cr:cr204

CR204

Passwörter

Oder: You shall not pass! <p>Ob für unsere Computer, E-Mails oder Bankkonten: Passwörter sind heute meist das Mittel der Wahl, um sich in der digitalen Welt zu authentifizieren. In jüngster Vergangenheit sind Internetdiensten häufiger auch millionenfach die Passwörter ihrer Nutzer “abhanden” gekommen. Wir möchten ergründen wie Passworte funktioneren, was ein gutes und was ein schlechtes Passwort ist und wie es in unterschiedlichen Situationen verwendet werden sollte. Außerdem wollen wir diskutieren, wie Passwörter sicher gespeichert werden und welcher Werkzeuge sich dunkle Gestalten bemächten, um sie zu knacken.</p> <p>Sind Passworte überhaupt noch zeitgemäß? Welche Weiterentwicklungen gibt es? Was sind Hardware-Tokens, was eine Two-Factor-Authentification und was sind diese lustigen kleinen Kästen, die immer neue Zahlen anzeigen? Und wie sicher sind doch gleich Irisscan und Fingerabdruck? Um all das geht es am Donnerstag den 22.08 im Chaosradio 204, live aus dem Chaos Computer Club Berlin in der Marienstraße 11.</p>

Teilnehmer

Moderation: Wetter (Fiona fällt wohl aus) Gäste:

  Danimo
  Anna Biselli
  Henryk
  saite? nitram? mirko? rüdi? elektra? mutax?
  n/a; fefe, nicht so: mntmn (würde ohne Fiona eher weniger einspringen), carina, nicht: Linus, starbug, cryx, hannes, frankri, bogk

Ton/Video: derpeter Shownotes: http://pad.shownot.es/doc/chaosradio-204

Ablauf

- Willkommen bei Chaosradio, Folge …204, CCCB, Hallo Publikum. Man kann übrigens vorbeikommen… Marienstrasse 11 in Berlin. Videostream unter streaming.media.ccc.de. Chat auf #chaosradio auf Freenode. - Thema heute 0. Themenherleitung - Beispiele für Datendiebstähle, Suche nach “Identitätsdiebstahl” auf BSI Webseite aus 2014:

  21.01.2014 16 Millionen digitale Identitäten betroffen
  Im Rahmen der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden wurden rund 16 Millionen kompromittierte Benutzerkonten entdeckt. "Benutzer wurden informiert" :) 
  https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Mailtest_21012014.html      
  03.04.2014 - 18 Millionen digitale Identitäten betroffen
  Staatsanwaltschaft Verden (Aller) hat Daten aus einem laufenden Ermittlungsverfahrens. Botnetz missbraucht Identitäten für Spam-Mails  
  https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Neuer_Fall_von_Identitaetsdiebstahl_07042014.html      
  06.08.2014: 1.2 Milliarden digitale Identitäten betroffen
  New York Times Interview mit Hold Security (HS).  HS hat die Daten in "Untergrund-Kanälen" im Internet. Die Zugangsdaten stammen angeblich von ~ 420.000 Websites.
  https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Milliardenfacher_Datendiebstahl_06082014.html 
  Vllt. klarstellen, dass Daten"diebstahl" ein ziemliches Schwachsinnswort ist. Die Daten sind ja dann nicht weg, sondern nur unberechtigt anderen bekannt geworden

0. Wer seid ihr? Woher kommt ihr? 6×7? 1. Warum benutzen wir eigentlich Passwörter?

  1. Identifikation und Berechtigung
  1. Identifikation prinzipiell möglich durch:
  1. Eigenschaft → Biometrie
  1. Besitz → Smartcard
  1. Wissen → Passwort
  1. Was bringt das mir?
  1. Was bringt das dem Dienstebetreiber?
  1. Woher kommen Passwörter? (Aus dem Mlitär, Parolen)
  1. Hierarchien: PIN vs. Passwort vs. Passphrase
  1. Authentifizierung
  1. Exklusivität
  1. “Schlüssel zur Tür”

2. Wie funktioniert das eigentlich? - Was passiert, wenn ich mich bspw. bei ebay einlogge? - Warum ist eine 5-stellige Online-Banking-PIN sicher, während mein Linux mich nicht weniger als 6 Zeichen eingeben lässt? - Was machen viele Gerätehersteller falsch (Anmeldepasswort == Verschlüsselungspassphrase)

  1. Probleme von Passworten - Fehlerhaftes Verhalten

    - Aufschreiben und Notizzettel verlieren

    - zu leichte Passwörter

    die beliebtessten passwörter vorstellen (unter einfluss von adobe-passwort-breach [http://splashdata.com/press/worstpasswords2013.htm])

    123456

    password

    12345678

    qwerty

    abc123

    123456789

    111111

    1234567

    iloveyou

    adobe123

    - Re-use

- Speichern von Passwörtern

  1. Wo werden die wie gespeichert?
  1. Wenn ich mich bei einem Dienst identifiziere, müssen die ja irgendwo lagern
  1. Wer hat darauf Zugriff?
  1. Auch BDA erwähnen
  1. Zwang zur Passwortherausgabe
  1. “Passwort verlust”
  1. > Speichern von Passwörter / Salz / Hash
  1. > Kollision bei ungeeigneten Hashfunktionen (all die Dienste, die noch MD5/SHA1 benutzen)
  1. zero-knowledge Passwort-proofs
  1. Passwort revoke?

- Usability vs. Sicherheit

  1. (darf kein vs. sein, ein Unbenutzbares System wird unsicher sein, User sind da erfinderisch)

- Reset-Mechanismen sind unsicheres Einfallstor - Unsichere Übertragung - Kernproblem: Sie ? Denn: Passwörter sind wie Unterwäsche – nicht verleihen, nicht rumliegen lassen und oft wechseln! 4. Passwortsicherheit und -unsicherheit - Was ist ein schlechtes Passwort?

  1. Warum?

- Wie werden sie geknackt?

  1. Was für Methoden gibt es?
  1. Brute-Force / Dictionary / Rainbow-Tables (Beispiele von Rechenzeiten für Brute-Force auf nem bestimmten Rechnertyp)
  1. Raustragen bei Anbietern, die sie nicht vernünftig gehasht & gesaltet haben
  1. Pass the Hash → PW-Hashes werden stellvertretend fuer Passworte uebergeben
  1. Bruce Schneier: Unsicherheitsfaktor Mensch. Social Engineering. Hab ich ne persönlich Anekdote mit einer Telekom-Hotline zu…
  1. generell Schadsoftware/Keylogger/Bundestrojaner…
  1. Phising

- Was ist ein gutes Passwort?

  1. Wie generiere ich ein gutes Passwort?
  1. apg
  1. XKCD 936
  1. Anfangsbuchstaben einer Phrase
  1. Entropie

- Aufbewahrung & Roll-over von Passwörtern

  1. Excel-Tabelle vs. Password Manager

5. Alles was “jeder weiss” über Passwörter ist falsch - Übliche Passwortregeln:

  1. nicht auf einem Wörterbuchwort basierend
  1. muss ziffern und sonderzeichen enthalten
  1. darf nicht aufgeschrieben werden
  1. muss regelmäßig gewechselt werden

- Woher kommen die Regeln? - Wie hat sich das Angreifermodell seit dem geändert? - Cargo Cult programming, oder: warum bestehen viele Systeme noch auf eye-of-newt-Passwortregeln? - Zu welchen Problemen führt das

  1. Doch aufschreiben, oder einfach zu erraten
  1. Alternativ: viel vergessen, viele Passwortresets → Supportkosten, Mangelnde Sicherheit im Reset-System
  1. Wechselzwang führt zu Passwortserien (GoofySep13, GoofyJan14, GoofyApr14, …)
  1. Warum soll ein Passwort nach $Zeiteinheit plötzlich schlecht geworden sein

- Der Einsatzumgebung und Angreiferklasse angemessene Regeln:

  1. Für die Komplexität gibt es nur eine einzige Regel: Entropie
  1. Wenn Eye-of-Newt-Regeln stören, beim Hersteller/Programmierer beschweren
  1. Passwörter aufschreiben und an sicherem Ort verwahren
  1. Besser noch: Passwortmanager verwenden
  1. Unsichere Reset-Mechanismen abschalten

6. Warum verwenden wir noch immer Passwoerter? Warum haben sich Alternativen nicht durchgesetzt (Biometrie)? - Warum haben sich Passwörter bisher so hartnäckig gehalten? - Was für Alternativen gibt es?

  Alternativen zu Passwörtern
  Wischdinger
  Biometrie 
  Stimme
  Augapfel
  Finger
  Faceunlock

→ Biometrie ist keine Passwort-Alternative, sondern allenfalls ein 2. Faktor!

  außerdem: false positives / false negatives -> ROC-Kurve
  was braucht man, um einen Fingerprint zu fälschen

Authentifizierung anhand von Verhalten [http://www.behaviosec.com/products/mobile-authentication/] - Was für sichere Alternativen gibt es?

  Two Factor Authentication (Apps, HW-Tokens)
  Man muss etwas WISSEN und etwas HABEN
  beides muss unabhängig sein
  Das WISSEN muss geheim, und das HABEN schwer/nicht kopierbar sein
  YubiKey als Hardware-Token
  gibt es auch in Software, z.B. Google Authenticator, RSA soft token
  1. > Wie funktionieren die?
  Single Sign On und seine Tuecken
  (Cloud-basierte) Passwort-Manager (LastPass!) und ihre Tuecken
  Token mit limitierten Berechtigungen (Github)
  Vertrauensstellung/"Passwortlose" Dienste (Kerberos/OAuth/SAML (Github)) (nur wenn zeit, ziemliches de-railing thema)
  Statistiken, wie oft wie viele Passwoerter bekanntermassen "weggekommen" sind?
  Problem mit Sicherheitsfragen (zu einfach/ergooglebar/mehrfach verwendet), s.a. Identity Theft: http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

7. Was tun?

  Passwortmanger + Two Factor? (backuppen!)
  Passwörter generieren 
  Ganze Sätze vs. seltsame Zeichenwüsten mit Sonderzeichenl
  Macht immer schön eure Backups 
  Passwörter Vermeiden 
  OAuth.....

Abmoderation: Wersind wir, wo gibt's das zum Nachhören, vielen Dank, usw.

Ideen

Juce Rap News als Pause

Musik

Opener: Alec Empire Sy.ic Mindprint - https://soundcloud.com/white-mouse-records/mindprint (OK durch Monoxyd einholen) (03:33) Rap News Net Neutrality - http://www.youtube.com/watch?v=k-xSP_T0VqU (06:26) Professor Kliq - Wires and Flashing Lights (CC BY 3.0) (03:37) Backup paniq - Ultimate Downfall (CC BY 3.0) http://music.paniq.cc/track/ultimate-downfall TV Girl - Pantyhose (CC BY-NC 3.0) http://tvgirl.bandcamp.com/track/pantyhose-2 One Man, One Machine - http://stephenpaultaylor.bandcamp.com/track/1-man-1-machine-demo Outro: Tracky Birthday – Websiiite

Club-Interne News
Nerd-News

- De Meziere: der neue Datensicherheitsminister… http://www.heise.de/newsticker/meldung/Innenminister-veroeffentlicht-Entwurf-fuer-IT-Sicherheitsgesetz-2294637.html und http://blog.fefe.de/?ts=ad0d5130 Bundesinnenminister Thomas de Maizière - Locationtracking per SS7 https://netzpolitik.org/2014/interview-mit-tobias-engel-zu-handytracking-entwicklung-eines-eigenen-systems-ist-nicht-besonders-schwierig/ Die Washington Post berichtet, dass die Ortung von Handys immer leichter immer mehr Stellen möglich ist. So können nicht nur Polizei und Geheimdienste, sondern auch sehr kleine Mobilfunkanbieter auf die Daten auch von Nutzern anderer Netze zugreifen. Schuld daran ist SS7, das Signalisierung Protokoll Nummer 7 aus dem Jahre 1975, welches ein grundsätzliches Vertrauen aller Netzbetreiber untereinander erfordert. - Cryptography Expert Says, 'PGP Encryption is Fundamentally Broken, Time for PGP to Die' (http://thehackernews.com/2014/08/cryptography-expert-pgp-encryption-is_19.html?m=1) ⇐

nicht wirklich ne news würde ich weg lassen

  • cr/cr204.txt
  • Last modified: 2017/10/24 17:12
  • by andi