Vor kurzem wurde unser Paper [1] über das Authentication Analysis Framework (AAF) bei Elsevier COSE akzeptiert und veröffentlicht. Aber worum geht es überhaupt? Benutzerkonten im Internet unterstützen meist unterschiedliche Authentifizierung- und Fallbackmethoden. Fallbackmethoden greifen dann, wenn die primären Authentifizierungsmethoden nicht möglich sein, beispielsweise weil das Passwort vergessen wurde. Die Fallbackmethoden sind vorher festgelegt und können je nach Webseite auch konfiguriert werden. Ein typisches Beispiel ist eine Sicherheitsfrage. Die Sicherheit von Konten ist immer so gut wie das schwächste Glied – und das können Fallbackmethoden sein. Die Fallbackmethode muss nicht einmal vom besagten Konto stammen, sondern kann bei einem verknüpften Konto innerhalb eines Benutzerkontennetzwerkes konfiguriert sein.
Um das Problem genauer zu analysieren, haben Nils Gruschka, Leonhard Ziegler, André Büttner und ich basierend auf Literatur jeweils ein Maturity Model für Authentifizierungs- und Fallbackmethoden abgeleitet. Diese sind grob-granular, um sie in der weiteren Analyse besser händeln zu können. Während User Account Access Graphs von Hammann et al. [2] eine erste systematische Analyse von Benutzerkonten zulässt, untersuchen wir Authentifizierungs- und Fallbackmethoden getrennt voneinander, da sie in der Realität mehrheitlich unterschiedlich sind. Zudem bieten wir jeweils eine Analyse der Sicherheit und der Zugreifbarkeit (accessibility). Hierfür verwenden wir u.a. die Maturity Models. Schon bei der Modellierung eines einfachen Kontos bei Google zeigt sich, dass Probleme bei der Fallbackmethode bei einem Konto sich auf andere Konten auswirken kann, da häufig E-Mail-Adressen als unsicherer Fallback eingesetzt werden.
Um einen Austausch der Daten zu ermöglichen, stellen wir ein erstes Austauschformat vor. Zudem haben wir zwei Proof-of-Concept Implementierungen, einmal für Endnutzer und einmal für Wissenschaftler. Insbesondere die für Endnutzer, ein Plugin für KeePass, muss in weiteren Arbeiten noch verbessert werden, um es der breiten Öffentlichkeit zugänglich machen zu können. Das Tool für Wissenschaftler wollen wir selbst nutzen, um Benutzerkonten(netzwerke) noch genauer zu analysieren. Source Code, Maturity Models und Beschreibungssprache sind in unserem GitHup Projekt [3] zu finden.