Welcome to the User-Centered Security Research Group, a joint working group of the h_da/Faculty of Computer Science and the Institute of Computer Science/WG Identity Management at FU Berlin.

We investigate how to designbuild and evaluate usable and secure interactive/collaborative software and IT-systems that people will trust based on established/novel IT-Security and/or HCI principles and mechanisms. See projects to find out more.

In addition, we support the CTF-Team at our faculty.

We are affiliated with the IT-Security devision at h_da/CS Faculty, the z.a.i, and the Center for Research in Security and Privacy (CRISP).

News

Paper accepted at GI-Sicherheit 2018

Our paper Auf dem Weg zu sicheren abgeleiteten Identitäten mithilfe der Payment Service Directive 2 by Daniel Träder, Alexander Zeier, and Andreas Heinemann was accepted at the GI-Sicherheit 2018. The conference will take place 25th – 27th of April in Konstanz, Germany.

Auf dem Weg zu sicheren abgeleiteten Identitäten mithilfe der Payment Service Directive 2

Online-Dienste erfordern eine eindeutige Identifizierung der Benutzer und somit eine sichere Authentisierung. Insbesondere eGovernment-Dienste innerhalb der EU erfordern eine starke Absicherung der Benutzeridentität. Auch die mobile Nutzung solcher Dienste wird bevorzugt. Das Smartphone kann hier als einer der Faktoren für eine Zwei-Faktor-Authentifizierung dienen, um eine höhere Sicherheit zu erreichen. Diese Arbeit schlägt vor, den Zugang und die Nutzung einer abgeleiteten Identität mit einem Smartphone zu sichern, um es dem Benutzer zu ermöglichen, sich auf sichere Weise gegenüber einem Online-Dienst zu identifizieren. Dazu beschreiben wir ein Schema zur Ableitung der Identität eines Benutzers mithilfe eines Payment Service Providers (PSP) unter Verwendung der Payment Service Directive 2 (PSD2) der Europäischen Union. PSD2 erfordert eine Schnittstelle für Dritte, die von PSPs implementiert werden muss. Diese Schnittstelle wird genutzt, um auf die beim PSP gespeicherten Kontoinformationen zuzugreifen und daraus die Identität des Kontoinhabers abzuleiten. Zur Sicherung der abgeleiteten Identität ist der Einsatz von FIDO (Fast Identity Online) vorgesehen. Wir bewerten unseren Vorschlag anhand der Richtlinien von eIDAS LoA (Level of Assurance) und zeigen, dass für die meisten Bereiche das Vertrauensniveau substantiell erreicht werden kann. Um diesem Level vollständig gerecht zu werden, ist zusätzlicher Arbeitsaufwand erforderlich: Zunächst ist es erforderlich, Extended Validation-Zertifikate für alle Institutionen zu verwenden. Zweitens muss der PSP sichere TAN-Methoden verwenden. Schließlich kann der Widerruf einer abgeleiteten Identität nicht erfolgen, wenn der Benutzer keinen Zugriff auf sein Smartphone hat, das mit der abgeleiteten ID verknüpft ist. Daher ist ein anderes Widerrufsverfahren erforderlich (z. B. eine Support-Hotline).

Prof. Heinemann gives a talk at OMNISECURE 2018

Prof. Heinemann gives a talk on “Usable Security – A Brief Introduction” at OMNISECURE 2018 in Berlin on 24.01.2018. The talk will provide an overview on past usable security research topics and current trends. More information about OMNISECURE.

Paper accepted at Open Identity Summit 2017

Our paper Design and Implementation Aspects of Mobile Derived Identities by Daniel Träder, Alexander Zeier, and Andreas Heinemann was accepted at the Open Identity Summit 2017. The conference will take place 5th and 6th of October in Karlstad, Sweden.

Design and Implementation Aspects of Mobile Derived Identities

With the ongoing digitalisation of our everyday tasks, more and more eGovernment services make it possible for citizens to take care of their administrative obligations online. This type of services requires a certain assurance level for user authentication. To met these requirements, a digital identity issued to the citizen is essential. Nowadays, due to the widespread of smartphones, often mobile user authentication is favoured. This naturally supports for two-factor authentication schemes (2FA). We use the term mobile derived identity to stress two aspects: a) the identity is enabled for mobile usage and b) the identity is somehow derived from a physical or digital proof of identity. This work reviews 21 systems that support mobile derived identities. One subset of the considered systems are already in place (public or private sector in Europe), another subset belongs to research. We found that research prefers the storage of identity data on the mobile device itself whereas real world systems rely on cloud storage. 2FA is common in both worlds, however biometrics as second factor is rather the exception.