Welcome to the User-Centered Security Research Group, a joint working group of the h_da/Faculty of Computer Science and the Institute of Computer Science/WG Identity Management at FU Berlin.

We investigate how to designbuild and evaluate usable and secure interactive/collaborative software and IT-systems that people will trust based on established/novel IT-Security and/or HCI principles and mechanisms. See projects to find out more.

In addition, we support the CTF-Team at our faculty.

We are affiliated with the IT-Security devision at h_da/CS Faculty, the z.a.i, and the Center for Research in Security and Privacy (CRISP).

News

Paper accepted at Open Identity Summit 2017

Our paper Design and Implementation Aspects of Mobile Derived Identities by Daniel Träder, Alexander Zeier, and Andreas Heinemann was accepted at the Open Identity Summit 2017. The conference will take place 5th and 6th of October in Karlstad, Sweden.

Design and Implementation Aspects of Mobile Derived Identities

With the ongoing digitalisation of our everyday tasks, more and more eGovernment services make it possible for citizens to take care of their administrative obligations online. This type of services requires a certain assurance level for user authentication. To met these requirements, a digital identity issued to the citizen is essential. Nowadays, due to the widespread of smartphones, often mobile user authentication is favoured. This naturally supports for two-factor authentication schemes (2FA). We use the term mobile derived identity to stress two aspects: a) the identity is enabled for mobile usage and b) the identity is somehow derived from a physical or digital proof of identity. This work reviews 21 systems that support mobile derived identities. One subset of the considered systems are already in place (public or private sector in Europe), another subset belongs to research. We found that research prefers the storage of identity data on the mobile device itself whereas real world systems rely on cloud storage. 2FA is common in both worlds, however biometrics as second factor is rather the exception.

Two papers accepted at D-A-CH Security 2017

Our two papers Zur Wirksamkeit von Security Awareness Maßnahmen by G. Schembre and A. Heinemann and Design- und Implementierungsaspekte mobiler abgeleiteter IDs by D. Träder, A. Zeier and A. Heinemann were accepted at the D-A-CH Security 2017. The conference will take place 5th and 6th of September in Munich.

Zur Wirksamkeit von Security Awareness Maßnahmen

Im Rahmen einer elfwöchigen Studie bei einem mittelständigen Unternehmen wurde untersucht, ob das Investment in ein Präsenztraining zur Verbesserung der Security Awareness mit Fokus auf E-Mail- Phishing-Angriffe lohnenswert ist. Das erstellte Präsenztraining wird mit kostengünstig erwerbbaren Online-Lernspielen verglichen. Die Auswertung der Daten zeigt, dass beide Maßnahmen sich positiv auf das Verhalten der Mitarbeiter auswirken, jedoch die Verbesserungen durch das Präsenztraining überwiegen. Hierbei ist auffällig, dass bei einer freiwilligen Teilnahme die Motivation, eigenständig ein Online-Lernspiel zu absolvieren sehr gering ist. Bemerkenswert ist ebenfalls, dass allein das Versenden von fingierten Phishing-E-Mails zu einer Sensibilisierung der Mitarbeiter führt.

Design- und Implementierungsaspekte mobiler abgeleiteter IDs

Durch die immer weiter voranschreitende Digitalisierung können mehr und mehr unserer alltäglichen Aufgaben online erledigt werden. Dies schließt auch eGovernment-Dienste ein, welche definierte Anforderungen an die Sicherheit stellen. Um diese Anforderungen zu erfüllen, müssen digitale Identitäten an die Bürger ausgestellt werden. Zusätzlich ist eine 2-Faktor-Authentifizierung (2FA) essentiell, um ein ausreichendes Vertrauensniveau zu erreichen. Durch die hohe Verbreitung von Smartphones wird die mobile Nutzung von Online-Diensten immer beliebter. Diese unterstützen die 2FA auf natürliche Weise. Der Begriff mobile abgeleitete Identität bezeichnet eine Identität, die a) auf einem mobilen Gerät verwendet werden kann und b) von einem physikalischen oder digitalen Identitätsnachweis abgeleitet wurde. Diese Arbeit untersucht 21 Systeme, welche mobile abgeleitete Identitäten zur Authentifizierung der Nutzer verwendet. Dabei werden sowohl Systeme betrachtet, die sich bereits im Einsatz befinden (im öffentlichen sowie privaten Sektor) als auch wissenschaftliche Arbeiten. Dabei konnten wir erkennen, dass die bereits genutzten Systeme in der Regel eine Speicherung der Identitäten in der Cloud bevorzugen, während die Forschung eine lokale Speicherung bevorzugt. 2FA wird von beiden gleichermaßen unterstützt, wobei biometrische Verfahren die Ausnahme sind.

Daniel Träder defended his Master’s Thesis on “FIDO-konforme abgeleitete eID im E-Government”

We congratulate Daniel Träder for successfully defending his Master’s Thesis with the title “FIDO-konforme abgeleitete eID im E-Government” last Tuesday.

Abstract: An online identification of a user often works with user name and password. This method is increasingly viewed as unsafe, but alternative technologies are not yet widely used. The Identity Card (nPA) in Germany also includes these alternative technologies. This provides the user with a standardized method of being identified in on-line procedures compliant with the official directives. This offer is currently not well accepted by the citizens. One reason is a lack of usability, which is caused by the provided system. The poor circulation of card readers is a challenge. In this context, the work examines the possibility of addressing new user groups by means of derived identities and making the authentication more user-friendly. Challenges are presented in the integration and implementation of a system with derived identities. In particular, substantial assurance level according to BSI definition is aimed at. Various solutions for derived identities, which are used in the European states and scientific work on the subject, are considered. The result is an architecture that uses a bank as identity provider. The Payment Services Directive 2 (PSD2) of the European Union was selected as the basis and an interface was designed and implemented according to this. This architecture fulfills the prerequisites for the assurance level substantial. In addition, the introduction of the new assurance level substantial is discussed for the “Servicekonto”, the necessary changes are described and implemented in the prototype. It is shown that an online authentication can be made trustworthy and usable, and at the same time more user groups can be addressed. For the achievement of the substantial assurance level, changes are essential to the system in which the prototype is to be integrated.