Exploiting autobiographical memory for fallback authentication on smartphones

Smartphones have advanced from simple communication devices to multipurpose devices that capture almost every single moment in our daily lives and thus contain sensitive data like photos or contact information. In order to protect this data, users can choose from a variety of authentication schemes. However, what happens if one of these schemes fails, for example, when users are not able to provide the correct password within a limited number of attempts? So far, situations like this have been neglected by the usable security and privacy community that mainly focuses on primary authentication schemes. But fallback authentication is comparably important to enable users to regain access to their devices (and data) in case of lockouts. In theory, any scheme for primary authentication on smartphones could also be used as fallback solution. In practice, fallback authentication happens less frequently and imposes different requirements and challenges on its design. The aim of this work is to understand and address these challenges. We investigate the oc- currences of fallback authentication on smartphones in real life in order to grasp the charac- teristics that fallback authentication conveys. We also get deeper insights into the difficulties that users have to cope with during lockout situations. In combination with the knowledge from previous research, these insights are valuable to provide a detailed definition of fall- back authentication that has been missing so far. The definition covers usability and security characteristics and depicts the differences to primary authentication. Furthermore, we explore the potential of autobiographical memory, a part of the human memory that relates to personal experiences of the past, for the design of alternative fall- back schemes to overcome the well-known memorability issues of current solutions. We present the design and evaluation of two static approaches that are based on the memory of locations and special drawings. We also cover three dynamic approaches that relate to re- cent smartphone activities, icon arrangements and installed apps. This series of work allows us to analyze the suitability of different types of memories for fallback authentication. It also helps us to extend the definition of fallback authentication by identifying factors that influence the quality of fallback schemes. The main contributions of this thesis can be summarized as follows: First, it gives essen- tial insights into the relevance, frequency and problems of fallback authentication on smart- phones in real life. Second, it provides a clear definition of fallback authentication to classify authentication schemes based on usability and security properties. Third, it shows example implementations and evaluations of static and dynamic fallback schemes that are based on different autobiographical memories. Finally, it discusses the advantages and disadvantages of these memories and gives recommendations for their design, evaluation and analysis in the context of fallback authentication.Aus vormals einfachen Kommunikationsgeräten haben sich Smartphones inzwischen zu Multifunktionsgeräten weiterentwickelt, die fast jeden einzelnen Moment in unserem Alltag verfolgen und aufzeichnen. So ist es nicht verwunderlich, dass diese Geräte auch viele sen- sible Daten beinhalten, wie zum Beispiel Fotos oder Kontaktinformationen. Um diese Daten zu schützen, können Smartphone-Nutzer aus einer Vielzahl von Authentifizierungsverfahren auswählen. Doch was passiert, wenn eines dieser Verfahren versagt, zum Beispiel wenn Nutzer nicht in der Lage sind ihr korrektes Passwort innerhalb einer begrenzten Anzahl von Versuchen einzugeben? Derartige Fragen wurden bislang von der Usable Security und Privacy Gemeinschaft vernachlässigt, deren Augenmerk vielmehr auf dem Forschungsfeld der primären Authentifizierung gerichtet war. Jedoch ist das Gebiet der Fallback-Authentifizierung von vergleichbarer Bedeutung, um Nutzern die Möglichkeit zu bieten, wieder Zugang zu ihren Daten und Geräten zu erlangen, wenn sie sich aussperren. Im Prinzip kann jedes primäre Authentifizierungsverfahren auch für die Fallback-Authentifizierung eingesetzt werden. Da letzteres in der Praxis jedoch viel seltener passiert, bringt der Entwurf neuer Verfahren für die Fallback-Authentifizierung neue Anforderungen und Herausforderungen mit sich. Ziel dieser Arbeit ist es, diese Herausforderungen zu verstehen und herauszuarbeiten. Dazu haben wir untersucht, wie häufig sich Smartphone-Nutzer im Alltag aussperren, um darauf basierend die Hauptanforderungen für den Entwurf von Verfahren zur Fallback-Authentifizierung herzuleiten. Zudem konnten wir durch die Untersuchung ein tieferes Verständnis für die Probleme der Nutzer in solchen Situationen entwickeln. Zusammen mit den Erkenntnissen aus verwandten Arbeiten ermöglichten die Ergebnisse der Untersuchung eine detaillierte Definition für den Begriff der Fallback-Authentifizierung bereitzustellen und unter Berücksichtigung von Faktoren der Nutzerfreundlichkeit und Sicherheit deren Unterschiede zur primären Authentifizierung hervorzuheben. Zudem haben wir die Möglichkeiten des autobiographischen Gedächtnisses für den Entwurf alternativer Verfahren zu Fallback-Authentifizierung exploriert. Das autobiographische Gedächtnis ist ein Teil des menschlichen Gehirns und besteht aus persönlichen Erinnerungen der Vergangenheit. Durch den persönlichen Bezug erscheinen diese Erinnerungen vielversprechend, um die Probleme bekannter Verfahren zu überwinden. Im Rahmen dieser Arbeit stellen wir deshalb zwei statische und drei dynamische Verfahren zur Fallback-Authentifizierung vor, die sich auf autobiographischen Erinnerungen stützen. Während sich die statischen Verfahren auf ortsbezogene Erinnerungen und das Anfertigen spezieller Zeichnungen konzentrieren, basieren die dynamischen Verfahren auf Erinnerungen der nahen Vergangenheit (z. B. Aktivitäten auf dem Smartphone, Anordnung von Anwendungen oder de- ren Installation). Die vorgestellten Konzepte erlauben nicht nur das Potential verschiedener autobiographischer Erinnerungen zu analysieren, sondern ermöglichen es auch Faktoren zu identifizieren, die einen Einfluss auf die Qualität der vorgestellten Konzepte haben und somit nützlich sind, um die Definition der Fallback-Authentifizierung zu erweitern. Zusammenfassung Der wissenschaftliche Beitrag dieser Arbeit lässt sich wie folgt zusammenfassen: (1) Die Arbeit gibt einen wichtigen Einblick in die Relevanz, Häufigkeit und Probleme der Fallback-Authentifizierung im Alltag der Nutzer. (2) Sie stellt eine klare Definition für den Begriff der Fallback-Authentifizierung bereit, um Authentifizierungssysteme anhand verschiedener Eigenschaften wie Nutzerfreundlichkeit und Sicherheit zu klassifizieren. (3) Sie diskutiert die Vor- und Nachteile verschiedener autobiographischer Erinnerungen anhand von Beispielimplementierungen und gibt darauf basierend Empfehlungen zu deren Nutzung und Evaluierung im Kontext der Fallback-Authentifizierung

Fast methods for authentication of organic plant based foods

Im AuthenticFood Projekt wurde eine breite Palette von analytischen Methoden entwickelt und für die Authentifizierung von organischen Pflanzenerzeugnissen validiert. Diese wurden auf Pflanzenproben aus dänischen und italienischen Feldversuche eingesetzt. Es wurde gezeigt, dass mehrere Analyseverfahren das Potenzial haben, die geographische und / oder den landwirtschaftlichen Ursprung pflanzlicher Produkte zu zeigen. Die Element-Fingerprint-Analyse eignet sich besonders für die Bestimmung der geografischen Herkunft. Hier können die Messungen den Einfluss der Bodenmineralogie an verschiedenen geographischen Standorten in Europa auf die Pflanze zeigen. Beim Zoomen auf einzelne Elemente mit stabiler Isotopen-Analyse ist es auch möglich zu zeigen, wie eine Pflanze gedüngt wurde - vor allem, wenn die Konzentration auf Isotopen bestimmter Pflanzenstoffe wie Aminosäuren und Sauerstoff erfolgt. Metabolomic-Verfahren (Profiling) eignen sich zur Unterscheidung zwischen ökologischen und konventionellen Pflanzenerzeugnisse, wenn sie mit multivariater Statistik kombiniert werden. Die folgenden Ergebnisse wurden während der AuthenticFood Projekt erzielt: - Es hat sich gezeigt, dass die Analyse von Pestizidrückständen nicht ausreichend empfindlich ist, um den landwirtschaftlichen Ursprung von pflanzlichen Produkten zu dokumentieren. - Mehrere neuartige Analyseverfahren zur Authentifizierung von ökologischen Pflanzenproben sind entwickelt und veröffentlicht worden. - Element-Fingerprint-Analyse von Pflanzenproben zeigt ihre geographischen Herkunft. Dazu sind neuartige analytische Methoden getestet worden. - Stabile Isotopenanalyse von Stickstoff, Wasserstoff, Kohlenstoff und Sauerstoff haben sich als geeignet für die Unterscheidung ökologischer und konventioneller Pflanzenproben erwiesen, vor allem bei stabilen Isotopen in bestimmten Pflanzenstoffen. - Metabolomic-Profiling kombiniert mit multivariater Statistik können ökologisch und konventionell angebauten Weizen und Tomaten unterscheiden. - Das AuthenticFood Projekt hat zu mehreren neuen Kooperationen und internationalen Projekte geführt, die auf die praktische Umsetzung der neuen Verfahren für die Authentifizierung ausgerichtet sind

Usability, Sicherheit und Privatsphäre von risikobasierter Authentifizierung

Risikobasierte Authentifizierung (RBA) ist eine adaptive Sicherheitsmaßnahme zur Stärkung passwortbasierter Authentifizierung. Sie zeichnet Merkmale während des Logins auf und fordert zusätzliche Authentifizierung an, wenn sich Ausprägungen dieser Merkmale signifikant von den bisher bekannten unterscheiden. RBA bietet das Potenzial für gebrauchstauglichere Sicherheit. Bisher jedoch wurde RBA noch nicht ausreichend im Bezug auf Usability, Sicherheit und Privatsphäre untersucht. Dieser Extended Abstract legt das geplante Dissertationsvorhaben zur Erforschung von RBA dar. Innerhalb des Vorhabens konnte bereits eine Grundlagenstudie und eine darauf aufbauende Laborstudie durchgeführt werden. Wir präsentieren erste Ergebnisse dieser Studien und geben einen Ausblick auf weitere Schritte

Architektur des Oracle Application-Server 4.0.8 und seine Einsatzmöglichkeiten für HTTP-, EJB- und CORBA-Anwendungen

Die vorliegende Diplomarbeit beschäftigt sich ausführlich mit dem Thema Application- Server. Dabei wird speziell auf den Oracle Application-Server (OAS) eingegangen. Dem Leser soll die Architektur des OAS verständlich gemacht werden, sowie ein Überblick über die Einsatzmöglichkeiten gegeben werden. Für die ausführliche Darstellung der einzelnen Themen ist die vorliegende Diplomarbeit in drei Teile eingeteilt. Im ersten Teil dieser Diplomarbeit erhält der Leser eine Einführung in die grundlegenden Begriffe und Technologien, die notwendig sind, um die Funktionsweise eines Application-Server im WWW oder im Intranet verstehen zu können. Dazu werden die technologischen Grundlagen des Internet wie TCP/IP und World Wide Web behandelt. Es folgt ein Einblick in die verschiedenen Netzwerkarchitekturen. Abgeschlossen wird dieser Teil mit einem kurzen Überblick über die Komponentenmodelle CORBA und Enterprise JavaBeans. Im zweiten Teil dieser Diplomarbeit wird der Oracle Application-Server in der Version 4.0.8.1 vorgestellt. Nach einer Einführung in das Thema Application-Server wird die Architektur des OAS beschrieben. Daran anschließend werden die Middleware-Funktionen des OAS behandelt, wie Skalierbarkeit, Datenbankzugriff, Interaktionsmodelle und Sicherheitsaspekte. Zum Abschluss dieses Teils werden dem Leser anhand von Beispielen die Einsatzmöglichkeiten des OAS dargestellt, also welche Arten von Anwendungen auf dem OAS eingesetzt werden können. Im dritten Teil wird die Anwendung "OnlineTicket" beschrieben, die für diese Diplomarbeit entwickelt wurde. Diese Anwendung unterstützt den Vertrieb von Tickets für Veranstaltungen

E-Identität als Schlüssel zu den Dienstleistungen des digitalen Archivs

Mit Implementierung der EU-Verordnung Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS) entwickelt sich auf nationaler Ebene die Infrastruktur, die den Bürgerinnen und Bürgern mit eID den Zugriff zu elektronischen Verfahren der öffentlichen Verwaltung ermöglicht. Das Archivportal soll in diesem Fall nicht nur die Einsicht in die digitalen Archivalien gewährleisten, sondern erbringt auch mit Hilfe des "Registers für Rechte und Zuständigkeiten" seine Dienstleistungen für die Provenienzstellen zur Überlieferung oder Recherche. Der Beitrag stellt das organisatorische Konzept des digitalen Archivs für qualifizierten Fernzugriff der öffentlichen Verwaltung vor

Drahtlose Netzwerke

Dieses Modul bietet eine aktuelle Übersicht der drahtlosen Netzwerke im Allgemeinen und der drahtlosen LAN-Netzwerke im Besonderen. Es beschreibt die Grundlagen der verschiedenen drahtlosen Technologien, ihre Hauptcharakteristiken, die Sicherheitsproblematik sowie Vorund Nachteile und Anwendungen.Postprint (published version

Mit Potenzialanalysen die richtigen Verwaltungsdienstleistungen digitalisieren

Bei der „Potenzialanalyse zur Digitalisierung von Verwaltungsdiensten nach außen“ werden alle Dienstleistungen der Behörde für Umwelt und Energie (BUE) und der Behörde für Stadtentwicklung und Wohnen (BSW), die beide aus der ehemaligen Behörde für Stadtentwicklung und Umwelt (BSU) hervorgingen, mit und ohne verwaltungsrechtlicher Außenwirkung, deren Eignung für eine prozessoptimierte Nutzbarkeit von E-Government-Angeboten gegeben ist, erfasst und ausgewertet. Dies soll unter Beachtung von Bundes- und Landesrecht sowie dem sogenannten Leistungskatalog der öffentlichen Verwaltung (LeiKa) erfolgen, der vom Bund in Zusammenarbeit mit den Ländern erstellt wird. Geprüft werden sollen jeweils eine mögliche Nutzung bestehender Infrastrukturlösungen der FHH oder eigens dafür bereitgestellter technischer Lösungen der eigenen oder anderer Fachbehörden, des Bundes, anderer Länder oder öffentlicher Einrichtungen. Das Ziel der Potenzialanalyse besteht darin • Verwaltungsdienste zu ermitteln, welche sich für die Steigerung der Attraktivität von Online-Diensten und der Anzahl von medienbruchfreien Serviceprozessen eignen, um zunehmend mehr Bürgerinnen und Bürger für diese Art der Kommunikation mit der Verwaltung zu gewinnen • die Entwicklung und Bereitstellung von Online-Dienstleistungen zu professionalisieren. Dabei sollen die Prozesse zukünftig zur Arbeitsentlastung in den Fachbereichen und somit zur Kostensenkungen führen. Im Fokus stehen eine höhere Servicequalität und ein effizienterer Ressourcenverbrauch • potenzielle Online-Verfahren zu identifizieren, kritisch zu analysieren, zu dokumentieren und auf eine Neustrukturierung der Abläufe bei Nutzung einer digitalen Lösung zu überprüfen. Identifizierte Verwaltungsdienste sind nach Priorität, Kosten/Nutzen und möglicher technischer Lösung zu katalogisierten. Dabei sind möglichst viele Dienstleistungen in unterschiedlichen „Unterstützungsgraden“ für den Bürger und die Wirtschaft zu erfassen. Es ist nicht zwingend notwendig, komplette Lösungen z.B. im Sinne einer vollständigen Integration in ein bestehendes Fachverfahren mit automatischer abschließender Bearbeitung von Fällen zu konzipieren. Das Lösungsspektrum kann von der Bereitstellung eines Formulars bis hin zu einer Kommunikation zwischen Bürger und Verwaltung mit abschließender Bearbeitung reichen Bei der Identifizierung der Prozesse soll jede Option denkbar sein, von der Nutzung des sog. „Antrags- und Fallmanagements“, über die Einführung von bereits bestehenden Lösungen, bis hin zur Eigenentwicklung. Unter Berücksichtigung relevanter Qualitäts- und Kostenaspekte soll die günstigste Lösung für die Umsetzung und den Betrieb vorgeschlagen werden

DoVinci

Die Projektgruppe 544: DoVinci entwickelt ein Campus-Infrastruktur-System mit dem sich Personen auf dem Campus Anwendungen herunterladen und diese auf ihrem (mobilen) Endgerät ausführen können. Diese Anwendungen werden in Form von Appliances (Betriebssystem + Anwendung) bereitgestellt, was dazu führt, dass Installation und Wartung von der Rolle des Benutzers entkoppelt werden. Stattdessen wird auf dem Betriebssystem des Nutzers eine virtuelle Umgebung erzeugt, in welcher das Appliance-Betriebssystem, und damit auch die Anwendung, gestartet wird. Die Vorteile von Virtualisierung sind Isolation vom Nutzersystem (Schutz) sowie eine definierte Betriebssystemumgebung (Dediziertheit) für die Anwendung in der Appliance. Dabei liegt ein Schwerpunkt bei der Verringerung des Datenvolumens sowohl für die erste heruntergeladene Appliance, als auch für weitere Appliances und Updates. Mittel hierzu sind Maßschneiderung (Weglassen nicht benötigter Dateien und Programme) und Sharing (gemeinsame Dateinutzung). Maßschneiderung optimiert Appliances bezüglich Platzbedarf und verringert so das Übertragungsvolumen des ersten Downloads. Sharing zwischen Appliances bedeutet, dass alle Appliances auf einen gemeinsamen Datenspeicher zugreifen. Beim Download einer weiteren Appliance müssen bereits vorhandene Daten nicht heruntergeladen werden. So wird das Übertragungsvolumen weiterer Appliances reduziert. Um die oben genannten Ziele zu erreichen, werden im Rahmen von DoVinci verschiedene Techniken untersucht, verglichen und gegebenenfalls implementiert. Dazu gehören Wege zur Dienstfindung im WLAN, plattformunabhängiger Up-/Download mit Synchronisation, Maßschneiderung, Sharing und verschiedene Virtualisierungslösungen

“YourSights” – Konzeptionierung und Realisierung einer Geodaten-gestützten Informationsanwendung für Smartphones

Der Smartphone-Markt gehört zu einem der am stärksten wachsenden Märkte der heutigen Zeit. Zudem erfreuen sich Anwendungen mit soziotechnischen Aspekten wie YouTube und Facebook immer größer werdender Beliebtheit. Genau hier siedelt Your-Sights an. Dabei wurde im Rahmen eines Projekts eine Software für das Smartphone-Betriebssystem Android konzipiert und entwickelt, welche in der Lage ist Touren, bzw. eine Menge von Wegpunkten zu erstellen, wiederzugeben und zu verwalten. Neben obligatorischen GPS-Koordinaten können für jeden Wegpunkt textuelle und visuelle Informationen, in Form von Bildern, erfasst werden. Für die kartografische Darstellung wird auf das OpenStreetMap-Projekt zurückgegriffen. Im Rahmen dieser Bachelor-Thesis wird das Projekt fortgesetzt und auf die Konzeptio-nierung und Entwicklung einer Middleware eingegangen, welche eine Brücke zwischen den Anwendern und einer Datenbank bildet. Letztere dient nicht nur dem Austausch von Touren, sondern ermöglicht auch eine Kommunikation unter den Anwendern. Dabei wurde Wert auf die Evaluation einer adäquaten Kommunikationstechnologie für den Datenaustausch zwischen dem Anwender und der Middleware gelegt. Schließlich erfolgte der Einsatz des Java NIO-Frameworks Netty und die Entwicklung eines Kommunikationsprotokolls. Darüber hinaus wird auf notwendige Änderungen und Erweiterungen der Android-Applikation, als auch eine prototypische Entwicklung des Servers eingegangen.The smartphone market belongs to the strongly growing markets today. Furthermore are applications with socio-technical aspects enjoying great popularity. YourSights sets up at this point. In the context of a practical project, an Android-application has been designed and developed that is able to record, play and manage trips, which are represented as an amount of waypoints. Along with obligatory GPS coordinates, describing texts and pictures can be applied to a waypoint. For a cartographic representation Your-Sights reverts to the OpenStreetMap project. The project has been carried forward within the scope of this bachelor thesis. Conceptual design and development of a middleware, that connects the clients and a database, represents the central point of this paper. The last one not only serves the interchange of trips but also makes communication between users possible. It was attached importance to an evaluation of adequate communication technologies for data interchange. Finally the Java NIO framework Netty and a specially developed communication protocol was applied. Furthermore necessary changes and developments related to the android application and a prototypical server implementation are described