265 lines
10 KiB
Plaintext
265 lines
10 KiB
Plaintext
## May(hem) 2016
|
|
|
|
\#Musik: Intro Broke for Free - At the count
|
|
<http://brokeforfree.bandcamp.com/track/at-the-count>
|
|
|
|
News:
|
|
\* Auch Google lässt Namen durch das Internet erwählen:
|
|
<http://techcrunch.com/2016/05/18/google-asks-the-internet-for-n-words-what-could-possibly-go-wrong/>
|
|
\* <https://twitter.com/nblr/status/725277172655611904>
|
|
\* Zur Auswirkung von Überwachung:
|
|
<http://www.reuters.com/article/us-wikipedia-usage-idUSKCN0XO080>
|
|
\* Windows 10 interrupts a live TV broadcast with an unwanted upgrade
|
|
<http://betanews.com/2016/04/27/windows-10-interrupts-live-tv-broadcast/>
|
|
|
|
\* ImageMagick Br0k3n!1elf
|
|
<https://imagetragick.com/>
|
|
<http://www.heise.de/open/meldung/Boese-Bilder-Akute-Angriffe-auf-Webseiten-ueber-ImageMagick-3200773.html>
|
|
<http://www.heise.de/open/meldung/Webseiten-mit-ImageMagick-Bibliothek-im-Fokus-von-Angreifern-3196901.html>
|
|
\*\*\* wozu dienst dieses Tool und wo wird es eingesetzt
|
|
\*\*\* warum ist es problematisch wenn das kaputt ist?
|
|
|
|
\* Gnu Hurd aktualisiert
|
|
<http://www.heise.de/ix/meldung/Fortschritte-GNU-Projekt-aktualisiert-Hurd-und-Mach-3211287.html>
|
|
\*\*\* Hurd kurz erklären
|
|
\*\*\* totgesagte leben länger
|
|
\*\*\* ein Microkernel-System könnte durchaus die FOSS-Landschaft
|
|
bereichern
|
|
|
|
\* Oracle vs. Google (Java)
|
|
<http://www.heise.de/ix/meldung/Oracle-vs-Google-War-Mobile-Java-schon-vor-Android-im-Niedergang-begriffen-3212056.html>
|
|
\*\*\* der wohl wichtigste IT-Prozess derzeit
|
|
\*\*\* Oracle hat Java mit Sun gekauft
|
|
\*\*\* Sun war eine Firma, die viel auf offene Standards gesetzt
|
|
hat
|
|
\*\*\* Oracle ist einfach nur böse (mehr Anwälte als Entwickler
|
|
etc)
|
|
\*\*\* Google nutzt Java-APIs
|
|
\*\*\* Oracle an das Java im Android ran, auch wenn das nicht ihres
|
|
ist
|
|
\*\*\* Entscheidung kann viele (negative) Auswirkungen auch auf FOSS
|
|
haben, Firmen können Entwickler verklagen, wenn sie ihre APIs nutzen,
|
|
auch wenn sie offen sind wie beim JavaSE
|
|
|
|
# Musik: Broke for free - Nothing like captain crunch
|
|
<http://brokeforfree.bandcamp.com/track/nothing-like-captain-crunch>
|
|
|
|
Es wird zwei Teile geben.
|
|
Im ersten Teil würden wir über Passwörter allgemein sprechen. (ca.
|
|
30min)
|
|
|
|
**\*Arten von Identifikationsverfahren**
|
|
\*\* Wissen/ Etwas das ich weiß
|
|
\*\*\* Eigenschaften: Vergessen,
|
|
Weitergeben/Duplizieren/Verraten, Erraten, Preisgabe erzwingen, schnell,
|
|
einfach
|
|
\*\*\* Beispiele: PIN (z.B. EC_Karte), Passwort, Passphrase
|
|
(länger als PW),Sicherheitsfrage
|
|
\*\* Besitz / Etwas das ich habe
|
|
\*\*\* Eigenschaften: Produktionsaufwand, muss es immer
|
|
rumtragen, kann ich verlieren, kann gestohlen werden
|
|
\*\*\* Beispiele: Schlüssel (phys. oder virt.), Karten
|
|
(Magnetstreifen, RFID, Smart), TAN-Liste, Token
|
|
\*\* Körperliches Merkmal/Biometrie - Etwas das ich bin
|
|
\*\*\* Eigenschaften: immer dabei, dadurch missbrauchbar, z.B.
|
|
Daten Gescihtserkennung auch Nutzung bei Überwachungskameras und
|
|
nicht nur Ausweis, teils leicht abnehmbar (Schäubles
|
|
Fingerabdruck), techn. Aufwand zur Erkennung, immer Brücke
|
|
zwischen fehlerhafte Erkennung ist möglich (False
|
|
Acceptance) und fehlerhafte Zurückweisung ist möglich (False
|
|
Rejection),
|
|
Datenschutz, Auschluss bestimmter Gruppen möglich, z.B.
|
|
Probleme bei Fingerabdruck erkennung asiatische Frauen \[1\]
|
|
\*\*\* Beispiele: Fingerabdruck, Gesichtserkennung,
|
|
Tippverhalten, Stimmerkennung, Iriserkennung, Retinamerkmale,
|
|
Handvenenscannen, DNS
|
|
|
|
**\* Woher kommen Passwörter?**
|
|
\*\* ursprünglich Parolen beim Militär um bei Dunkelheit zu
|
|
entscheiden ob Freund oder Feind
|
|
\*\* Ganz früher gabs einen Pförtner an der Tür, der geregelt hat
|
|
wer reinkam
|
|
\*\* Passwörter sind nicht dafür da Daten freizugeben, sondern den
|
|
User gegenüber dem Computer zu authentizieren. Wer auf was
|
|
zugreifen darf, wird vom Rechtesystem geregelt. (Wird oft
|
|
falsch verstanden)
|
|
|
|
**\* Wie werden Passwörter gehackt?**
|
|
\*\* Nutzer ist Schuld
|
|
\*\*\* zu einfach
|
|
\*\*\*zu kurz, kann man durchprobieren, wie beim
|
|
Fahrradzahlenschloss
|
|
\*\*\*\* gibt auch Sperrmechanismen wie EC-Karten
|
|
\*\*\* überall das gleiche
|
|
\*\*\*\*Problem wenn eins bekannt wird, liegen auch alle
|
|
anderen Zugange offen
|
|
\*\*\* Statistiken zu häufigsten Passwörtern
|
|
\*\*\*\* über Jahre hinweg immer wieder die gleichen
|
|
häufigsten Passwörter
|
|
Rank Password \[2\]
|
|
1 123456
|
|
2 password
|
|
3 12345
|
|
4 12345678
|
|
5 qwerty
|
|
6 123456789
|
|
7 1234
|
|
8 baseball
|
|
10 football
|
|
11 1234567
|
|
13 letmein
|
|
14 abc123
|
|
15 111111
|
|
17 access
|
|
20 michael
|
|
21 superman
|
|
22 696969
|
|
23 123123
|
|
24 batman
|
|
oft auch Seitenname...
|
|
\*\*\*\*linked in: "123456", das über eine Million mal genutzt
|
|
wurde (von 140 Mio)
|
|
"linkedin", "password", "123456789" weit über
|
|
hunderttausend Mal
|
|
\*\*\* Brute Force
|
|
\*\*\* Umgang mit dem Passwort (Post it am Monitor,
|
|
unverschlüsselte Passwortlisten oder Passwortmanager ohne
|
|
Masterpasswort)
|
|
\*\*\*\*ALH: Trojaner suchen nach PW-Datenbanken
|
|
\*\*\*\*ALH: Leute mit Feldstechern vor Firmen
|
|
\*\* Betreiber ist Schuld
|
|
\*\*\* unverschlüsselte Übertragung, kein https,
|
|
Schlüsselsymbol --\> meckert mit dem Betreiber
|
|
\*\*\* Passwörter im Klartext speichern
|
|
\*\*\* Hash, vgl. Prüfsumme, Quersumme,
|
|
\*\*\*\* eindeutig: wenn man das gleiche rein tut, kommt
|
|
das gleiche raus, tut man was anderes rein, kommt was anderes raus
|
|
\*\*\*\* passiert serverseitig
|
|
\*\*\* Passwörter gehasht, aber ohne Salt
|
|
\*\*\*\* aktuelles Beispiel Linked In \[3\] 180 Mio PW 2012
|
|
geklaut, jetzt größtenteils entschlüsselt
|
|
\*\*\* Rainbow Tables \[4\]
|
|
\*\*\* Keylogger oder andere Malware
|
|
|
|
**\* Tipps zum Umgang mit Passwörtern (abgeleitet aus Angriffen)**
|
|
\*\* Was sind starke/schwache Passwörter?
|
|
\*\* Wie erstelle ich mir ein sicheres Passwort, dass ich mir merken
|
|
kann?
|
|
\*\*\* Staple Horse Battery Coorect \[5\]
|
|
\*\*\* Snowden Interview
|
|
\*\* Wie verwalte ich meine Passwörter? (Passwortendatenbanken)
|
|
\*\*\*Keepass(X)
|
|
\*\*\*ALH: Plugins
|
|
\*\*\*Broswer-PW-DB
|
|
\*\*Warum soll ich überall verschiedene Passwörter verwenden?
|
|
\*\* usw.
|
|
|
|
\#Musik: Jonathan Mann - How To Choose A Password
|
|
<https://www.youtube.com/watch?v=oBBk_dpOX7w>
|
|
|
|
|
|
Im zweiten Teil kämen wir dann zu **Alernativen** zu Passwörtern.
|
|
Welche Alternativen zu Passwörtern gibt es, was sind deren Vor- und
|
|
Nachteile? (Ca. 45min)
|
|
\* OAuth/OpenID
|
|
\*\* ursprüngliche Idee
|
|
\*\*\*eigentlich keine wirkliche Alternative zu Passwörtern,
|
|
eher der Versuch Passwörter nicht im ganzen Netz zu verteilen
|
|
\*\* heutige Kritik (OAuth zu komplex, zieht Consulting etc hinter
|
|
sich her)
|
|
\* Zertifikate
|
|
\*\* Statt einfach zu ratender Passwörter wird ein Crypto-Key
|
|
benutzt
|
|
\*\* Problem: Kommt der weg, gibt es keinen zusätzlichen Schutz
|
|
\* Zwei-Faktor-Authentifizierung
|
|
\*\*\* neben dem Passwort muss man auch den Besitz eines
|
|
weiteren Tokens nachweisen
|
|
\*\*\*\* Token kann ein Gerät sein, ein Zertifikat, TAN
|
|
usw.
|
|
\*\*\*\* Weitere Faktoren: Uhrzeit, Lokation, Gerät usw.
|
|
\*\*\* sehr unwahrscheinlich, dass Passwort und Token gemeinsam
|
|
gestohlen werden
|
|
\*\*\* die Token müssen gegen Ausspähen, Kopieren etc geschützt
|
|
sein
|
|
\*\* Trust Scores by Google
|
|
\*\*\* Kombination aus Faktoren (Sprache, Nähe zu WLANs etc)
|
|
errechnet Score
|
|
\*\*\* je nach Dienst muss der höher oder niedriger sein
|
|
|
|
<http://www.theregister.co.uk/2016/05/24/google_smartphone_password_replacement_trust_scores/>
|
|
\*\* Tippverhalten
|
|
\*\* Biometrie
|
|
\*\* Äpps
|
|
\*\*Zertifikate
|
|
\*\*\* als zusätzlicher Faktor, nicht zu verwechseln mit
|
|
Zertifikat als "Login-Passwort"
|
|
\*\* SmartCards / Dongles
|
|
\*\*\* Was SmartCards nicht sind
|
|
\*\*\*\* Transponder- und RFID-Cards
|
|
\*\*\*\* Speicherkarten
|
|
\*\*\*\* Mifare-Karten etc.
|
|
\*\*\* Wie funktioniert so eine Smartcard?
|
|
\*\*\*\* Meist als Chipkarte oder USB-Dongle ausgeführt, es
|
|
gibt aber auch andere Bauarten, zum Beispiel NFC, auf Mainboard oder in
|
|
CPU integriert oder als externes Gerät
|
|
\*\*\*\* Nicht einfach nur ein Speicher für Keys, sondern
|
|
eher ein kleiner Computer, der die Zugriffe auf den eigentlichen
|
|
Speicher regelt
|
|
\*\*\* Warum sind die Keys etc darin sicher?
|
|
\*\*\*\* Das OS und auch der User haben keinen direkten
|
|
Zugriff auf die Geheimnisse
|
|
\*\*\*\* Sicherheitsprobleme auf dem OS beeinflussen nicht
|
|
die Smartcard
|
|
\*\*\*\* Smartcards sind leicht auditierbar und damit
|
|
unwahrscheinlich, dass es Fehler gibt, zumindest in der Theorie
|
|
\*\*\*\* In der Praxis muss man dem Hersteller trauen
|
|
\*\*\* Zeitabhängige Verfahren vs. Challenge-Response
|
|
\*\* Mobile TAN, TAN Generatoren
|
|
\*\* Umsetzungen
|
|
\*\*\* propietäre Lösungen (RSA Security, ID Control, Vasco,
|
|
Kobil etc)
|
|
\*\*\*\* geht dauernd kaputt
|
|
\*\*\*\* benötigt Infrastruktur des Herstellers
|
|
\*\*\*\* zieht meistens Wartungsverträge und Vendor-Lockin
|
|
nach sich
|
|
\*\*\*\* teuer und komplex
|
|
\*\*\* Fido U2F
|
|
\*\*\*\* nicht zu verwechseln mit Fido UAF, einem
|
|
Biometrie-Auth-Protokoll
|
|
\*\*\*\* sehr günstig (ab ca. 5€, war von Anfang an
|
|
Designziel)
|
|
\*\*\*\* herstellerunabhängig
|
|
\*\*\*\* offener Standard (bereits integriert in diverse
|
|
Produkte, zum Beispiel Google, diverse Sachen von Microsoft und auch
|
|
FOSS-Software wie PAM)
|
|
\*\*\*\* kann nicht viel, aber ist perfekt um den Besitz des
|
|
2. Faktors nachzuweisen
|
|
\*\*\* OTP
|
|
\*\*\*\* one time password
|
|
\*\*\*\* nicht zu verwechseln mit "one time pad"
|
|
\*\*\*\* zeitabhängig/zählerabhängig & andere mathematische
|
|
Verfahren, TOTP/HOTP (<https://netknights.it/hotp-oder-totp/)> am
|
|
weitesten verbreitet
|
|
\*\*\*\* sowohl in Hardware (diverse Smartcards) als auch
|
|
Software (Keepass)
|
|
\*\*\* Tan-Generatoren via Chip-Karte (Smartcard oder ePerso)
|
|
\*\*\* OpenPGP-Card (Crypto finden auf Karte statt und
|
|
Kommunkation mit OS über API)
|
|
\*\*\*\* ist eigentlich für GnuPG-Verschlüsselung gedacht,
|
|
kann aber über Umwege zur Authentizierung bzw als Besitzbeweis genutzt
|
|
werden
|
|
\*\* Yubi-Key, NitroKey, Software-Lösungen auf Java-Cards
|
|
|
|
\#Musik: Outro -Triplexity Invited with Jennifer Greer
|
|
<https://www.jamendo.com/track/189568/triplexity-invited-with-jennifer-greer>
|
|
|
|
Quellen:
|
|
\[1\]
|
|
<http://www.spiegel.de/netzwelt/tech/biometrie-pannen-die-probleme-kleiner-asiatischer-frauen-a-288462.html>
|
|
\[2\] <https://www.teamsid.com/worst-passwords-of-2014/>
|
|
\[3\]
|
|
<http://www.heise.de/newsticker/meldung/LinkedIn-Leck-Mehr-als-80-Prozent-der-Passwoerter-bereits-geknackt-3212075.html>
|
|
\[4\] <http://kestas.kuliukas.com/RainbowTables/>
|
|
\[5\] <https://xkcd.com/936/>
|
|
|