Forschung am Fachgebiet Usable Security and Privacy

© Quelle: Christian Malsch / LUH
Quelle: Christian Malsch / LUH

Die folgenden Projekte vermitteln einen Überblick über die Forschung in unserem Fachgebiet. (Einen aktuelleren Einblick liefert die Publikationsliste.)


Benutzbarkeit von Risiko-basierter Authentifizierung

Es ist absehbar, dass passwortbasierte Authentifizierung in naher Zukunft nicht (vollständig) durch Alternativen ersetzt werden wird. Konsequenterweise muss die existierende passwortbasierte Authentifizierung anderweitig verstärkt werden, z.B. durch das Miteinbeziehen weiterer Faktoren jenseits des Passwortes.

Risiko-basierte Authentifizierung schützt Accounts wenn ein unbekanntes Gerät oder anderweitig ungewöhnlicher Login-versuch festgestellt wird. In einem solchen Fall werden dann z.B. weitere Authentifizierungsfaktoren abgefragt, oder der Nutzer über ungewöhnliche Loginversuche informiert um weitere Maßnahmen zu treffen.

  • More Than Just Good Pass­words? A Study on Usa­bi­li­ty and Se­cu­ri­ty Per­cep­ti­ons of Risk-ba­sed Au­then­ti­ca­ti­on – ACSAC 2020
  • Eva­lua­ti­on of Risk-ba­sed Re-Au­then­ti­ca­ti­on Me­thods – IFIP SEC 2020
  • Is This Re­al­ly You? An Em­pi­ri­cal Study on Risk-Ba­sed Au­then­ti­ca­ti­on Ap­p­lied in the Wild – IFIP SEC 2019
  • Who Are You? A Sta­tis­ti­cal Ap­proach to Me­a­su­ring User Au­then­ti­ci­ty – NDSS 2016

 

Lon­gi­tu­di­nales Pri­va­cy-Ma­nage­ment: Re­vo­ca­ti­on von On­line Data

Sobald Daten online veröffentliche wurden besteht wenig Hoffnung die Daten zu einem späteren Zeitpunkt wieder vollständig zu löschen. Dies hat (negative) Auswirkungen auf die Privatheit von Nutzern. Wir untersuchen Möglichkeiten dieses Problem zu lösen, durch eine Kombination von technischen, rechtlichen, und gesellschaftlichen Maßnahmen.

  • SoK: Ma­na­ging Lon­gi­tu­di­nal Pri­va­cy of Pu­bli­cly Shared Per­so­nal On­line Data – PETS 2021
  • Towards Contrac­tu­al Agree­ments for Re­vo­ca­ti­on of On­line Data – IFIP SEC 2019
  • User Per­cep­ti­on and Ex­pec­ta­ti­ons on De­le­ting In­stant Mes­sa­ges – Eu­roUS­EC 2018
  • Neu­ra­ly­zer: Fle­xi­ble Ex­pi­ra­ti­on Times for the Re­vo­ca­ti­on of On­line Data – CO­DAS­PY 2016

 

Privacy Norms im Kontext einer globalen Pandemie

  • Ak­zep­tanz von Coro­na-Apps in Deutsch­land vor der Ein­füh­rung der Coro­na-Warn-App

 

Benutzbare und sichere Online-Authentifizierung 

Passwörter sind immer noch die verbreitetste Methode der Authentifizierung online, obwohl sie regelmäßig für "tot" erklärt werden. Unser Ziel ist es, passwortbasierte Authentifizierung sicherer zu machen, ohne ihre Benutzbarkeit zu schmälern.

  • “You still use the pass­word after all” – Ex­plo­ring FIDO2 Se­cu­ri­ty Keys in a Small Com­pa­ny – SOUPS 2020
  • On the Ac­cu­ra­cy of Pass­word Strength Me­ters – CCS 2018
  • De­si­gning Pass­word-Reu­se No­ti­fi­ca­ti­ons – CCS 2018
  • Towards Im­pli­cit Vi­su­al Me­mo­ry-Ba­sed Au­then­ti­ca­ti­on – NDSS 2017

 

Authentifizierung auf Mo­bi­len Geräten

Mobile Geräte stellen besondere Anforderungen in Bezug auf Benutzerauthentifizierung: Die Eingabe von Passwörtern ist deutlich erschwert, die Verwendung von Touchscreens für graphische Passwortverfahren aber in der Regel gut geeignet. Typische Smartphones besitzen zahlreiche Sensoren, die neue Formen der Benutzerauthentifizierung erlauben. Wir interessieren uns für die Auswirkungen auf die Sicherheit und Benutzbarkeit, die diese Änderungen ergeben.

  • This PIN Can Be Ea­si­ly Gues­sed: Ana­ly­zing the Se­cu­ri­ty of Smart­pho­ne Un­lock PINs – SP 2020
  • Emo­ji­Auth: Quan­ti­fy­ing the Se­cu­ri­ty of Emo­ji-ba­sed Au­then­ti­ca­ti­on – USEC 2017
  • On User Choice for An­dro­id Un­lock Pat­terns – Eu­roUS­EC 2016
  • Quan­ti­fy­ing the Se­cu­ri­ty of Gra­phi­cal Pass­words: The Case of An­dro­id Un­lock Pat­terns – CCS 2013