Passwortsecurity Business4School, Sebastian Brabetz, Teamleiter Professional Security Solutions

Größe: px

Ab Seite anzeigen:

Download "Passwortsecurity Business4School, Sebastian Brabetz, Teamleiter Professional Security Solutions"

Heike Brinkerhoff
vor 5 Jahren
Abrufe

1 Business4School, Sebastian Brabetz, Teamleiter Professional Security Solutions mod IT GmbH

2 Agenda: Vorstellung Timeline Data Breaches 2016 Wie Funktioniert Passwort Hashing Passwort-Hash-Cracking Schutz Seite 2

Vorstellung Sebastian Brabetz 30 Jahre alt Seit 2 Jahren bei mod IT Seit Januar 16 Teamleiter Professional Security Solutions Vorher bei produzierenden Unternehmen in Kassel: Ausbildung -> Firewall

3 Vorstellung Sebastian Brabetz 30 Jahre alt Seit 2 Jahren bei mod IT Seit Januar 16 Teamleiter Professional Security Solutions Vorher bei produzierenden Unternehmen in Kassel: Ausbildung -> Firewall Admin -> Security Admin Schwachstellenscans, Schwachstellenmgmt, Pentests OSCP+TCSE (wer kennt OSCP?) Community: - Kassel Codemeetup (Vorträge) - IT Security Meetup Kassel + Nordhessen (Organisator) - MetasploitWorkshops (kostenlos und kommerziell) - uvm.: siehe Seite 3

Timeline prominenter Password Breaches 2016 5. Mai 177 Mio. Accounts aus 2012 31. August 68 Mio.

4 Timeline prominenter Password Breaches Mai 177 Mio. Accounts aus August 68 Mio. Accounts aus 2012 Q1 Q Q3 Q4 1. Juli 360 Mio. Accounts aus September Mind Mio Accounts aus 2014 Wahrscheinlich 2 Milliarden! Seite 4

5 Woher bekommt man geklaute Passwort Hashes Woher nehmen, wenn nicht stehlen? Seite 5

6 Was genau wird geklaut? - Passwort Hashes! Dropbox: Linkedin: Seite 6

Was sind Passwort Hashes PW geht in mathematische Einwegfunktionen resultierender Hash bei gleichem Passwort immer gleich Rückweg nicht möglich!

7 Was sind Passwort Hashes PW geht in mathematische Einwegfunktionen resultierender Hash bei gleichem Passwort immer gleich Rückweg nicht möglich! Verschiedene Qualitätsstufen bei Hashes (Schutz gegen Bruteforce) Vorteile: Keine Klartextpasswörter gespeichert Unbefugte Personen können Hashes nicht benutzen Kurze Livedemo: Hashes generieren Seite 7

8 Bruteforce Hash-Angriffe Wie funktioniert es? Bruteforce input für Hash-Funktion md5( test ) Passwort des Benutzers Output 098f6bcd4621d373cade4e832627b4f6 md5( a ) Stimmt nicht überein!!! 0cc175b9c0f1b6a831c399e md5( b )... Stimmt nicht überein!!! md5( aaaa ) Stimmt nicht überein!!!... md5( test ) Stimmt überein!!! 92eb5ffee6ae2fec3ad71c f 74b d4d33f80c4663dc5e5 098f6bcd4621d373cade4e832627b4f6 Seite 8

9 Bruteforce Hash-Angriffe Wie lange dauert es? Passwortlänge nur Kleinbuchstaben Kombinationen Lesbar ca. Crackdauer bei 25 Mrd. Passwörtern pro Sekunde 1 Zeichen 26^ Sekunde 2 Zeichen 26^ Sekunde 3 Zeichen 26^ ,6 Tausend 1 Sekunde 4 Zeichen 26^ Tausend 1 Sekunde 5 Zeichen 26^ ,9 Mio 1 Sekunde 6 Zeichen 26^ Mio 1 Sekunde 7 Zeichen 26^ Mrd 1 Sekunde 8 Zeichen 26^ Mrd 8 Sekunden 9 Zeichen 26^ ,4 Billionen 3,6 Minuten 10 Zeichen 26^ Billionen 1,5 Stunden 11 Zeichen 26^ ,7 Billiarden 1,7 Tage 12 Zeichen 26^ Billiarden 1,5 Monate Crackdauer in Stunden bei 25Mrd Hash/s Billionen Kombinations-Möglichkeiten bei 26 Zeichen Seite 9

10 Passwort Hash Crack-Geschwindigkeiten OCL Hashcat: Kostenloses Opensource Tool: OpenCL Platform #1: NVIDIA Corporation ====================================== - Device #1: GeForce GTX 1080, 2048/8192 MB allocatable, 20MCU Hashtype: MD5 Speed.Dev.#2.: 24894,5 MH/s (98,10ms) = = 24,8 Mrd. Hashes pro Sekunde!!! Hashtype: SHA1 Speed.Dev.#2.: 8544,7 MH/s (98,05ms) = Hashtype: WPA/WPA2 Speed.Dev.#2.: 389,1 kh/s (96,79ms) = Hashtype: bcrypt, Blowfish(OpenBSD) Speed.Dev.#2.: H/s (47,97ms) = 8,5 Mrd. Hashes pro Sekunde!!! =389 Tausend Hashes pro Sekunde!!! = 12,9 Tausend Hashes pro Sekunde!!! Nvidia GTX 1080 Amazon.de ca. 670 Kurze Livedemo: 6 Zeichen Hash Publikum + Hash Bruteforce Seite 10

11 Passwort Hash Crack-Geschwindigkeiten 8x 200,3 Milliarden Hashes / Sekunde! 68,7 Milliarden Hashes / Sekunde! 3,1 Milliarden Hashes / Sekunde! 105 Tausend Hashes / Sekunde! Seite 11

12 Wordlist / Wörterbücher Angriffe: Wörterbücher durchprobieren Sprachen Technische Wörterbücher Existierende Passwortlisten / Leaks Von Menschen gewählt Weltweit Besser als einfach nur Langenscheidt! Rockyou = 14,3 Mio Passwörter Personenbezogene Wordlists: Wörterlisten von Webseiten Alle Strings von der Festplatte Uvm... Linkedin = 59,7 Mio Passwörter Seite 12

13 Was ist Passwort-Hash-Salting? Seite 13

14 Beispiel Passwort Hashing Algorithmus: bcrypt bcrypt = $2a 8x Durchlaufen zufälliger Salt Hash des Salt+Passworts Beispiel aus Dropbox Leak Seite 14

15 Vorteile vom Speichern von gesalzenen Hashes Salt kann lang und komplex sein und macht Passtwort schwieriger zu Bruteforcen Salt wird allerdings oft bei Hashes gespeichert Wenn hash ohne Salt geklaut wird ist es nahezu unmöglich das Passwort in akzeptabler Zeit zu bruteforcen Optimaler Weise individueller Salt pro Benutzer! Dadurch kann bei einem Durchlauf nur ein einzelnes Passwort angegriffen werden! Kurze Livedemo: Wörterbuch vs Bruteforce von bcrypt Seite 15

16 Schutz: Was kann ich als Benutzer tun? Starke Passwörter Verwenden Seite 16

17 Schutz: Was kann ich als Benutzer tun? Keine Zusammengesetzte Wörter! à Passwort Cracking Tools können Wordlist-Einträge mergen Keine einfachen Mutationen (z.b. l33tspeak: e=3, t=7, i/l=1) à Passwort Cracking Tools haben Mutationsregeln Keine Passwort Wiederverwendung (Password Reuse)!!! à Ansonsten führ ein Passwort Breach zu Komprimierung aller Konten à Denn: Username ist kein Geheimnis sondern fast überall die gleiche Mail-Adresse! Länge Länge Länge Länge Länge Länge Länge Länge Länge Länge Länge Länge!!! à mind. 12+ Zeichen! à Ja! Wirklich! J Besser gleich 30 Zufalls-Zeichen inkl. Sonderzeichen im Passwort Manager! Seite 17

Schutz: Was kann ich als Benutzer tun? Wie finde ich ein Gutes Passwort was ich mir merken kann? https://www.schneier.com/blog/archives/2014/03/ choosing_secure_1.

18 Schutz: Was kann ich als Benutzer tun? Wie finde ich ein Gutes Passwort was ich mir merken kann? choosing_secure_1.html Here are some examples: WIw7,mstmsritt... = When I was seven, my sister threw my stuffed rabbit in the toilet. Wow...doestcst = Wow, does that couch smell terrible. Ltime@go-inag~faaa! = Long time ago in a galaxy not far away at all. utvm,tpw55:utvm,tpwstillsecure = Until this very moment, these passwords were still secure. Seite 18

19 Schutz: Was kann ich als Benutzer tun? Passwortmanager verwenden: Keepass (offline) Lastpass (online, auch mobile Apps, Browser Plugins) 1Password (online, auch mobile Apps) Auf jeder Webseite ein separates Passwort Lange Passwörter inkl. Sonderzeichen Seite 19

20 Schutz: Was kann ich als Benutzer tun? Lastpass hat nützliche Zusatz Funktionen: Seite 20

21 Schutz: Was kann ich als Benutzer tun? 2-Faktor-Authentifizierung nutzen: z.b. SMS Oder Google Authenticator App Kostenlos!!! Seite 21

22 Schutz: Was kann ich als Startup / Firma tun? Sichere Passwort Hashing Algorithmen nutzen: MD5 war nie dafür gedacht Passwörter zu verschleiern! Lieber: bcrypt scrypt PBKDFII sha512crypt Seite 22

Schutz: Was kann ich als Startup / Firma tun? Internet of Things Geräte Hersteller: Keine Standard-Passwörter vergeben! Lieber Benutzer beim Setup zum setzen eines Passwortes auffordern!

23 Schutz: Was kann ich als Startup / Firma tun? Internet of Things Geräte Hersteller: Keine Standard-Passwörter vergeben! Lieber Benutzer beim Setup zum setzen eines Passwortes auffordern! Starke Passwörter erzwingen oder zumindest Passwort-Stärke einblenden! 2-Faktor-Authentifizerung Implementieren Kostenlos / Open Source Bibliotheken! Am besten mit Google Authenticator Support! Passwort Lockouts / Zeitsperren, ggf. Alarming bei Bruteforce Versuchen. Seite 23

24 Schutz: Was kann ich als Startup / Firma tun? Applikations / Webseiten Betreiber Freundlich zu Passwort Managern sein! Sicherheitskonzept erstellen welches den Schutz der Userdaten berücksichtigt! 2-Faktor-Authentifizerung Implementieren Kostenlos / Open Source Bibliotheken! Am besten mit Google Authenticator Support! Plan für Notfall / Databreach aufstellen bevor es zu spät ist! Seite 24

25 Was tun wenn es zu spät ist? In Falle eines Hacks / Data Breaches: Sofort-Maßnahmen zum Schutz der Nutzer einleiten Ursache möglichst schnell eingrenzen Maßnahmen aus Fehlern Ableiten (Security Policy Erweiterungen) Userbasis möglichst schnell informieren! Userbasis mitteilen, wie mit der Situation umgegangen wird! Seite 25

26 Zum Abschluss etwas zum Nachdenken Ist es egal was ich als Passwort wähle, weil es meine persönliche Sache ist? Für Mio. 360 Mio. 68 Mio. 2 Mrd.... Nutzer ist das Passwort kein persönliches Geheimnis mehr! Möglichkeit: Kündigung Wegen Rassistischen / Sexistischen Passwort für Firmen adresse bei Linkedin??? Seite 26

Vielen Dank für Ihre Aufmerksamkeit! Sebastian Brabetz Teamleiter PSS Telefon 0 55 61/922-397 s.

Ähnliche Dokumente

Wie sicher ist mein Passwort? Marc Nilius Barcamp Bonn 2016

Wie sicher ist mein Passwort? Marc Nilius - @marcnilius - @WPSicherheit Barcamp Bonn 2016 Wie sicher ist dein Passwort? Wieviele Zeichen? Welche Zeichen? Kleinbuchstaben? Großbuchstaben? Sonderzeichen?