-------------------------------------------------------------------------------- Diese Shownotes wurden automatisiert aus extrahiert, siehe . -------------------------------------------------------------------------------- ## May(hem) 2016 \#Musik: Intro Broke for Free - At the count News: \* Auch Google lässt Namen durch das Internet erwählen: \* \* Zur Auswirkung von Überwachung: \* Windows 10 interrupts a live TV broadcast with an unwanted upgrade \* ImageMagick Br0k3n!1elf \*\*\* wozu dienst dieses Tool und wo wird es eingesetzt \*\*\* warum ist es problematisch wenn das kaputt ist? \* Gnu Hurd aktualisiert \*\*\* Hurd kurz erklären \*\*\* totgesagte leben länger \*\*\* ein Microkernel-System könnte durchaus die FOSS-Landschaft bereichern \* Oracle vs. Google (Java) \*\*\* der wohl wichtigste IT-Prozess derzeit \*\*\* Oracle hat Java mit Sun gekauft \*\*\* Sun war eine Firma, die viel auf offene Standards gesetzt hat \*\*\* Oracle ist einfach nur böse (mehr Anwälte als Entwickler etc) \*\*\* Google nutzt Java-APIs \*\*\* Oracle an das Java im Android ran, auch wenn das nicht ihres ist \*\*\* Entscheidung kann viele (negative) Auswirkungen auch auf FOSS haben, Firmen können Entwickler verklagen, wenn sie ihre APIs nutzen, auch wenn sie offen sind wie beim JavaSE # Musik: Broke for free - Nothing like captain crunch Es wird zwei Teile geben. Im ersten Teil würden wir über Passwörter allgemein sprechen. (ca. 30min) **\*Arten von Identifikationsverfahren** \*\* Wissen/ Etwas das ich weiß \*\*\* Eigenschaften: Vergessen, Weitergeben/Duplizieren/Verraten, Erraten, Preisgabe erzwingen, schnell, einfach \*\*\* Beispiele: PIN (z.B. EC_Karte), Passwort, Passphrase (länger als PW),Sicherheitsfrage \*\* Besitz / Etwas das ich habe \*\*\* Eigenschaften: Produktionsaufwand, muss es immer rumtragen, kann ich verlieren, kann gestohlen werden \*\*\* Beispiele: Schlüssel (phys. oder virt.), Karten (Magnetstreifen, RFID, Smart), TAN-Liste, Token \*\* Körperliches Merkmal/Biometrie - Etwas das ich bin \*\*\* Eigenschaften: immer dabei, dadurch missbrauchbar, z.B. Daten Gescihtserkennung auch Nutzung bei Überwachungskameras und nicht nur Ausweis, teils leicht abnehmbar (Schäubles Fingerabdruck), techn. Aufwand zur Erkennung, immer Brücke zwischen fehlerhafte Erkennung ist möglich (False Acceptance) und fehlerhafte Zurückweisung ist möglich (False Rejection), Datenschutz, Auschluss bestimmter Gruppen möglich, z.B. Probleme bei Fingerabdruck erkennung asiatische Frauen \[1\] \*\*\* Beispiele: Fingerabdruck, Gesichtserkennung, Tippverhalten, Stimmerkennung, Iriserkennung, Retinamerkmale, Handvenenscannen, DNS **\* Woher kommen Passwörter?** \*\* ursprünglich Parolen beim Militär um bei Dunkelheit zu entscheiden ob Freund oder Feind \*\* Ganz früher gabs einen Pförtner an der Tür, der geregelt hat wer reinkam \*\* Passwörter sind nicht dafür da Daten freizugeben, sondern den User gegenüber dem Computer zu authentizieren. Wer auf was zugreifen darf, wird vom Rechtesystem geregelt. (Wird oft falsch verstanden) **\* Wie werden Passwörter gehackt?** \*\* Nutzer ist Schuld \*\*\* zu einfach \*\*\*zu kurz, kann man durchprobieren, wie beim Fahrradzahlenschloss \*\*\*\* gibt auch Sperrmechanismen wie EC-Karten \*\*\* überall das gleiche \*\*\*\*Problem wenn eins bekannt wird, liegen auch alle anderen Zugange offen \*\*\* Statistiken zu häufigsten Passwörtern \*\*\*\* über Jahre hinweg immer wieder die gleichen häufigsten Passwörter Rank Password \[2\] 1 123456 2 password 3 12345 4 12345678 5 qwerty 6 123456789 7 1234 8 baseball 10 football 11 1234567 13 letmein 14 abc123 15 111111 17 access 20 michael 21 superman 22 696969 23 123123 24 batman oft auch Seitenname... \*\*\*\*linked in: "123456", das über eine Million mal genutzt wurde (von 140 Mio) "linkedin", "password", "123456789" weit über hunderttausend Mal \*\*\* Brute Force \*\*\* Umgang mit dem Passwort (Post it am Monitor, unverschlüsselte Passwortlisten oder Passwortmanager ohne Masterpasswort) \*\*\*\*ALH: Trojaner suchen nach PW-Datenbanken \*\*\*\*ALH: Leute mit Feldstechern vor Firmen \*\* Betreiber ist Schuld \*\*\* unverschlüsselte Übertragung, kein https, Schlüsselsymbol --\> meckert mit dem Betreiber \*\*\* Passwörter im Klartext speichern \*\*\* Hash, vgl. Prüfsumme, Quersumme, \*\*\*\* eindeutig: wenn man das gleiche rein tut, kommt das gleiche raus, tut man was anderes rein, kommt was anderes raus \*\*\*\* passiert serverseitig \*\*\* Passwörter gehasht, aber ohne Salt \*\*\*\* aktuelles Beispiel Linked In \[3\] 180 Mio PW 2012 geklaut, jetzt größtenteils entschlüsselt \*\*\* Rainbow Tables \[4\] \*\*\* Keylogger oder andere Malware **\* Tipps zum Umgang mit Passwörtern (abgeleitet aus Angriffen)** \*\* Was sind starke/schwache Passwörter? \*\* Wie erstelle ich mir ein sicheres Passwort, dass ich mir merken kann? \*\*\* Staple Horse Battery Coorect \[5\] \*\*\* Snowden Interview \*\* Wie verwalte ich meine Passwörter? (Passwortendatenbanken) \*\*\*Keepass(X) \*\*\*ALH: Plugins \*\*\*Broswer-PW-DB \*\*Warum soll ich überall verschiedene Passwörter verwenden? \*\* usw. \#Musik: Jonathan Mann - How To Choose A Password Im zweiten Teil kämen wir dann zu **Alernativen** zu Passwörtern. Welche Alternativen zu Passwörtern gibt es, was sind deren Vor- und Nachteile? (Ca. 45min) \* OAuth/OpenID \*\* ursprüngliche Idee \*\*\*eigentlich keine wirkliche Alternative zu Passwörtern, eher der Versuch Passwörter nicht im ganzen Netz zu verteilen \*\* heutige Kritik (OAuth zu komplex, zieht Consulting etc hinter sich her) \* Zertifikate \*\* Statt einfach zu ratender Passwörter wird ein Crypto-Key benutzt \*\* Problem: Kommt der weg, gibt es keinen zusätzlichen Schutz \* Zwei-Faktor-Authentifizierung \*\*\* neben dem Passwort muss man auch den Besitz eines weiteren Tokens nachweisen \*\*\*\* Token kann ein Gerät sein, ein Zertifikat, TAN usw. \*\*\*\* Weitere Faktoren: Uhrzeit, Lokation, Gerät usw. \*\*\* sehr unwahrscheinlich, dass Passwort und Token gemeinsam gestohlen werden \*\*\* die Token müssen gegen Ausspähen, Kopieren etc geschützt sein \*\* Trust Scores by Google \*\*\* Kombination aus Faktoren (Sprache, Nähe zu WLANs etc) errechnet Score \*\*\* je nach Dienst muss der höher oder niedriger sein \*\* Tippverhalten \*\* Biometrie \*\* Äpps \*\*Zertifikate \*\*\* als zusätzlicher Faktor, nicht zu verwechseln mit Zertifikat als "Login-Passwort" \*\* SmartCards / Dongles \*\*\* Was SmartCards nicht sind \*\*\*\* Transponder- und RFID-Cards \*\*\*\* Speicherkarten \*\*\*\* Mifare-Karten etc. \*\*\* Wie funktioniert so eine Smartcard? \*\*\*\* Meist als Chipkarte oder USB-Dongle ausgeführt, es gibt aber auch andere Bauarten, zum Beispiel NFC, auf Mainboard oder in CPU integriert oder als externes Gerät \*\*\*\* Nicht einfach nur ein Speicher für Keys, sondern eher ein kleiner Computer, der die Zugriffe auf den eigentlichen Speicher regelt \*\*\* Warum sind die Keys etc darin sicher? \*\*\*\* Das OS und auch der User haben keinen direkten Zugriff auf die Geheimnisse \*\*\*\* Sicherheitsprobleme auf dem OS beeinflussen nicht die Smartcard \*\*\*\* Smartcards sind leicht auditierbar und damit unwahrscheinlich, dass es Fehler gibt, zumindest in der Theorie \*\*\*\* In der Praxis muss man dem Hersteller trauen \*\*\* Zeitabhängige Verfahren vs. Challenge-Response \*\* Mobile TAN, TAN Generatoren \*\* Umsetzungen \*\*\* propietäre Lösungen (RSA Security, ID Control, Vasco, Kobil etc) \*\*\*\* geht dauernd kaputt \*\*\*\* benötigt Infrastruktur des Herstellers \*\*\*\* zieht meistens Wartungsverträge und Vendor-Lockin nach sich \*\*\*\* teuer und komplex \*\*\* Fido U2F \*\*\*\* nicht zu verwechseln mit Fido UAF, einem Biometrie-Auth-Protokoll \*\*\*\* sehr günstig (ab ca. 5€, war von Anfang an Designziel) \*\*\*\* herstellerunabhängig \*\*\*\* offener Standard (bereits integriert in diverse Produkte, zum Beispiel Google, diverse Sachen von Microsoft und auch FOSS-Software wie PAM) \*\*\*\* kann nicht viel, aber ist perfekt um den Besitz des 2. Faktors nachzuweisen \*\*\* OTP \*\*\*\* one time password \*\*\*\* nicht zu verwechseln mit "one time pad" \*\*\*\* zeitabhängig/zählerabhängig & andere mathematische Verfahren, TOTP/HOTP ( am weitesten verbreitet \*\*\*\* sowohl in Hardware (diverse Smartcards) als auch Software (Keepass) \*\*\* Tan-Generatoren via Chip-Karte (Smartcard oder ePerso) \*\*\* OpenPGP-Card (Crypto finden auf Karte statt und Kommunkation mit OS über API) \*\*\*\* ist eigentlich für GnuPG-Verschlüsselung gedacht, kann aber über Umwege zur Authentizierung bzw als Besitzbeweis genutzt werden \*\* Yubi-Key, NitroKey, Software-Lösungen auf Java-Cards \#Musik: Outro -Triplexity Invited with Jennifer Greer Quellen: \[1\] \[2\] \[3\] \[4\] \[5\]