App- und Gerätespezifische Passwörter



Ähnliche Dokumente
Single Sign On: Passwörter in Zeiten von NSA Cloud Sync

IPHONE WLAN, VPN,

Die ersten Schritte mit. Schüler

Web-Single-Sign-On in der LUH

Einrichtung eines VPN-Zugangs

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

Benutzeranleitung Kontoverwaltung

Anleitung: Passwort-Self-Service-Portal

Benutzerverwaltung Business- & Company-Paket

Lehrermodul. Unterordner "daten"... 6

Authentisierung in Unternehmensnetzen

WinWerk. Prozess 4 Akonto. KMU Ratgeber AG. Inhaltsverzeichnis. Im Ifang Effretikon

Handbuch - Mail-Sheriff Verwaltung

DFN-Cloud aus Sicht eines Service Providers... mit Verzeichnisdienstvergangenheit

1. Konfiguration Outlook 2007 MAPI (mit Autodiscover).

Leitfaden zur Einrichtung za-mail mit IMAP auf dem iphone

SBB Schulung für digitale Fahrplanabfrage und Ticketkäufe.

Edulu-Mail im Mail-Client einrichten (MS Outlook, Apple Mail, iphone)

IMAP Backup. Das Programm zum Sichern, Synchronisieren, Rücksichern und ansehen von gesicherten Mails. Hersteller: malu-soft

Microsoft PowerPoint 2013 Folien gemeinsam nutzen

Damit Ihnen der Studienstart gut gelingt,

Nachfolgend wird beispielhaft die Abfolge des Zugriffs auf Angebote von OVID, Elsevier und Springer via mylogin von zu Hause dargestellt

GeoPilot (Android) die App

Fotostammtisch-Schaumburg

Exchange-Server - Outlook 2003 einrichten. 1. Konfiguration Outlook 2003 mit MAPI. Anleitung: Stand:

ANYWHERE Zugriff von externen Arbeitsplätzen

SharePoint Demonstration

Virtual Private Network

KURZANLEITUNG CYBERDUCK MIT CLOUD OBJECT STORAGE

ELZPIRATEN EMMENDINGEN

Internetauftritt der Berliner Volkshochschulen: Kursleiterbereich. Anleitung für Kurs leitende

Sicherer Datenaustausch mit Sticky Password 8

Hochschulrechenzentrum

MY.AQUAGENIUZ.COM Website

Benutzerhandbuch - Elterliche Kontrolle

Anleitung Zugang Studenten zum BGS-Netzwerk Drucker und WLAN (Windows 7) BGS - Bildungszentrum Gesundheit und Soziales Gürtelstrasse 42/44.

Freigabemitteilung Nr. 39. Neue Funktionen adresse zurücksetzen / ändern Kennung ändern Anlegen von OCS (elektr. Postfach) Mailbenutzern

Registrierung Ihres Fachbesucher Tickets

Alltag mit dem Android Smartphone

Website freiburg-bahai.de

Quick Guide Mitglieder

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Hilfe zur ekim. Inhalt:

Anleitung auf SEITE 2

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Einrichtung von Diensten auf Android 4.x

EDUROAM: Windows XP. MitarbeiterInnen Leuphana-Account: Ihr Passwort: Ihr Passwort

Webseiten im PHYSnet. PHYSnet-RZ 9. Mai 2011

Weltweite Internetzugänge und Netznutzung mit mobilen Geräten unter Nutzung Ihrer UBT-Kennung

EINE PLATTFORM

Tragen Sie bitte im Anmeldefeld die Daten ein, die Sie von uns erhalten haben.

A1 -Einstellungen für Apple ipad

e-books aus der EBL-Datenbank

Clientkonfiguration für Hosted Exchange 2010

Weltweite Internetzugänge und Netznutzung mit mobilen Endgeräten

Hinweise zur -Nutzung für Studierende

-Verschlüsselung mit S/MIME

Konfiguration eduroam

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

BEDIENUNGSANLEITUNG. Keybox 9000 Basic Keybox 9000 System Keybox 9000 Expansion KeyWin PC Software Light

Updatehinweise für die Version forma 5.5.5

HSR git und subversion HowTo

Anleitung für das Content Management System

Anmeldeverfahren. Inhalt. 1. Einleitung und Hinweise

Reporting Services und SharePoint 2010 Teil 1

Der Kalender im ipad

Medienkompass1, Lehrmittelverlag des Kantons Zürich, 1. Ausgabe 2008, Thema 13 Sicher ist sicher, S.58-61

Zur Bestätigung wird je nach Anmeldung (Benutzer oder Administrator) eine Meldung angezeigt:

Medienkompass1, Lehrmittelverlag des Kantons Zürich, 1. Ausgabe 2008, Thema 13 Sicher ist sicher, S.58-61

I Serverkalender in Thunderbird einrichten

Benutzer Anleitung Manegger Tourenbuch

Kurzleitfaden für Schüler

Kurzanleitung zum Einrichten eines POP3-Mail-Kontos unter Outlook 2013

Eine Anleitung, wie Sie Mozilla Thunderbird 2 installieren und konfigurieren können. Installation Erstkonfiguration... 4

proles-login. Inhalt [Dokument: L / v1.0 vom ]

Andy s Hybrides Netzwerk

Arbeiten mit dem Outlook Add-In

Umstellung für EBICS in StarMoney Business 4.0 / 5.0 mit EBICS-Modul

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Quick Reference Historie des Dokuments

Wie kann ich mein Profil pflegen und/oder ihm ein PDF hinzufügen? Sie vermissen die Antwort auf IHRE Frage? Bitte lassen Sie uns Ihnen weiterhelfen:

Anleitung zur Einrichtung von Windows Mail V 6.0 an das neue und Groupware-System Communigate Pro

IEA-Passwort-Manager

Umstieg auf Microsoft Exchange in der Fakultät 02

{tip4u://033} VPN mit Mac OS X

Wasserzeichen mit Paint-Shop-Pro 9 (geht auch mit den anderen Versionen. Allerdings könnten die Bezeichnungen und Ansichten etwas anders sein)

Internes Web-Portal der AK-Leiter

Bedienungsanleitung. Matthias Haasler. Version 0.4. für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof

Motorsegler Reservierungs-System. Reservierungsplatz

Über den Link auf der Homepage des HVW unter Phönix den Link anklicken oder über den Internetbrowser

Leitfaden für die Mitgliederregistrierung auf der neuen Webseite des SFC-Erkelenz

A1 -Einstellungen für Android

Computerführerschein

Einrichten des Entourage-Clients für Exchange unter MacOS X.

Anwenderdokumentation AccountPlus GWUPSTAT.EXE

Stadt Luzern. 1. Wozu ein Benutzerkonto?

Transkript:

App- und Gerätespezifische Passwörter Daniel Schreiber 28. Oktober 2015 URZ 28.10.2015 Daniel Schreiber 1 / 16 http://www.tu-chemnitz.de/urz/

Single Sign-on und Single Password Philosophie bisher Ein Passwort für alles. Konsequenzen Hoher Komfort für den Nutzer Technologisch schön (viele kerberisierte Dienste) :-) Sicherheit:??? URZ 28.10.2015 Daniel Schreiber 2 / 16 http://www.tu-chemnitz.de/urz/

Single Sign-on und Single Password Philosophie bisher Ein Passwort für alles. Konsequenzen Hoher Komfort für den Nutzer Technologisch schön (viele kerberisierte Dienste) :-) Sicherheit:??? URZ 28.10.2015 Daniel Schreiber 2 / 16 http://www.tu-chemnitz.de/urz/

Single Sign-on und Single Password Vorteile: Benutzer muss sich nur ein Passwort merken Durchaus zumutbar und vermeidet Klebezettel mit Passwörtern am Monitor Benutzer kann sich mit einmal beschafften Kerberos-Ticket an einer Vielzahl von Diensten anmelden (Shibboleth, IMAP, SMTP, AFS, SSH, ) Passwort geht im Idealfall nicht ständig über die Leitung (Hoffentlich) größere Hemmschwelle bezüglich Passwortweitergabe URZ 28.10.2015 Daniel Schreiber 3 / 16 http://www.tu-chemnitz.de/urz/

Single Sign-on und Single Password Nachteile: Das eine Passwort verteilt sich auf eine Vielzahl von Geräten (BYOD), oft mit NSA-Cloud-Sync gebackupt Passwort wird oft im Klartext abgespeichert Wird das Passwort gephisht/abgefangen Totalschaden Bei Passwortänderung muss an gefühlt 30 Stellen 1 geändert werden 1 WLAN, 2x Mail, SVN, WebDAV, Sync n Share, Kalender, VPN, URZ 28.10.2015 Daniel Schreiber 4 / 16 http://www.tu-chemnitz.de/urz/

Motivation: Dienstspezifische Passwörter Ausgangssituation: DFN Betriebstagung Oktober 2014: Mehrere Schwachstellen in mobilen Geräten bezüglich WLAN-Sicherheit entdeckt eduroam-passwort (== URZ Passwort) kann von Angreifern einfach ausgespäht werden Motivation für separates WLAN-Passwort Evaluation Sync&Share-Dienst mit Shibboleth-Integration separates Owncloud-Passwort zum Abspeichern in WebDAV/Sync-Klienten URZ-Passwort wäre zwar denkbar, aber aus Security-Sicht nicht sinnvoll (da auf allen Geräten im Klartext gespeichert) Dienst Nr. 2 mit separaten Passwort URZ 28.10.2015 Daniel Schreiber 5 / 16 http://www.tu-chemnitz.de/urz/

Diskussion Wenn wir einmal mit separaten Passwörtern anfangen (WLAN, evtl. Sync&Share), warum dann nicht gleich konsequent und konsistent für eine größere Menge von Diensten? URZ 28.10.2015 Daniel Schreiber 6 / 16 http://www.tu-chemnitz.de/urz/

Idee Ein separates automatisch generiertes Passwort für jeden Anwendungsfall Für jeden Dienst auf jedem Gerät ein anderes Passwort Besonders für Dienste mit mobiler Relevanz und hohem Missbrauchspotential (Mail, WLAN, ) Konsistente, einheitliche Passwortverwaltung für den Nutzer (über IdM-Portal) URZ-Passwort bleibt weiterhin Master-Passwort für Shibboleth, Kerberos & Co. SSO weiterhin möglich URZ 28.10.2015 Daniel Schreiber 7 / 16 http://www.tu-chemnitz.de/urz/

Ziel URZ 28.10.2015 Daniel Schreiber 8 / 16 http://www.tu-chemnitz.de/urz/

Vor- und Nachteile Vorteile: Schadensbegrenzung im Verlustfall Bequemes Widerrufen verlorener Passwörter Bei Dienstmissbrauch reicht Sperre der Dienstpasswörter Änderungen des URZ-Passwortes sind wesentlich angenehmer (Akzeptanz für Passwort-Policy würde steigen) Öffnet Tür für 2-Faktor-Auth Nachteile: evtl. Supportaufwand (aber: reduziert Phishing-Schäden) Projektaufwand (Umsetzung, Entwicklungsarbeit, Security-Audit, ) Exchange, Sharepoint URZ 28.10.2015 Daniel Schreiber 10 / 16 http://www.tu-chemnitz.de/urz/

Umsetzung Benutzerkennung bleibt bestehen: otto@tu-chemnitz.de IdM generiert zusätzliche zufällige Passworte Nur für einen Dienst gültig einmalig angezeigt nur zum Abspeichern geeignet Passworthashes in HA PostgreSQL Cluster gespeichert WLAN: NT-Hashes wegen MSCHAP andere: bcrypt Zugriff auf Datenbanktabelle immer über Funktionen Angreifer auf kompromittiertem Anwendungsserver kann keine Hashliste abgreifen Zugriffe in memcached loggen und periodisch in PostgreSQL persistieren URZ 28.10.2015 Daniel Schreiber 11 / 16 http://www.tu-chemnitz.de/urz/

Architektur URZ 28.10.2015 Daniel Schreiber 12 / 16 http://www.tu-chemnitz.de/urz/

Integration PAM: pam_pgsql.so SASL: Auth über PAM, Caching Freeradius: mschap über eigenes ntlm_auth Binary, prüft alle Passwörter des Nutzers aus PostgreSQL PAP über rlm_exec, gleicher Mechanismus wie pam_pgsql.so Prüfung in Daemon, Connection pooling URZ 28.10.2015 Daniel Schreiber 13 / 16 http://www.tu-chemnitz.de/urz/

Architektur (Radius) URZ 28.10.2015 Daniel Schreiber 14 / 16 http://www.tu-chemnitz.de/urz/

PostgreSQL API auth_user(_user varchar, _password varchar, _service varchar) returns boolean radius_user(_user varchar, _service varchar) returns table ( salted_hash varchar) create_or_update_auth_data(_user varchar, _salted_hash varchar, _hash_type varchar, _service varchar, _resource_id integer, _expire_date timestamp with time zone) returns void delete_auth_data(_resource_id integer) returns void URZ 28.10.2015 Daniel Schreiber 15 / 16 http://www.tu-chemnitz.de/urz/

Status Erledigt Eduroam exim/cyrus Owncloud WebDAV SVN Offene Windowsdienste Marketing 2FA URZ 28.10.2015 Daniel Schreiber 16 / 16 http://www.tu-chemnitz.de/urz/

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback