Authentifizierung im 21. Jahrhundert – Eine Einführung in benutzbare Sicherheit

60 Präsenzstunden, 90 Stunden Eigenarbeit zur Vor-/Nachbereitung und Prüfungsvorbereitung

Grundkenntnisse in Human-Computer Interaktion und Programmierung; Erfahrung mit Android-Programmierung hilfreich

In einem Zeitalter in welchem Computer und Displays allgegenwärtig sind und uns jederzeit und überall Zugriff auf sensitive Inhalte – sowohl auf persönlichen Geräten als auch in der Cloud – ermöglichen, sind Mechanismen zu deren Schutz von zentraler Bedeutung. Dabei sind die heute verwendeten Mechanismen aufgrund fundamentaler Veränderungen im Benutzerverhalten oft nicht mehr zeitgemäß. Benutzer verwenden meist mehr Passwörter als sie sich merken können und greifen häufig auf sensitive Daten zu (ca. 200 Entsperrvorgänge auf dem Smartphone pro Tag). Neue Mechanismen müssen zugleich sicher sein, sowie sich an die gegebenen Rahmenbedingungen anpassen. Dabei wird zunehmend klar, dass Technologie alleine keine Lösung für die mit dieser Entwicklung verbundenen Anforderungen an Sicherheit und Datenschutz bereitstellen kann. Vielmehr spielen menschliche Faktoren eine wesentliche Rolle. Dies führt dazu, dass Experten für Sicherheit und Datenschutz ein Verständnis dafür benötigen, wie Menschen mit den von Ihnen entwickelten Systemen interagieren. In diesem Kurs werden anhand von Beispielen Probleme in der Konzeption und dem Design von sicheren Benutzeroberflächen dargestellt. Zudem wird den Studierenden das Wissen zur Durchführung von Studien vermittelt, welche zum Ziel haben, neue Mechanismen hinsichtlich ihrer Benutzbarkeit und Sicherheit zu untersuchen. Der Kurs richtet sich sowohl an Studierende welche sich für Sicherheit interessieren und zusätzlich mehr über die Benutzbarkeit von Sicherheitsmechanismen wissen möchten sowie auch an Studierende, die sich für Usability interessieren, zugleich aber mehr über Sicherheit und Datenschutz erfahren möchten. Es wird erwartet, dass Teilnehmer als Vorbereitung auf die Veranstaltung wissenschaftliche Artikel lesen. Begleitet wird die Veranstaltung von Übungen sowie einem abschließenden Gruppenprojekt.

Einführung und Terminologie Entwicklung und Testen von Sicherheitsmechanismen Experimentaldesign, Ethik und Validität Forschungsmethoden in Benutzbarer Sicherheit Analyse qualitativer und quantitativer Daten Benutzersicht, Risikowahrnehmung und Entscheidungen
Passwörter und Angriffsszenarien Tools für Anonymisierung und Datenschutz Mentale Modelle von Sicherheit und Datenschutz Benutzbare Sicherheit in sicherheitskritischen Systemen

Beamer, Tafel

Research Methods in Human-Computer Interaction. Jonathan Lazar, Jinjuan Heidi Feng, Harry Hochheiser

Alma Whitten and J.D. Tygar. Why Johnny Can't Encrypt: A Usability Evaluation of PGP 5.0. In Proceedings of the 8th USENIX Security Symposium, 1999. (USENIX '99)

Lorrie Faith Cranor. A Framework for Reasoning About the Human in the Loop. In Proceedings of the 1st Conference on Usability, Psychology, and Security, 2008. (UPSEC '08)

Allison Woodruff, Vasyl Pihur, Sunny Consolvo, Lauren Schmidt, Laura Brandimarte, and Alessandro Acquisti. Would a Privacy Fundamentalist Sell Their DNA for $1000...If Nothing Bad Happened as a Result? The Westin Categories, Behavioral Intentions, and Consequences. In Proceedings of the Tenth Symposium on Usable Privacy and Security, 2014. (SOUPS '14)

B. Ur, F. Noma, J. Bees, S. Segreti, R. Shay, L. Bauer, N. Christin, L Cranor. "I Added '!' At The End To Make It Secure": Observing Password Creation in the Lab. (SOUPS’15).

Marian Harbach, Emanuel von Zezschwitz, Andreas Fichtner, Alexander De Luca, and Matthew Smith. It's a Hard Lock Life: A Field Study of Smartphone (Un)Locking Behavior and Risk Perception. In Proceedings of the Tenth Symposium on Usable Privacy and Security, 2014. (SOUPS '14)

Robert Biddle, Sonia Chiasson, and P.C. van Oorschot. Graphical Passwords: Learning from the First Twelve Years. In ACM Computing Surveys, Volume 44, Issue 4, August 2012.

Shrirang Mare, Mary Baker, Jeremy Gummeson. A study of authentication in daily life. (SOUPS’16).

Adrienne Porter Felt, Elizabeth Ha, Serge Egelman, Ariel Haney, Erika Chin, and David Wagner. Android Permissions: User Attention, Comprehension, and Behavior. (SOUPS’12)