Veranstaltung

Das Praktikum Sicherheit, Benutzerfreundlichkeit und Gesellschaft wird sich sowohl mit der Programmierung von benutzerfreundlicher Sicherheit und Datenschutz als auch mit der Durchführung von Benutzerstudien befassen. Um einen Platz zu reservieren, melden Sie sich bitte auf dem WiWi-Portal an und senden Sie eine E-Mail mit Ihrem Wunschthema und einem Ersatzthema an mattia.mossano@kit.edu. Die Themen werden in der Reihenfolge des Eingangs vergeben, bis alle Plätze vergeben sind. Kursiv gedruckte Themen sind bereits vergeben.

Bewerbungsfrist   12.04.2024
Zuweisung             15.04.2024
Bestätigungsfrist 19.04.2024

Wichtige Daten:

Kick-off:                                                     17.04.2024, 09:00 Uhr MEZ in Big Blue Button - Link

Report- und Code-Feedback Frist:        26.07.2024, 23:59 Uhr MEZ
Feedback zu Bericht und Code:            16.08.2024, 23:59 Uhr MEZ
Finalen report + Code-Frist:                    01.09.2024, 23:59 Uhr MEZ

Frist für den Präsentationsentwurf:      06.09.2024, 23:59 Uhr MEZ
Feedback zum Präsentationsentwurf: 13.09.2024, 23:59 Uhr MEZ
Frist für die finalen Präsentation:          17.09.2024, 23:59 Uhr MEZ

Präsentationstag:                                    18.09.2024, 09:00 Uhr MEZ

Themen:

Privacy Friendly Apps

In diesem Fach vervollständigen die Schüler eine App (oder eine Erweiterung einer App) unter unseren datenschutzfreundlichen Apps. Klicken Sie auf den folgenden Link, um mehr darüber zu erfahren: https://secuso.aifb.kit.edu/105.php. Den Schülern wird eine Punkteliste mit Zielen zur Verfügung gestellt, die sowohl grundlegende Funktionen enthält, die für das Bestehen des Kurses erforderlich sind, als auch fortgeschrittenere, die die Abschlussnote verbessern.

Titel: NoPhish App Rework
Anzahl der Studierenden: 2 Ba/Ma
Beschreibung: Die NoPhish App war eine der ersten Maßnahmen aus dem NoPhish Konzept. Die App existiert bereits seit einer langen Zeit und wurde seit dieser Zeit nicht mehr aktualisiert. Entsprechend ist es die Aufgabe die App im Rahmen der Arbeit sowohl für die aktuelle Android Version funktionsfähig zu machen. Ebenso soll die App dahin gehend optimiert werden, dass einfach Aktualisierungen z.B. neue Kapitel ergänzt werden können

Program Usable Security Interventions

In diesem Fach entwickeln die Schüler einen Teil der Codierung, eine Erweiterung oder eine andere Programmieraufgabe, die sich mit verschiedenen verwendbaren Sicherheitsmaßnahmen befasst, z. B. als Erweiterung. ZB TORPEDO (https://secuso.aifb.kit.edu/english/TORPEDO.php) oder PassSec + (https://secuso.aifb.kit.edu/english/PassSecPlus.php). Nach wie vor erhalten die Schüler eine Punkteliste mit Zielen, die sowohl grundlegende Funktionen enthält, die für das Bestehen des Kurses erforderlich sind, als auch fortgeschrittenere, die die Abschlussnote verbessern.

Titel: Hacking TORPEDO
Anzahl der Studierenden: 1-2 Ba/Ma
Beschreibung: TORPEDO sowohl als Thunderbird Addon als auch als Web-extension existiert bereits seit vielen Jahren. TORPEDO soll dabei helfen verschiedene Formen von Angriffen aus dem Bereich Phishing zu adressieren und dadurch den Nutzenden zu schützen z.B. gegen verschiedene Manipulationen der Domain oder zusätzliche Tooltips. Aber bisher wurden noch keine gezielten Angriffe auf TORPEDO gefunden. Ziel der Arbeit ist es entsprechend TORPEDO einen Stresstest zu unterziehen und auch Angriffe zu entwickeln, die konkret auf die Umsetzung von TORPEDO abzielen.

Designing Security User Studies

Diese Themen beziehen sich auf das Einrichtung und Durchführung von Benutzerstudien verschiedener Art. Online-Studien, Interviews und Laborstudien sind möglich. Am Ende des Semesters präsentieren die Studierenden einen Bericht/Aufsatz und einen Vortrag, in dem sie ihre Methoden und die Ergebnisse kleiner Vorstudien vorstellen.

Titel: Usability of Password Managers in Virtual Reality
Anzahl der Studenten: 2 Ma
Beschreibung: Die vorherrschende Form der Authentifizierung in Virtual Reality (VR) sind Passwörter. Passwörter stellen aufgrund der speziellen Eingabemethoden und der virtuellen Tastatur eine Belastung für die Nutzer in der VR-Umgebung dar [Stephenson, S. et al (2022). SoK: Authentifizierung in Augmented und Virtual Reality]. Passwort-Manager (PMs) können den Nutzer bei der Bewältigung dieses Problems unterstützen [Mayer, P. et al. (2022). Why Users (Don't) Use Password Managers at a Large Educational Institution]. Sie bieten Auto-Filling-Funktionen, speichern Anmeldedaten in einer Übersicht oder generieren komplexe und sichere Passwörter. Besonders im VR-Kontext, wo die Eingabe eines Passworts langsam und komplex ist, können PMs von Vorteil sein. Wir wollen die verschiedenen PMs in VR erforschen und die Benutzerfreundlichkeit testen, um Herausforderungen und mögliche Lösungen zu finden.

Run Usable Security Studies and Results Analysis

Diese Themen beziehen sich auf die Durchführung und Analyse der Ergebnisse von Benutzerstudien. Je nach Thema sind Online-Studien, Interviews und Laborstudien möglich. Am Ende des Semesters präsentieren die Studierenden einen Bericht/eine Arbeit mit den durchgeführten Analysen und einen Vortrag, in dem sie die Ergebnisse präsentieren.

Titel: Visualization of Eye Gaze Patterns during Authetication Tasks
Anzahl der Studenten: 1 Ba/Ma
Beschreibung: In diesem Projekt werden die Studenten Blickdaten analysieren und visualisieren, die während zweier spezieller Authentifizierungsaufgaben gesammelt wurden: die Punktaufgabe und die Schieberegleraufgabe. Das Hauptziel besteht darin, die Augenbewegungen der Probanden visuell darzustellen, um das Verständnis der Blickmuster während des Authentifizierungsprozesses zu verbessern. *Visualisierung der Punktaufgabe:* Bei der Punktaufgabe wurden die Teilnehmer angewiesen, sich auf eine Folge von Punkten zu konzentrieren, die auf einem Bildschirm angezeigt wurden. Der Datensatz enthält die Positionen dieser Punkte und die entsprechenden Blickpositionen der Probanden. Die Aufgabe der Studenten besteht darin, eine dynamische Visualisierung zu erstellen, die nicht nur diese Positionen genau wiedergibt, sondern auch die Reihenfolge veranschaulicht, in der die Probanden die Punkte fokussiert haben. *Visualisierung der Slider-Aufgabe:* Bei der Slider-Aufgabe wird den Teilnehmern eine Reihe von Bildern präsentiert, für die sowohl die Positionen der Bilder auf dem Bildschirm als auch die Blickpositionen der Probanden aufgezeichnet werden. Die Herausforderung besteht darin, auf der Grundlage dieser Daten eine Heatmap-Visualisierung zu entwickeln, die die Konzentration und Streuung der Blickpunkte über die verschiedenen Bilder hinweg effektiv darstellt.

Titel: Wie erfahren Website-Besitzer, dass ihre Website gehackt wurde?
Anzahl der Studenten: 1 Ma
Beschreibung: Wir haben Website-Besitzer identifiziert, die von einem Hack auf ihrer Website betroffen waren, und ihnen eine Benachrichtigung geschickt. Im Laufe des Benachrichtigungsprozesses haben wir auch mehrere Websites identifiziert, die den Hack anscheinend vor unserer Benachrichtigung behoben hatten. Wir wollten nun herausfinden, wie diese Website-Besitzer von dem Hack erfahren haben. Wenn sie von einer dritten Partei benachrichtigt wurden, möchten wir auch wissen, wie und von wem sie benachrichtigt wurden und wie sie die Benachrichtigung empfunden haben. Zur Beantwortung dieser Fragen wurde eine Umfrage entworfen und vorab mit einer Stichprobe von Website-Besitzern getestet.  Die Studie wurde als Online-Umfrage mit SosciSurvey durchgeführt. Ziel dieses Laborthemas ist es, die Umfrage auf der Grundlage der Ergebnisse der Vorstudie (https://publikationen.bibliothek.kit.edu/1000160718) zu verbessern und Einladungen zur Umfrage an etwa 100 Website-Besitzer zu verschicken.

Titel: Phishing durch homographische Angriffe in Messengern und Sozialen Netzwerken
Anzahl der Studenten: 1/2 Bachelor oder Master
Beschreibung: Aufgabe wird es sein, drei Arten von Angriffen, welche erfolgreich in manchen E-Mail Clients funktionieren, für Messenger und in soziale Netzwerke testweise nachzustellen. Zum einen geht es um den Link Mismatch Angriff, wobei der Linktext vom tatsächlichen Linkziel abweicht. Des Weiteren um einen Angriff, bei dem URL-Encoding [https://en.wikipedia.org/wiki/URL_encoding] das tatsächliche Linkziel verschleiert und zuletzt um homografische Angriffe mittels Internationalized Domain Names [https://en.wikipedia.org/wiki/IDN_homograph_attack], wobei lateinische Zeichen durch Zeichen eines anderen Alphabets im Domainnamen ersetzt werden. Die Angriffe werden bereits vorgegeben, sodass keine Kenntnisse in Phishingtechniken vorausgesetzt werden.

Titel: Usability Study of Mobile Authentication for Elderly Users with Rheumatoid Arthritis (English only)
Anzahl der Studenten: 1 Bachelor oder Master level
Beschreibung: Authentication is an ever important topic, especially in the mobile context. However, it becomes even more relevant when considering accessibility to it. Nowadays, a common authentication method is using a PIN. Yet, given the low hand mobility of users affected by rheumatoid arthritis, sometimes using PINs can be difficult. In this topic, the student will conduct several sessions of an already designed lab study with various participants using arthritis simulation gloves to evaluate three PIN-pad interfaces aimed at making authentication more accessible. The study will also investigate the preferences of users regarding PIN-pad interfaces through drawings and proposals of changes. The student will then analyse the results through inferential statistics. Depending on the quality of the outcome, the results will then be published in a paper and the student will be added to the authors list.

Dieses Ereignis zählt für das KASTEL-Zertifikat. Weitere Informationen zum Erhalt des Zertifikats finden Sie auf der SECUSO-Website (https://secuso.aifb.kit.edu/Studium_und_Lehre.php).