Tim Brust
Master Thesis, Hochschule Wismar, September 2019
Author: Tim Brust
Titel: Security Evaluation of Multi-Factor Authentication in Comparison with the Web Authentication API
Abstract: Internet users are at constant risk, given that data breaches happen nearly daily. When a breached password is re-used, it renders their whole digital identity in danger. To counter these threats, the user can deploy additional security measures, e.g., multi-factor authentication. This master’s thesis introduces and compares the multifactor authentication solutions, one-time passwords, smart cards, security keys, and the Universal Second Factor protocol with a focus on their security. Further, the Web Authentication API is explained and compared with the other multi-factor authentication solutions. The outcome of this thesis is that multi-factor authentication is subject to phishing attacks. It can be made phishing resistant, but it requires a change of the transportation medium or the usage of other authentication methods. Also, the Web Authentication API has the potential to replace passwords. However, it is not yet usable enough for the end consumer.
Keywords: authentication, multi-factor authentication, mfa, two-factor authentication, 2fa, fido, web authentication api, webauth, webauthn, web-authentication
Abstrakt: Internetnutzer sind einem ständigen Risiko ausgesetzt, da Sicherheitsbrüche fast täglich auftreten. Wenn ein gehacktes Passwort wiederverwendet wird, stellt dies eine Gefahr für die gesamte digitale Identität des Nutzers dar. Um diesen Bedrohungen entgegenzuwirken, kann der Benutzer zusätzliche Sicherheitsmaßnahmen, z. B. die Multi-Faktor Authentifizierung, einsetzen. Diese Masterarbeit stellt die Multi- Faktor Authentifizierungen Einmalpasswörter, Chipkarten, Sicherheitsschlüssel und das Universal Second Factor Protokoll mit Fokus auf deren Sicherheit vor und vergleicht diese. Weiterhin wird die Web Authentication API erläutert und mit den o. g. Multi-Faktor-Authentifizierungen verglichen. Das Ergebnis dieser Arbeit ist, dass die Multi-Faktor Authentifizierung trotzdem Phishing-Angriffen ausgesetzt ist. Es erfordert andere Transportmechanismen oder Verfahren, um Resistenz gegenüber Phishing zu erreichen. Darüber hinaus hat die Web Authentication API das Potenzial, Passwörter zu ersetzen, ist aber für den Endverbraucher aktuell noch nicht ausreichend nutzbar.
Schlüsselwörter: authentifizierung, multi-faktor authentifizierung, mfa, zweifaktor authentifizierung, 2fa, fido, web authentication api, webauth, webauthn, webauthentication