Aber Sicherheit und Komfort sind zwei Dinge, die sich nicht vertragen.Was lernen wir daraus: Es gibt keine 100%ige Sicherheit, aber wir können viel dafür tun um es so sicher wie möglich zu machen. Die Betonung liegt auf Tun. Und dieses Tun betrifft alle: IT-Verantwortliche sowie Benutzer. Mehr dazu im Artikel Das Security Triangle: Komfort vs. Funktionalität vs. Sicherheit.

Weiter gehts nächstes Mal mit dem Thema: Cyber Security – Pen Testing (Teil 6): Footprinting

Categories: Cyber Security

Tagged as: , ,

Published by Patrick Gruenauer

Microsoft MVP on PowerShell [2018-2023], IT-Trainer, IT-Consultant, MCSE: Cloud Platform and Infrastructure, Cisco Certified Academy Instructor.

5 replies »

  1. Pingback: Mein E-Mail Konto: Ungewöhnliche Aktivität erkannt: Outlook.com « SID-500
  2. Pingback: Cyber Security / Pen Testing (Teil 4): Zertifikate und PKI « SID-500
  3. Pingback: Cyber Security / Pen Testing (Teil 3): Steganographie « SID-500
  4. Pingback: Cyber Security / Pen Testing (Teil 2): Grundlagen der Kryptographie « SID-500
  5. Pingback: Cyber Security / Pen Testing (Teil 1): Einführung « SID-500

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.