Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
gf_informatik:authentifizierung [2025-02-18 12:11] – [Aufgabe F] hofgf_informatik:authentifizierung [2026-03-24 14:51] (aktuell) hof
Zeile 1: Zeile 1:
 ====== Authentifizierung ====== ====== Authentifizierung ======
  
 +++++ Lernziele:|
 +Du kannst...
 +  * erklären, was Authentifzierung ist und Beispiele für Authentifzierung aus dem Alltag (mit und ohne digitale Geräte) nennen.
 +  * erklären, wie die Brute-Force-Methode zum Erraten von Passwörtern funktioniert. 
 +  * die Komplexität eines Passworts aufgrund der Anzahl Stellen und der Anzahl verfügbarer Zeichen berechnen.
 +  * erklären, weshalb Authentifzierungen, die nur das Passwort prüfen, nicht als sicher gelten.
 +  * den Begriff <color #0000ff>Mehrfaktor-Authentifizierung</color> erläutern.
 +  * drei verschiedene Faktoren (Fachbegriffe) und Beispiele dazu nennen.
 +  * erklären, weshalb z. B. die Kombination [Besitzfaktor plus Wissensfaktor] sicherer ist als die Kombination [Wissensfaktor plus Wissensfaktor]
 + 
 +++++ 
 ===== Übersicht ===== ===== Übersicht =====
 {{ :gf_informatik:authenticity.jpg?200|}} {{ :gf_informatik:authenticity.jpg?200|}}
Zeile 52: Zeile 63:
 </code> </code>
  
 +=== Komplexität ===
 +
 +Die _Komplexität_ eines Passworts ist ein Mass dafür, wie schwierig es zu erraten ist. Haben wir keine weiteren Kenntnisse, müssen alle Kombinationen durchprobiert werden (Brute-Force). Stehen 26 Buchstaben zur Verfügung, so gibt es 26 einstellige und $26\cdot{}26 = 26^2 = 676$ zweistellige Kombinationen.
 +
 +Im Allgemeinen berechnet sich die Anzahl Kombinationen bei Alphabetlänge $l$ und Passwortlänge $n$ als $l^n$.
 ==== Brute-Force Hacking ==== ==== Brute-Force Hacking ====
  
Zeile 60: Zeile 76:
 === Aufgabe C – Wie lange dauert es mit und ohne Sonderzeichen? === === Aufgabe C – Wie lange dauert es mit und ohne Sonderzeichen? ===
     - Kopiere den Code unten und speichere ihn in einer neuen Datei.     - Kopiere den Code unten und speichere ihn in einer neuen Datei.
-      - Von den Zeilen 5 und 6 muss jeweils eine auskommentiert, also deaktiviert sein und die andere soll aktiviert sein: +      - Von den Zeilen 5 und 6 muss eine auskommentiert und die andere aktiviert sein: 
-        - wenn Zeile 5 aktiviert ist, werden für jede Passwortstelle 26 Zeichen geprüft (alle Kleinbuchstaben). +        - Zeile 5für jede Passwortstelle werden 26 Zeichen geprüft (Kleinbuchstaben). 
-        - wenn Zeile 6 aktiviert ist, werden für jede Passwortstelle 100 Zeichen geprüft (Zahlen (0...9), Klein- und Grossbuchstaben sowie Sonderzeichen)+        - Zeile 6für jede Passwortstelle werden 100 Zeichen geprüft (Zahlen (0...9), Klein- und Grossbuchstaben sowie Sonderzeichen)
     - Teste den Code mit verschiedenen Einstellungen und Passwörtern und **notiere in einer Tabelle wie unten**  (nutze [[http://sheets.new|Sheets]] oder [[http://excel.new|Excel]]), wie lange die Suche gedauert hat:     - Teste den Code mit verschiedenen Einstellungen und Passwörtern und **notiere in einer Tabelle wie unten**  (nutze [[http://sheets.new|Sheets]] oder [[http://excel.new|Excel]]), wie lange die Suche gedauert hat:
       - Probiere für jede Anzahl Stellen jeweils zwei Passwörter aus – ein einfaches wie 'aaa' und ein schwieriges wie 'zzz' – und trage jeweils den **Durchnitt der beiden Zeiten** in die Tabelle ein.       - Probiere für jede Anzahl Stellen jeweils zwei Passwörter aus – ein einfaches wie 'aaa' und ein schwieriges wie 'zzz' – und trage jeweils den **Durchnitt der beiden Zeiten** in die Tabelle ein.
Zeile 97: Zeile 113:
 # erst alle einstelligen Kombinationen, dann alle zweistelligen etc. # erst alle einstelligen Kombinationen, dann alle zweistelligen etc.
 for i in range(1, len(password) +1): for i in range(1, len(password) +1):
-    for combination_list in itertools.product(alphabet,repeat = i):+    for combination_list in itertools.product(alphabet,repeat=i):
         combination_word = ''.join(combination_list)  ## [a,a,b] --> 'aab'         combination_word = ''.join(combination_list)  ## [a,a,b] --> 'aab'
         if combination_word == password:         if combination_word == password:
Zeile 116: Zeile 132:
   * Wenn dein Passwort eine bekanntes Wort enthält, kann es nochmals viel schneller gehen. Denn der Code könnte zuerst einfach eine Liste mit bekannten Wörtern durchsuchen und jeweils prüfen, ob es im Passwort vorkommt.    * Wenn dein Passwort eine bekanntes Wort enthält, kann es nochmals viel schneller gehen. Denn der Code könnte zuerst einfach eine Liste mit bekannten Wörtern durchsuchen und jeweils prüfen, ob es im Passwort vorkommt. 
  
-Deshalb sollten deine Passwörter **mindestens 8-stellig** sein und nicht ein Wort im Wörterbuch sein. Beachte ausserdem die Hinweise im folgenden Kapitel. Am sichersten ist es, wenn neben dem Passwort weitere Faktoren geprüft werden. Siehe [[#Mehrere_Faktoren||Mehrere Faktoren]].+Deshalb sollten deine Passwörter **mindestens 8-stellig** sein und nicht ein Wort im Wörterbuch sein. Beachte ausserdem die Hinweise im folgenden Kapitel. Am sichersten ist es, wenn neben dem Passwort **weitere Faktoren** geprüft werden. Mehr dazu weiter unten.
  
 ==== Wenn nur das Passwort geprüft wird – Tipps für eine bessere IT-Sicherheit ==== ==== Wenn nur das Passwort geprüft wird – Tipps für eine bessere IT-Sicherheit ====
Zeile 129: Zeile 145:
     - Passwörter müssen nicht gemerkt oder irgendwo aufgeschrieben werden.     - Passwörter müssen nicht gemerkt oder irgendwo aufgeschrieben werden.
  
-===== Mehrere Faktoren  =====+===== Mehrfaktor-Authentifizierung =====
 Angenommen, du hast einen Gegenstand (z.B ein Tagebuch, ein Foto oder ein Superkräfte verleihender Trank), der **auf keinen Fall** in die Hände von jemand anderem gelangen darf. Du verschliesst den Gegenstand in einem bombensicheren Safe. Um den Safe zu öffnen, braucht es einen Pin Code.  Angenommen, du hast einen Gegenstand (z.B ein Tagebuch, ein Foto oder ein Superkräfte verleihender Trank), der **auf keinen Fall** in die Hände von jemand anderem gelangen darf. Du verschliesst den Gegenstand in einem bombensicheren Safe. Um den Safe zu öffnen, braucht es einen Pin Code. 
 Was aber, wenn irgendjemand den Code herausfindet? Um die Sicherheit zu erhöhen, bringst du ein weiteres Schloss an, für das es einen Schlüssel braucht, den nur du hast.  Was aber, wenn irgendjemand den Code herausfindet? Um die Sicherheit zu erhöhen, bringst du ein weiteres Schloss an, für das es einen Schlüssel braucht, den nur du hast. 
Zeile 151: Zeile 167:
   - Angenommen, du hättest an deinem Safe einfach drei Pin-Code-Schlösser. Wäre das dann auch eine Drei-Faktor-Authentifizierung? Wäre sie mehr oder weniger sicher als die Variante mit Schlüssel, Pin-Code und Fingerabdruck?    - Angenommen, du hättest an deinem Safe einfach drei Pin-Code-Schlösser. Wäre das dann auch eine Drei-Faktor-Authentifizierung? Wäre sie mehr oder weniger sicher als die Variante mit Schlüssel, Pin-Code und Fingerabdruck? 
   - Überlege zu den Situationen, die du in Aufgabe A genannt hast, welche Faktoren (Wissen, Besitz, Inhärenz) jeweils geprüft werden:   - Überlege zu den Situationen, die du in Aufgabe A genannt hast, welche Faktoren (Wissen, Besitz, Inhärenz) jeweils geprüft werden:
-    - Eintritt zu einem Konzert, Mobiltelefon entsperren, Prüfungszulassung (z.B. Aufnahmeprüfung), Reisen in andere Länder (am Zoll), Covid-Zertifikat mit Ausweis, Fahrerlaubnis via Führerschein, Bahnbillet mit Swisspass etc.+    - Eintritt zu einem Konzert, Mobiltelefon entsperren, Prüfungszulassung (z.B. Aufnahmeprüfung), Reisen in andere Länder (am Zoll), Fahrerlaubnis via Führerschein, Bahnbillet mit Swisspass etc.
   - Viele Leute zahlen Rechnungen heute direkt mit der E-Banking-App auf ihrem Smartphone: App öffnen, Rechnung scannen, Zahlung bestätigen. Welche Authentifzierung ist dabei erfolgt? Beschreibe mit obigen Fachbegriffen.    - Viele Leute zahlen Rechnungen heute direkt mit der E-Banking-App auf ihrem Smartphone: App öffnen, Rechnung scannen, Zahlung bestätigen. Welche Authentifzierung ist dabei erfolgt? Beschreibe mit obigen Fachbegriffen. 
  
Zeile 157: Zeile 173:
 === Aufgabe E – Prüfe und verbessere deine IT-Sicherheit === === Aufgabe E – Prüfe und verbessere deine IT-Sicherheit ===
   - Analyse:    - Analyse: 
-    - Erstelle eine Liste aller Webseiten, die du (seltener oder öfter) besuchst und die eine Authentifizierung erfordern.+    - Erstelle eine Liste der Webseiten, die du (seltener oder öfter) besuchst und die eine Authentifizierung erfordern.
     - Überlege, bei wie vielen du die gleiche E-Mail-Adresse und das gleiche Passwort nutzt.     - Überlege, bei wie vielen du die gleiche E-Mail-Adresse und das gleiche Passwort nutzt.
     - Du nutzt wohl auch Apps, die eine Authentifizierung verlangen, jedoch nur einmalig, bei jedem erneuten Öffnen ist keine neue Authentifizierung nötig. Was ist die Überlegung dahinter? Was wird vorausgesetzt?     - Du nutzt wohl auch Apps, die eine Authentifizierung verlangen, jedoch nur einmalig, bei jedem erneuten Öffnen ist keine neue Authentifizierung nötig. Was ist die Überlegung dahinter? Was wird vorausgesetzt?
Zeile 163: Zeile 179:
     - Überlegen, welche Lösung dir am sinnvollsten erscheint: Passwortmanager im Browser? Andere Passwortmanager?     - Überlegen, welche Lösung dir am sinnvollsten erscheint: Passwortmanager im Browser? Andere Passwortmanager?
     - Nötige Änderungen vornehmen: Zweifaktor-Authentifzierung aktivieren, evtl. PW-Manager installieren, evtl. einzelne Passwörter ändern.     - Nötige Änderungen vornehmen: Zweifaktor-Authentifzierung aktivieren, evtl. PW-Manager installieren, evtl. einzelne Passwörter ändern.
-    - Mindestens Folgende Sicherheitsmassnahmen müssen Sie umgesetzt haben:+    - Mindestens folgende Sicherheitsmassnahmen müssen Sie umgesetzt haben:
       - Besonderes Passwort und 2FA beim E-Mail-Konto       - Besonderes Passwort und 2FA beim E-Mail-Konto
       - Laptop und Smartphone mit Passwort/Fingerabdruck o.ä. gesperrt.       - Laptop und Smartphone mit Passwort/Fingerabdruck o.ä. gesperrt.
Zeile 178: Zeile 194:
    1. Kommt dein Vorname in dieser Liste vor? An welcher Stelle?    1. Kommt dein Vorname in dieser Liste vor? An welcher Stelle?
  
-**Top-1 Million** Passwörter: z.B. Top-1 Million: https://raw.githubusercontent.com/danielmiessler/SecLists/master/Passwords/Common-Credentials/10-million-password-list-top-1000000.txt+**Top-1 Million** Passwörter: z.B. Top-1 Million: https://raw.githubusercontent.com/danielmiessler/SecLists/refs/heads/master/Passwords/Common-Credentials/xato-net-10-million-passwords-1000000.txt
  
 Mit dem folgenden Code kann man über die URL auf eine Online-Text-Datei zugreifen und sie einlesen. Mit dem folgenden Code kann man über die URL auf eine Online-Text-Datei zugreifen und sie einlesen.
Zeile 196: Zeile 212:
 === Aufgabe G === === Aufgabe G ===
  
-In der Brute-Force Aufgabe weiter oben hast du gesehen, wie man alle möglichen Wörter erzeugen kann. Dies kann nicht nur für Hacker praktisch sein sondern kann dazu verwendet werden, um Fantasiewörter (z.B. Namen für Fantasy-Story) zu erfinden. Hier lohnt es sich aber, die Buchstaben zufällig auszuwählen (Stichwort: random-Modul) und gewisse Regeln zu implementieren, damit die erzeugten Wörter sich auch schön anhören. Einfach Regel: Vokale und Konsonanten sollen sich abwechseln.+In der Brute-Force Aufgabe weiter oben hast du gesehen, wie man alle möglichen Wörter erzeugen kann. Dies kann nicht nur für Hacker praktisch sein sondern kann dazu verwendet werden, um Fantasiewörter (z.B. Namen für Fantasy-Story) zu erfinden. Hier lohnt es sich aber, die Buchstaben zufällig auszuwählen (Stichwort: random-Modul) und gewisse Regeln zu implementieren, damit die erzeugten Wörter sich auch schön anhören. Einfache Regel: Vokale und Konsonanten sollen sich abwechseln.
  
 Implementiere einen Code, der zufällige Fantasiewörter generiert. Was sind deine besten Kreationen? Implementiere einen Code, der zufällige Fantasiewörter generiert. Was sind deine besten Kreationen?
Zeile 213: Zeile 229:
 ===== Lösungen zu den Programmieraufgaben ===== ===== Lösungen zu den Programmieraufgaben =====
  
-<nodisp 2>+<nodisp 1>
 ++++Lösungen| ++++Lösungen|
  
  • gf_informatik/authentifizierung.1739880717.txt.gz
  • Zuletzt geändert: 2025-02-18 12:11
  • von hof