Stefan Alfeis
Master Thesis, Hochschule Wismar, Oktober 2024
Autor: Stefan Alfeis
Titel: Analyse von Fallback Methoden im Identity and Access Management
Abstrakt
Wiederherstellungsmethoden sind für Zugänge zu Onlinediensten und Anwendungen enorm wichtig für den Fall, dass ein Benutzer die primären Authentifikationsfaktoren nicht mehr zur Verfügung hat. Ähnlich wie für die primären Authentifikationsfaktoren gilt auch für die Wiederherstellungsmethoden, dass der Zugriff für Unbefugte möglichst verhindert wird. Es gibt verschiedene Varianten für Wiederherstellungsmethoden, angefangen bei E-Mails mit einem Link oder Passwort bis hin zu Code-Listen und auch die Verwendung von Token. Anbieter von Onlinediensten setzen Wiederherstellungsmethoden unterschied- lich um. Hierfür wurden in dieser Masterthesis für einige ausgewählte Anbieter die Wiederherstellungen durchgeführt und mittels eines Graphen-Tools bewertet. Weiterhin wurde eine Benutzer-Umfrage zum Thema Wiederherstellungsmethoden durchgeführt. Diese Umfrage sollte Erkenntnisse zu den Erfahrungen und Anforderungen der Benutzer zu diesen Methoden bringen. In der abschließenden Diskussion wurden die Wiederherstellungsmethoden bewertet. Es wurde festgestellt, dass die Kombination von einigen Methoden für eine höhere Sicherheit sorgen kann, im Vergleich zur parallelen Umsetzung mehrerer Methoden.
Abstract
Fallback methods are extremely important for access to online services and applications in the event that a user no longer has the primary authentication factors available. As with the primary authentication factors, the fallback methods also aim to prevent unauthorized access as far as possible. There are various variants of fallback methods, ranging from emails with a link or password to code lists and the use of tokens. Providers of online services implement fallback methods in different ways. In this master’s thesis, recoveries were carried out for a few selected providers and evaluated using a graph tool. A user survey was also carried out on the topic of fallback methods. This survey was intended to provide insights into the users’ experiences and requirements for these methods. In the final discussion, the fallback methods were evaluated. It was found that the combination of some methods can provide greater security compared to the parallel implementation of several methods.