Das Internet ist von zentraler Bedeutung für unsere moderne Gesellschaft: Täglich benutzen wir Dienste wie E-Mail, E-Banking, E-Government, E-Commerce, Soziale Medien, oder Cloud-Speicher. Zur sicheren Benutzung dieser Dienste werden starke Authentifizierungsmechanismen benötigt, die die Identität ihrer Nutzer sicherstellen und einen sicheren Kommunikationskanals etablieren. Andernfalls drohen Sicherheitsprobleme wie finanzielle Schäden, Datenleaks, oder Identitätsdiebstahl. Obwohl Passwörter regelmäßig für "tot" erklärt werden, ist Passwort-basierte Authentifizierung immer noch die am weitesten verbreitete Form, entweder alleine, oder in Kombination bei der Zwei-Faktor-Authentifizierung. Passwort-basierte Authentifizierung weißt verschiedene Probleme auf, daher wurden Werkzeuge entwickelt, die diese Probleme adressieren: Passwortstärkemeter helfen Nutzern starke Passwörter zu wählen, das pro-aktive Überprüfen von Passwort-Leaks verhindert Credential Stuffing-Angriffe, Risiko-basierte Authentifizierung erkennt Angriffe wie beispielsweise das Erraten von Passwörtern, etc. Phishing-Angriffe stellen jedoch selbst bei Implementierung der gängigen Sicherheitsmaßnahmen ein signifikantes Problem dar. Password-Authenticated Key Exchange (PAKE) Protokolle versprechen Schutz gegen Phishing-Angriffe und bieten weitere Vorteile. In der Praxis konnten sie sich jedoch nie durchsetzen. Ziel des Projekts ist es, den Stand der Technik bezüglich der Passwort-basierten Authentifizierung im Internet zu verbessern, dies soll durch einen holistischen Ansatz erreicht werden. Basierend auf umfangreichen Input von Praktikern in Form von Umfragen und Interviews soll ein präziseres Verständnis von Art und Umfang von Blockern in der Praxis erreicht werden, und die Wichtigkeit von alternativen Sicherheitszielen von PAKE-Protokollen besser verstanden werden (beispielsweise die sogenannte "server ignorance" bei der Servicebetreiber Passwörter nicht im Klartext zu sehen bekommen, um sich gegen versehentliches Logging sowie Zugriff von Behörden abzusichern). Dies dient als Grundlage um neue Sicherheitsanforderungen an PAKE-Protokolle zu formulieren (z. B. Stärkemeter zu ermöglichen, mit Tippfehlern umzugehen, oder Risiko-basierte Authentifizierung zu vereinfachen), und kryptographische Sicherheitsmodelle zu erstellen. Das Projekt wird im Detail durch verschiedene Nutzerstudien untersuchen, wie Nutzer mit PAKE-Protokollen interagieren, und welche Eigenschaften Protokolle und Benutzeroberflächen haben müssten, um die Benutzung zu vereinfachen und Phishing-Angriffe effektiv abzuwehren. Schließlich werden im Rahmen des Projekts neue Protokolle entwickelt, um diese Anforderungen zu erfüllen, und so effiziente und in der Praxis einsetzbare Implementierungen zu erhalten. Diese Implementierungen werden als Open Source-Lösung bereitgestellt und deren Anwendbarkeit in der Praxis durch Studien validiert.

DFG-Verfahren Sachbeihilfen

Internationaler Bezug Luxemburg

Kooperationspartner Professor Peter Y. A. Ryan, Ph.D.