Event

Das Praktikum "Sicherheit, Benutzerfreundlichkeit und Gesellschaft" wird sich sowohl mit der Programmierung von benutzerfreundlicher Sicherheit und Datenschutz als auch mit der Durchführung von Benutzerstudien befassen. Um einen Platz zu reservieren, melden Sie sich bitte auf dem WiWi-Portal an und senden Sie eine E-Mail mit Ihrem Wunschthema und einem Ersatzthema an mattia.mossano@kit.edu. Die Themen werden in der Reihenfolge des Eingangs vergeben, bis alle Plätze vergeben sind. Die Frist für die erste Runde ist der 18.07.2022. Kursiv gedruckte Themen sind bereits vergeben.

Wichtige Termine:

Anstoß: 13.10.2022, 10:00 AM CET Uhr Big Blue Button - Link
Bericht + Codeübermittlung: 30.01.2023, 23:59 CET
Präsentationsfrist: 30.01.2023, 23:59 CET

Präsentationstag: 01.02.2023

Themen:

Programming usable security measures

In diesem Fach entwickeln die Schüler einen Teil der Codierung, eine Erweiterung oder eine andere Programmieraufgabe, die sich mit verschiedenen verwendbaren Sicherheitsmaßnahmen befasst, z. B. als Erweiterung. ZB TORPEDO (https://secuso.aifb.kit.edu/english/TORPEDO.php) oder PassSec + (https://secuso.aifb.kit.edu/english/PassSecPlus.php). Nach wie vor erhalten die Schüler eine Punkteliste mit Zielen, die sowohl grundlegende Funktionen enthält, die für das Bestehen des Kurses erforderlich sind, als auch fortgeschrittenere, die die Abschlussnote verbessern.

Titel: Portfolio Graphical Recognition-Based PWDs with Gamepads
Anzahl der Studenten: 2 Bachelor or Master level
Beschreibung: Graphical passwords use graphical elements as passwords and they are usually easier to remember than textual passwords. Moreover, they can be combined with "portfolio authentication" techniques to make them shoulder surfing resistant. The goal of this topic is to implement a graphical portfolio authentication shceme for gamepads, based on previous textual schemes implementations.

Titel: Development of a secure web interface with a ticket system for the Hashcat Password Cracker
Anzahl der Studenten: 2 Bachelor or Master level
Beschreibung: Hashcat is a console application which allows to crack passwords using a given wordlist or password pattern. In order to allow multiple not necessarily trustworthy users to register a password cracking job with the specified parameters in parallel, a web platform with a ticket system should be developed within the framework of this laboratory topic.Therefore a frontend and backend should be implemented separately and a clear description of the interface between is essential part of this work. Python with Flask Web Framework can be used to implement the backend. Good knowledge in programming, APIs and web security are required.

Designing Security User Studies

Diese Themen beziehen sich auf das Einrichten und Durchführen von Benutzerstudien verschiedener Art. In diesem Jahr haben wir uns aufgrund des Corona-Ausbruchs entschieden, nur Online-Studien durchzuführen. Andernfalls wären Interviews und Laboruntersuchungen möglich gewesen. Am Ende des Semesters präsentieren die Studierenden einen Bericht / eine Arbeit und einen Vortrag, in dem sie ihre Ergebnisse präsentieren.

Titel: NoPhish Cardgame
Anzahl der Studenten: 1/2 Bachelor level
Beschreibung: Das NoPhish Konzept findet bereits in vielen Formen Anwendung. Es hilft dabei betrügerische Nachrichten von legitimen zu Unterscheiden. Die neueste Form ist ein Cardgame bei dem man spielerisch lernen kann Phishing zu erkennen. Hierbei wird sowohl grundlegendes Wissen, als auch konkretes Wissen vermittelt. Aufgabe: Erheben von Daten (Studiendesign ist bereits vorhanden) und Auswertung bestehender Daten mit neu erhobenen Daten

Titel: Analysing the percetions on email subject extensions like 'Caution - This e-mail is sent from someone outside the company'
Anzahl der Studenten: 1/2 Bachelor or Master level
Beschreibung: Email subject extensions are used in myn organistions to reduce the risk to become a victim of a phishing email - why should your boss e.g. send you an external email? Likely to be a phish! The idea is to develope the study protocol and to collect first data which should be analysed.

Titel: Benutzerstudie zur Erkennung von Angriffen auf die E-Mail Absicherung mit S/MIME-Zertifikaten
Anzahl der Studenten: 2 Bachelor or Master level
Beschreibung: Das KIT bietet den Beschäftigten und Studierenden die Möglichkeit, ihre E-Mail-Kommunikation mittels S/MIME-Zertifikaten abzusichern. Für die Nutzenden entsteht hierbei die Herausforderung, eingehende Nachrichten hinsichtlich gültiger Signatur und Verschlüsselung zu prüfen und mögliche Angriffe zu erkennen. Zielsetzung dieser Arbeit ist die Konzeption und Erstellung einer Nutzerstudie zur Evaluation von Schulungsmaterialien. Die Studie soll verschiedene Nutzungsszenarien bei der Erkennung von Angriffen (z.B. durch ungültige Zertifikate) und das Verhalten der Nutzenden innerhalb dieser Szenarien umfassen.

Titel: Evaluation of the Sudoku Privacy Friendly App usability for users with rheumatoid arthritis (English only)
Anzahl der Studenten: 1 Bachelor or Master level
Beschreibung: The Privacy Friendly Apps are a set of applications developed by the SECUSO group that do not contain any advertisement or tracking mechanism, hence preserving the privacy of their users (https://secuso.aifb.kit.edu/english/105.php). One of these apps is "Sudoku", available for Android on both the Google Store and F-Droid. Although the app is friendlier to privacy that other alternatives, it requires multiple tactile interactions with the mobile device. This can be an issue for users with reduced hand mobility, such as those suffering from rheumatoid arthritis. To approximate the reduced mobility caused by reumatoid arthritis in healthy users, it is common to use arthritis simulation gloves (e.g., https://idarinstitute.com/products/arthritis-simulation-gloves). The task of the student is to design a lab study involving arthritis simulation gloves that evaluates the Sudoku app usability for users suffering from rheumatoid arthritis,.

Titel: Replication and extension of “What is this URL’s destination?” (English only)
Anzahl der Studenten: 1 Bachelor level
Beschreibung: Replication of studies is a fundamental part of the scientific process: it allows to confirm or deny experimental results and can open new lines of research. This topic is a replication of the study presented in Albakry, S., Vaniea, K. & Wolters, M.K. (2020) What is this URL's destination? Empirical Evaluation of Users' URL Reading" (https://doi.org/10.1145/3313831.3376168). The student will re-implement the study following the precise description from the original authors, run it and then compare the results with the previous iteration.

Titel: Password Generator Defaults
Anzahl der Studenten: 2 Bachelor or Master level
Beschreibung: Password Managers are useful tools that help the use of complex passwords and avoid the password recycle practice. Moreover, they support users by providing password generator tools, that create random password of specific length. However, the defaults settings might be at odds with the password policies of popular website, e.g., they can contain forbidden characters or be too long/short. Moreover, we need to understand if Password Managers users change the default settings to generate passwords, in how many cases and for what reasons. The students task is therefore two-folds: (1) compare the default settings of several Password Managers to the privacy policies of popular websites; (2) design and implement a survey to collect the behavior of Password Managers users with regard to the password generator tools.

Titel: Benutzerstudie zur Auswertung der PassSec+ Browser Extension mittels Eye-Tracking
Anzahl der Studenten: 1/2 Bachelor or Master level
Beschreibung: PassSec+ ist eine von SECUSO entwickelte Browser-Erweiterung für Firefox und Google Chrome, die hilft, Passwörter, Zahlungsdaten und andere sensible Daten besser zu schützen, indem es bereits vor der Eingabe dieser Daten prüft, ob eine sichere Dateneingabe gewährleistet ist und im Zweifel ein Dialog anzeigt, welcher den Nutzer bei der Entscheidung unterstützt. In der Nutzerstudie soll untersucht werden, wo der Fokus des Nutzers mit und ohne Benutzung von PassSec+ liegt und dabei die Effektivität zur Prävention vor Phishing untersucht werden. Es wird das Setup sowie der Aufbau der Studie bereits vorgegeben. Ziel ist es, die Nutzerstudie mit Probanden durchzuführen und die Daten entsprechend z.B. mit Heatmaps auszuwerten.

Dieses Ereignis zählt für das KASTEL-Zertifikat. Weitere Informationen zum Erhalt des Zertifikats finden Sie auf der SECUSO-Website (https://secuso.aifb.kit.edu/Studium_und_Lehre.php).