Authentifikationsverfahren und ihre Benutzbarkeit

Authentifikationssysteme stellen in unserer heutigen Gesellschaft eine immer wichtiger werdende Technologie dar. Durch die steigende Anzahl an Diensten und Systemen, auf die zugegriffen werden soll, entstehen neue Herausforderungen für Authentifikationssysteme. Oft ergeben sich Konflikte zwischen Sicherheit und Benutzbarkeit. Häufig sind Authentifikationssysteme technisch sicher, allerdings nur bei der richtigen Anwendung durch den Nutzer. Technisch unerfahrene Benutzergruppen sind sich der Relevanz dieser Systeme oft nicht bewusst. So haben viele Nutzer zu schwache Kennwörter, die in mehreren Diensten parallel verwendet werden.
In dieser Ausarbeitung vergleichen wir gängige Authentifikationsverfahren bezüglich ihrer technischen Sicherheit. Zunächst wird auf die Anforderungen eines Authentifikationssystems im Allgemeinen eingegangen. Hierbei werden die verschiedenen Methoden: Nachweis einer Kenntnis, Verwendung eines Besitztums sowie körpereigene Merkmale von einander abgegrenzt und verglichen. Anschließend sollen Vorteile sowie Gefahren einzelner Mechanismen aufgezeigt werden.

1 Einleitung

Im Zuge der Digitalisierung entstehen immer mehr Dienste und Systeme, auf die zugegriffen werden soll. Häufig lässt sich der Benutzerkreis schlecht eingrenzen. Deshalb nutzen technisch versierte Personen sowie Laien oft die gleichen Anwendungen, welche eine Autorisierung des Systems erfordern. Das Ziel einer Authentifizierung ist die Verifizierung der Identität des Benutzers, um ihm Zugang zum System zu ermöglichen.
Das wohl am weitesten verbreitete Verfahren ist die Authentifizierung mit Hilfe eines Benutzernamens und dem dazugehörigen Passwort. Hierbei hängt die Sicherheit des Systems stark von der Passwortstärke des jeweiligen Benutzers ab. Des Weiteren können Kennwörter durch verschiedene Angriffstechniken herausgefunden werden. Um den Authentifizierungsprozess sicher zu gestalten, gibt es daher eine Menge an Herangehensweisen, welche im Folgenden aufgezeigt und evaluiert werden sollen.

2 Technischer Überblick der grundlegenden Authentifikationsmethoden

Im folgenden Kapitel soll ein kurzer Überblick über gängige Authentifikationsmethoden gegeben werden, welche in 3 und 4 bezüglich den Aspekten der Benutzbarkeit und Sicherheit aufgegriffen werden.

2.1 Authentifikation durch Wissen

Die Authentifikation durch Wissen stellt die Grundlagen aller Techniken dar. Bei dem Vorgang merkt sich der Benutzer oder das verwendete System ein bestimmtes Kennwort zur Identifikation. Dies stellt in den meisten Fällen ein passwortbasiertes Mittel dar.
Diese Authentifikationsmittel werden als „etwas Wissen“ eingestuft. Weitere wissensbasierte Mittel sind neben Passwörter auch PIN’S oder eine Antwort auf bestimmte Fragen(Sicherheitsfrage).

2.2 Authentifikation durch Besitz

Die Besitz basierende Authentifikation wird in der Regel durch Hardware realisiert. Bei dieser Identifikation wählt der Benutzer ein physikalisches Objekt, welches die Informationen in mechanischer, magnetischer oder elektronischer Form enthält. Beispiele sind konventionelle Schlüssel oder Ausweise, Magnet- und Chipkarten oder auch Tokens für eine einmalige Passwort Generierung. In [SB15, S.111-112] werden drei grundlegende Methoden vorgestellt, welche in 3.2 beschrieben werden.

2.3 Authentifikation durch biometrische Merkmale

Bei der Authentifikation durch biometrische Merkmale steht der Nutzer selbst im Vor- dergrund. Hierbei werden körperliche- , in seltenen Fällen auch verhaltenstypische Charakteristiken ausgewertet. Zur Identifikation der Person werden in den meisten Fällen Fingerabdrücke, Iris, Retina, Venen, Gesicht oder die Stimme ausgewertet.
Die Eignung eines biometrischen Authentifikationssystemes hängt laut [PDHB16, S.126] von folgenden Faktoren ab: Universalität, Unverwechselbarkeit, Beständigkeit, Erfassbarkeit, Performanz, Akzeptabilität und Fälschungssicherheit.

2.4 Multi-Faktor Authentifizierung

Die Grundidee der Multi-Faktor Authentifizierung ist die Kombination aus mindestens zwei der in 2.1, 2.2, 2.3 beschriebenen Verfahren.
Hierbei sind die Faktoren des Wissens und Besitzes eine häufige Zusammensetzung.
Deswegen ist es beim Onlinebanking neben der passwortbasierten Authentifikation üblich, eine TAN anzugeben, um eine Transaktion durchzuführen. Diese TAN liegt in der Regel auf einer Liste in Papierform vor, wird per SMS empfangen oder durch ein TAN Generator generiert. In jedem dieser Fälle erhält der Nutzer die TAN durch physisches Besitzen.

3 Authentifikationsmethoden in Bezug auf die Benutzbarkeit

Die Grundlegenden Authentifikationsmittel, welche in Kapitel 2 angesprochen wurden, werden in Bezug zum Nutzer näher gebracht.

3.1 Wissens basierte Benutzbarkeit

Die in 2 bereits erwähnte „Passwort basierte Authentifikation“ ist bis heute die verbreitetste Methode, um sich gegenüber einem System zu identifizieren. Der Grund hierfür liegt an ihrer einfachen Benutzbarkeit und leichter Implementation.
Der Vorgang dieser Authentifikation beginnt, indem der Nutzer ein beliebiges Passwort auswählt, welches je nach Verwendung einen ausreichenden Schutz bietet und somit auch für unerfahrene Benutzergruppen einen Vorteil ermöglicht. Darüber hinaus überzeugt die Schnelligkeit dieser Art der Authentifikation, da der Benutzer die Möglichkeit besitzt, seine Anmeldedaten im Browser abzuspeichern. Dafür muss er lediglich bei der Anmeldung auf „Ok“ oder „Login“ drücken, und schon erfolgt die Anmeldung des Nutzers.
Ein Hauptproblem stellt die schlechte Auswahl oder Merkbarkeit des Passworts dar. Es muss sicher aber zugleich auch benutzerfreundlich sein. Die Sicherheitskriterien hängen von folgenden Faktoren ab: die Passwörter sollten lang sein, Groß- und Kleinbuchstaben sowie Nummern und Sonderzeichen enthalten. Um BruteForce Attacken, die in 4.1 beschrieben sind, zu verhindern, soll der Nutzer sein Passwort nach Möglichkeit oft wechseln. Der Benutzer ist aufgrund der hohen Sicherheitsfaktoren nicht in der Lage, sich diese Informationen zu merken. Dabei sind für die meisten Menschen folgende Punkte wichtiger : die Passwörter sollten kurz sein, keine Sonderzeichen enthalten und relativ einfach zu merken sein, wie zum Beispiel der Name eines Haustieres.
Cormac Herley, P.C. van Oorschot und Andrew S. Patrick erklären in [CH09, S.4], dass viele Benutzer trotz dieser Authentifikation gut mit Passwörter umgehen können. Herley stellt fest, dass „Benutzer keinerlei Probleme bei der Nutzung von Passwörtern haben und lassen sie beim Vergessen einfach zurücksetzen.“ Aus diesem Grund wird diese Art von Authentifikation weiterhin von großer Bedeutung bleiben.

3.2 Besitz basierende Benutzbarkeit

Aufgrund der weit verbreiteten, wie in 3.1 beschriebenen Form, besitzt heute zusätzlich nahezu jeder Benutzer eine Smartcard, welche häufig in Banken eingesetzt wird. Durch die Verwendung der Smartcard in Verbindung mit der Authentifikation durch Wissen (PIN) entsteht eine Zwei-Faktor Authentifizierung, welche die Sicherheit erhöht.
Anhand von weiteren physikalischen Besitzgütern, die der Nutzer braucht, entstehen Kosten, die er tragen muss. Darüber hinaus ist ein weiterer Nachteil, dass der Nutzer auch an weitere Besitz basierende Authentifikationsmittel denken muss.
Neben den weit verbreiteten Smartcards sind auch One-Time Passwort Token zu berücksichtigen. Im Gegensatz zu 3.1 entlastet diese Art von Authentifikation den Benutzer zumindest mental etwas. Der Nutzer authentifiziert sich mit Hilfe einer Token erstellten Zahlenkombination. Durch die Generierung der Zahlenkombination kann der Server die Zuordnung zum Nutzer verbinden.
In [SB15, S.111-112] werden drei Methoden zur Authentifizierung mit Hilfe des Tokens beschrieben. Bei dieser Authentifikation unterscheidet man zwischen Statischen-, Dynamischen und Challange-response-Verfahren. Statisch bedeutet, dass sich der Nutzer gegenüber dem Token Authentifiziert und der Token den User zum Computer authentifiziert. Bei einem Dynamischen Token erstellt der Token zum Beispiel jede Minute ein Passwort. Das wichtige dabei ist, dass der Token und das dazugehörige System stets in Verbindung bleiben, damit der Computer das Passwort von dem Token kennt. Bei der Challange-response erstellt das
System eine Challange an den Token. Der Token wirft eine Response basierend auf der Challenge und somit kann sich der Nutzer authentifizieren.
Ugo Piazzalunga, Paolo Salvaneschi und Paolo Co etti erläutern anhand einer Studie in [UP05, S.237], dass viele Benutzer die besitzbasierende Authentifikation mit Chipkarten oder USB-Token falsch verwendeten. Die Nutzer steckten die Smartcards verkehrt herum ein oder vergaßen diese beim Verlassen des Arbeitsplatzes.

3.3 Biometrisch basierende Benutzbarkeit

Wie in [SZSI13, S.7] beschrieben, werden biometrische Authentifikationsverfahren beliebter und zugleich auch zu vertrauenswürdigen Sicherheitssystemen, die zu einer Alternative zum Passwort basierten Authentifikationssystem geworden sind.
Anhand von den in 2.3 beschrieben Faktoren wird hier auf den Fingerabdruck eingegangen. Die wichtigsten Punkte für die Usability sind Erfassbarkeit, Performanz und Akzeptabilität. In [PDHB16, S.126] wurde erwähnt, dass „der Fingerabdruck quantitativ und durch Sensoren erfassbar ist. Bei Fingerabdrücken ist die Performanz des Systems im Hinblick auf die Erkennungsleistung und die Geschwindigkeit gegeben. Fingerabdrücke werden von der Bevölkerung angenommen“.
Diese Art von Scanner ist im Vergleich zu anderen Biometrischen Verfahren relativ günstig zu implementieren und wird deshalb am häufigsten eingesetzt. Die Speicherung des Fingerabdrucks bietet einige Vorteile, die zum Beispiel die Bequemlichkeit der Nutzer berücksichtigten. Diese müssen anstatt einer Passwort- oder Pin-Eingabe einfach ihr Finger auf den Abdruckscanner legen, und sie sind Autorisiert.
Das biometrische Verfahren bietet Vorteile gegenüber dem Nutzer. In 3.2 wurde beschrieben, dass der Benutzer an weitere Authentifikationsmittel denken muss. Dies ist bei der Biometrischen Authentifikation nicht der Fall, da der Benutzer selbst das Medium zur Identifikation ist. Weiterhin wird in [PDHB16, S.128] beschrieben: „Vorteilhaft bei biometrischen Verfahren ist die hohe Kopplung zwischen der biometrischen Eigenschaft und der jeweiligen Person. Das bedeutet, die Eigenschaft kann nicht unbeabsichtigt verloren gehen, man kann sie nicht vergessen und es ist nicht möglich zu delegieren, d.h. die Merkmale an einen Dritten weiterzugeben“.

4 Angriffsvektoren

Authentifikationssysteme oder der Authentifikationsprozess im Allgemeinen sind oft angegriffene Ziele. Hierbei werden die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit gleichzeitig verletzt. Aufgrund der Vielzahl an Authentifizierungsmöglichkeiten und Kontexte ergeben sich eine Menge an potentiellen Angriffsvektoren, von denen einige im Folgenden beschrieben werden sollen.

4.1 Authentifikation durch Wissen

Die Angriffsvektoren in wissensbasierten Authentifikationsprozessen gliedern sich in drei große Gruppen: Technische Angriffe auf den Benutzer, auf das System als auch Social Engineering.
Im Falle einer Authentifikation in einem Dienst auf dem Rechner oder im Web können technische Angriffe beispielsweise in Form von Maleware erfolgen. Hierbei kann ein Angreifer mithilfe eines Keyloggers sämtliche Tastatureingaben mitschneiden. Auch kann durch eine Sicherheitslücke am Computer des Nutzers Zugriff auf das Dateisystem erfolgen. Anschließend können Dateien nach möglichen Klartextpasswörtern oder Passworthashes durchsucht werden.
Ein Technischer Angriff auf das System oder den Betreiber könnte erfolgen, indem versucht wird, Zugriff auf die Datenbank des Systems zu erlangen 4. Falls das gelingt, können Passworthashes von Kennwörtern mit geringer Komplexität beispielsweise mit Hilfe von Rainbowtables gebrochen werden. Viele Listen mit Benutzernamen oder Mailadressen und den dazugehörigen Passwörtern sind problemlos im Internet zu finden. Unter der Voraussetzung, dass der Nutzer dasselbe Passwort bei verschiedenen Diensten nutzt, kann sich ein potentieller Angreifer ohne großen Aufwand Zutritt zu Systemen verschaffen, wie in [SB15, S.98-110] beschrieben.
„Die häufigsten Angriffe auf Passworte sind neben Wörterbuchangriffen[...]Brute Force Attacken"[La13, S.24] . Nicht zu vernachlässigen ist daher die Wahl eines geeigneten Kennwortes durch den Nutzer. Joseph Bonneau analysiert in [Bo12] 70 Millionen Anonymisierte Passwörter. Hierbei ergibt sich, dass 6,5% der deutschsprachigen Benutzer Passwörter mit weniger als 1000 Versuchen mit einem gezielten Wörterbuchangriff zu erraten in der Lage waren. Dies ist allerdings nicht alleinig auf technische Schwachstellen zurückzuführen. Hauptsächlich liegt es in der Verantwortung des Nutzers, ein starkes Passwort zu wählen.
Beim Social Engineering wird versucht, durch Angriffsvektoren nicht technischen Ursprungs autorisiert zu werden. Dies kann beispielsweise in Form von Phishing geschehen. Hierbei wird dem Nutzer unter einer vorgetäuschten Identität eine Mail gesendet, mit der Aufforderung PINs oder Passwörter auf einer fingierten Website einzugeben. Ist der Angriff genau auf den Nutzer zugeschnitten, spricht man vom Speer Phishing. Umso besser es dem Angreifer gelingt, ihn persönlich anzusprechen, desto größer ist die Wahrscheinlichkeit, dass dem Nutzer die erhaltene Mail glaubwürdig vorkommt. Durch gestohlene Informationen des Nutzers kann so beispielsweise neben seinem Namen auch seine Adresse oder Handynummer in die Mail integriert werden. Wichtig für den Angreifer ist an dieser Stelle, dass der Nutzer den Dienst, dessen Login Formular nachgebaut wurde, auch tatsächlich nutzt. Weitere Social Engineering Techniken, wie das Dumpster Diving oder Shoulder Surving können den Schutz wissensbasierter Authentifizierung durch Dritte gefährden [KG16, S.80].

4.2 Authentifikation durch Besitz

Im Gegensatz zu vielen in 4.1 beschriebenen Vorgehensweisen muss bei Angrifsszenarien auf Besitz basierender Systeme meist physische Nähe gegeben sein. Ein Schlüssel, eine Smartcard oder ähnliches lässt sich in den meisten Fällen nur direkt stehlen. Denkbar ist es auch, durch geschicktes Social Engeneering an den Gegenstand zu gelangen.
Technische Angriffe auf Besitz basierende Authentifikationsysteme werden oft nur im Kontext einer Multi-Faktor Authentifizierung durchgeführt. Hier ist das Abfangen von SMS eine mögliche Vorgehensweise. In 4.4 wird die Sicherheit von Multi-Faktor Authentifikationssystemen weiter erläutert.
Eine weitere Angriffstechnik kann durch einen Relay-Angriff erfolgen. Hierbei kann eine Smartcard oder ein Schlüssel mit einem Gerät ausgelesen werden. Ein anderes Gerät, welches sich unmittelbar in der Nähe des Systems befindet, empfängt die zuvor ausgelesenen Daten und sendet diese wieder aus. Somit autorisiert das System den Zugang, da es davon ausgeht, dass es sich um eine Smartcard oder einen Schlüssel handelt.

4.3 Authentifikation durch biometrische Merkmale

Die Unverwechselbarkeit und Fälschungssicherheit, die in 2.3 bereits kurz angerissen wurden, sind elementare Anforderungen, um ein sicheres biometrisches Authentifikationssystem betreiben zu können. Aus diesem Grund sollten nur Merkmale erfasst werden, welche nur einer Person zuweisbar sind. Hierdurch entsteht eine starke Kopplung zwischen der jeweiligen Person und der biometrischen Eigenschaft[PDHB16, S.128].
Die Anforderung der Unverwechselbarkeit ist allerdings nur dann sinnvoll, wenn ein Fälschen der Identität nicht oder mit unangemessenen Aufwand möglich ist. Ein von einem Glas aufgenommener Fingerabdruck, der auf ein anderes Medium mit ähnlichen Eigenschaften wie menschlicher Haut übertragen wurde, sollte nicht zu einer erfolgreichen Authentifikation führen. Eine Kombination verschiedener "Liveness Tests"[Mv, S.8] erhöht die Sicherheit gegen Angriffe dieser Art. Je nach Einsatz des Systems sind unterschiedliche Schwellwerte sinnvoll, wie die Autoren in [Mv] erläutern. Eine niedrigere "Lower false acceptance rate" erhöht die Sicherheit des Systems, wirkt sich aber oft negativ auf die Benutzbarkeit aus, wie in 5 weiter erläutert wird. Anders als bei anderen Authentifikationsmethoden lassen sich biometrische Merkmale nicht ändern oder austauschen, wie es bei Kennwörtern und Smartcards der Fall ist. Anhand dieser Biometrischen Merkmale sind die Daten in besonderem Maße schützenswert.
In [PDHB16, S.129] wird ferner eine möglicherweise höhere Gewaltkriminalität im Bezug auf biometrische Authentifikatonssysteme erwähnt.

4.4 Multi-Faktor Authentifikation

Durch das Kombinieren verschiedener Authentifikationsmöglichkeiten kann sich die Sicherheit enorm erhöhen. Gelingt einem Angreifer beispielsweise durch eine in 4.1 beschriebene Technik ein Kennwort zu erlangen, muss er im Falle einer Zwei Faktor Authentifikation mit den Faktoren Wissen und Besitz über etwas Zusätzliches verfügen. Oft muss der Angreifer einen physischen Zugriff auf beispielsweise ein Handy haben. Hierdurch können automatisierte Online-Angriffe unschädlich gemacht werden. Außerdem gestaltet sich ein gezielter Angriff deutlich schwieriger, wobei der Sicherheitsgewinn allerdings nutzungsabhängig ist. Somit scheint es nicht ratsam zu sein, sich durch das Wissen eines Kennwortes auf einem Gerät zu authentifizieren, welches gleichzeitig dem Faktor Besitz durch eine TAN per SMS zugeordnet ist.
Neben den von Radhesh Krishnan Konoth, Victor van der Veen und Herbert Bos in [RKK] aufgezeigten Angriffsszenarien gibt es viele weitere. Eine Multi-Faktor Authentifizierung ist keinesfalls ein Garant für Sicherheit, jedoch erschwert es einen Angriff meist enorm.

5 Die Zusammenführung von Benutzbarkeit und Sicherheitsaspekten

Sicherheits- und Usability Aspekte zu vereinen, führt zwangsläufig zu Kompromissen an mindestens einem der Punkte. Im Folgenden sollen daher Vorgehensweisen aufgezeigt werden, die ein möglichst hohes Sicherheitsniveau bei einfacher Handhabung erzielen.
Die Kopplung zwischen Benutzbarkeit und Sicherheit ist bei der Authentifizierung durch Kennwörter leicht zu erkennen. Ein technisch sicheres System kann aufgrund des Nutzers zu einem insgesamt unsicheren System werden. Gründe dafür sind, dass der Benutzer entweder gleiche Kennwörter bei unterschiedlichen Diensten verwendet oder aufgrund des hohen Aufwands ein zu schwaches Kennwort setzt. Ein für den Nutzer leicht zu gebrauchendes Passwort dagegen ist meist unsicher gegenüber technischen Angriffen. Deswegen lässt sich ein sicheres System nur unter der Berücksichtigung von Usability Aspekten realisieren.
In Bezug auf Kennwort basierte Authentifikation ist es sinnvoll, einen Passwort-Manager zu verwenden. An dieser Stelle muss sich der Nutzer nur ein Master Passwort merken, welches allerdings eine hohe Komplexität aufweisen sollte. Anschließend wird mit Hilfe des Passwort-Managers für jeden Dienst ein individuelles und sehr starkes Kennwort erstellt.
Einerseits entlastet es den Nutzer, da er anstatt mehrerer Kennwörter nur ein Grundpasswort wissen muss. Auf der anderen Seite fallen viele in 4.1 erwähnten Angriffsvektoren weg.
Bei biometrischen Systemen werden die Parameter Benutzbarkeit und Sicherheit zum Teil mit Hilfe der Schwellenwerte verändert. So führt ein zu hoher Schwellenwert bei den Nutzern oft zu Frustration. Andererseits ist die Sicherheit des Systems durch einen zu niedrigen Schwellenwert gefährdet. Abhängig vom Nutzungskontext und den Sicherheitsanforderungen unterscheiden sich diese Schwellenwerte. Wichtig bei diesem Vorgang ist allerdings, dass der Nutzer einen möglichen Vorteil der Methode erkennt und nicht manuell wieder auf ein schwaches Kennwort setzt, weil ihm die biometrische Variante zu umständlich ist.
Auf jedem Fall wird die Sicherheit durch Nutzen eines zweiten Faktors deutlich erhöht. Der Benutzer hat an dieser Stelle einen Mehraufwand gegenüber der Berücksichtigung nur eines Faktors. Diese Anstrengung ist angesichts des Sicherheitsgewinns allerdings annehmbar. Ein durch eine App, wie beispielsweise Googles Authenticator erstelltes Einmalpasswort, lässt sich innerhalb weniger Sekunden eingeben. An zusätzliche Hardware braucht der Nutzer hierbei nicht zu denken, da das Smartphone meist allgegenwärtig ist.

6 Fazit

Das Ziel dieses Beitrags war es, gängige Authentifikationsmittel bezüglich der Sicherheit und Benutzbarkeit zu vergleichen. Anhand der in 5 beschriebenen Aspekte bieten die Einsätze von Passwort Manager in der Kombination mit einer Zwei-Faktor-Authentifizierung die beste Balance zwischen Sicherheits- und Usability Aspekten.

---

---

Quellen

[Bo12]
Bonneau, Joseph: The science of guessing: analyzing an anonymized corpus of 70 million passwords. Abrufbar unter: http://ieeexplore.ieee.org/stamp/stamp.jsparnumber=6234435, 2012.

[CH09]
Cormac Herley, P.C. van Oorschot, Andrew S. Patrick: , Passwords: If We’re So Smart, Why Are We Still Using Them? Abrufbar unter: https://www.microsoft.com/en-us/research/wp-content/uploads/2016/02/fc09.pdf , 2009.

[KG16]
Kammermann, Markus; Gut, Mathias: CompTIA Security+ - IT-Sicherheit verständlich erklärt - Vorbereitung auf die Prüfung SYO-401. MITP-Verlags GmbH & Co. KG, Heidelberg, 2. aufl.. Auflage, 2016.

[La13]
Langer, Stefanie: , Sicherheit von passwortbasierten Authentifzierungssystemen. Abrufbar unter: http://edoc.sub.uni-hamburg.de/haw/volltexte/2013/2131/pdf/BA_Stefanie_Langer.pdf , 2013.

[Mv]
Matyáö, Václav; íha, Zden k: , BIOMETRIC AUTHENTICATION — SECURITY AND USABILITY. Abrufbar unter: https://www.fi.muni.cz/usr/matyas/cms_matyas_riha_biometrics.pdf

[PDHB16] Prof.Dr.HaraldBaier,Prof.Dr.StefanEdelkamp,Prof.Dr.MarianMagrafSebastianGaertner Sven Ossenbuhl: , IT-Sicherheit. Abrufbar unter: http://www.tzi.de/~edelkamp/lectures/itsec/script/skript_main.pdf, 2016.

[RKK]
Radhesh Krishnan Konoth, Victor van der Veen, Herbert Bos: , How Anywhere Computing Just Killed Your Phone-Based Two-Factor Authentication. Abrufbar unter: http://fc16.ifca.ai/preproceedings/24_Konoth.pdf

[SB15]
Stallings, William; Brown, Lawrie: Computer Security: Principles and Practice, Global Edition -. Pearson Education Limited, Harlow, 3. aufl.. Auflage, 2015.

[SZSI13]
Syed Zulkarnain Syed Idrus, Estelle Cherrier, Christophe Rosenberger Jean- Jacques Schwartzmann: , A Review on Authentication Methods. Abrufbar unter: https://hal.inria.fr/hal-00912435/document , 2013.

[UP05]
Ugo Piazzalunga, Paolo Salvaneschi, Paolo Co etti: The Usability of Security Devices. O’Reilly Media, 1. Auflage, 2005.

---

---

Wer es bis hierher geschafft hat: Herzlichen Glückwunsch und vielen Dank fürs lesen. Ich hoffe ihr konntet etwas lernen :)