Nowadays, replacing traditional authentication methods with authentication and authorization infrastructures (AAIs) comes down to trading several passwords for one master password, which allows users to access all services in a federation. Having only one password may be comfortable for the user, but it also raises the interest of potential impostors, who may try to overcome the weak security ...
Abstract (English)
Nowadays, replacing traditional authentication methods with authentication and authorization infrastructures (AAIs) comes down to trading several passwords for one master password, which allows users to access all services in a federation. Having only one password may be comfortable for the user, but it also raises the interest of potential impostors, who may try to overcome the weak security that a single password provides. A solution to this issue would be a more-factor AAI, combining the password with a biometric method of authentication that can work on the internet. The model presented in this work is based on typing behaviour biometrics, which can recognize a user by the way he/she types. This biometric method uses the keyboard as a sensor and is a pure software solution that can function in a web browser. Due to the fact that biometrics do not require any knowledge-based features (like passwords), biometric AAIs based on typing behaviour are comfortable for the user. Also, no special devices (like tokens) are necessary for the authentication. Additionally, biometric AAIs provide high protection against attacks by uniquely assigning a username to a certain person. These advantages make biometric AAIs interesting for practical use. As common AAIs were not especially designed to be used with biometrics, their architectures do not foresee specific biometric issues like the process of enrolment on different servers, template aging and synchronisation of biometric data (e.g. for the purpose of recognizing replay attacks). They also do not include methods of delivering information about the quality of biometric data upon the login process. A part of this research will concentrate itself upon the problems of biometrics in combination with AAIs, which will be studied both at the level of the typing behaviour biometric as well as at the level of AAIs. For this, different AAI architectures will be investigated in order to see whether they permit the use of biometrics as authentication technology and to research the necessary changes in their architectures in order to provide a reference model for a biometric AAI.
Translation of the abstract (German)
Heute bedeutet der Ersatz von traditionellen Authentisierungsverfahren durch Authentisierungs- und Autorisierungs-Infrastrukturen (AAI) lediglich den Wechsel von mehreren Passwörtern auf ein einziges Master-Passwort, welches es den Benutzern erlaubt, auf alle Dienste in der Föderation zuzugreifen. Nur ein Passwort zu haben mag für den Benutzer bequem sein, es erweckt jedoch verstärkt dass ...
Translation of the abstract (German)
Heute bedeutet der Ersatz von traditionellen Authentisierungsverfahren durch Authentisierungs- und Autorisierungs-Infrastrukturen (AAI) lediglich den Wechsel von mehreren Passwörtern auf ein einziges Master-Passwort, welches es den Benutzern erlaubt, auf alle Dienste in der Föderation zuzugreifen. Nur ein Passwort zu haben mag für den Benutzer bequem sein, es erweckt jedoch verstärkt dass Interesse potentieller Angreifer, die die schwache Sicherheit, die ein Passwort bietet, zu umgehen versuchen können. Eine Lösung für dieses Problem bietet eine Mehr-Faktor-AAI, die das Passwort mit einer internetfähigen biometrischen Authentisierungsmethode vereint. Das hier vorgestellte Modell basiert auf Tippverhaltensbiometrie. Diese biometrische Methode nutzt die Computertastatur als Sensor und ist eine reine Softwarelösung, die in einem Webbrowser funktioniert. Da Biometrien keine wissensbasierten Merkmale (wie Passwörter) abfragen, ist eine biometrische AAI für den Nutzer komfortabel. Auch werden keine zusätzlichen Geräte, wie Tokens, für die Authentisierung hinzugezogen. Eine biometrische AAI bietet einen hohen Schutz gegen Angriffe, indem sie einen Benutzernamen einer einzigen Person zuordnet. Diese Vorteile machen eine biometrische AAI für den praktischen Gebrauch erwägenswert. Da herkömmliche AAI nicht speziell auf den Gebrauch mit Biometrien ausgelegt sind, sehen ihre Architekturen keine besonderen biometrischen Anforderungen vor, wie etwa Enrolment auf unterschiedlichen Servern, Profilalterung und Synchronisation von biometrischen Daten (z.B. für die Erkennung von Replay Angriffen). Sie beinhalten auch keine Verfahren dazu, die Qualität von biometrischen Daten beim Login Vorgang zu beurteilen. Ein Teil dieser Arbeit beschäftigt sich damit, die möglichen Probleme von Biometrien mit AAI auf beiden Ebenen zu beleuchten. Hierzu werden unterschiedliche AAI Architekturen darauf hin untersucht, ob sie den Einsatz von Biometrien als Authentisierungs-Technologie erlauben. Es wird im Detail darauf eingegangen, welche notwendigen Änderungen in beiden Architekturen vorgenommen werden müssen, um ein Referenzmodell für eine biometrische AAI zu schaffen.