Sichere Passwörter sind S(s)ie sicher? 1 Kurzvorstellung Praetors / Detack / epas 2 IT Security Treiber 3 Passwörter im Focus 4 epas 4 strong passwords Claudia Frohnhoff DETACK GmbH 1
IT Security - (neue) Treiber? Gesetzliche Vorgaben DSG BDSG IT Sicherheitsgesetz (D) SOX MaRisk Kundenanforderungen Informationssicherheit & Datenschutz BCM Interne & Externe Audits Normen Zertifikate Bedrohungslagen NSA Stratfor LinkedIn Apple Cloud Adobe 2 Claudia Frohnhoff DETACK GmbH 2
IT Security goes B2C Awareness goes B2B US security firm Stratfor attacked by 'Robin Hood' hackers Group linked to Anonymous says it diverted $500,000 to various charities in attack driven by anger at Bradley Manning case The Robin Hood-style attack started on Christmas Eve and was aimed at clients of Stratfor, a security analysis company based in Austin, Texas. Hackers obtained thousands of credit card numbers and other personal information from the firm's clients and started making payments to the charities. http://www.theguardian.com/technology/2011/dec/27/security-stratfor-hackers-credit-cards In letzter Zeit häufen sich die Angriffe der sogenannten "Cyber-Krieger". Auch Energieunternehmen sind betroffen. ( ) (wirtschaftswoche) Nacktbilder-Hack von US-Promis Apple verstärkt nach Hacker-Angriff Sicherheit von icloud (Focus online) 11.09.14 10:54 - Media Daten-Leak: 4,93 Millionen Gmail- Passwörter in russischem Forum veröffentlicht (news reader) AfD was tweeting neo-nazi messages.and said it was a hacker-attack. 2 Claudia Frohnhoff DETACK GmbH 3
2 Nigel Pentland GSE London 2014 About Adobe Password Breaches Claudia Frohnhoff DETACK GmbH 4
29.10.2014 - White House computer network 'hacked' "The Post quoted its sources as saying that the attack was discovered two-to-three weeks ago. Some White House staff were reportedly told to change their passwords and there was some disruption to network services." http://www.bbc.com/news/technology-29817644 2 Claudia Frohnhoff DETACK GmbH 5
Authentifizierung & Das Passwort Authentifizierung ist heutzutage ein notwendiger Bestandteil des Lebens Passwörter sind das simpelste Werkzeug, um Authentifizierung zu implementieren UND sie sind einfach in der Handhabung wenn man es richtig macht Passwörter sind keinesfalls technisch überholt! In einer vernetzten Gesellschaft benötigen wir Lösungen, die überall funktionieren In Unternehmen heute müssen wir nicht nur unsere Daten schützen, sondern auch unsere User unterstützen 3 Claudia Frohnhoff DETACK GmbH 6
Passwörter Wo liegt eigentlich das Problem? Wir denken ein Passwort ist sicher, wenn es lang ist aus vielen unterschiedlichen Zeichen besteht mindestens einen Großbuchstaben, Kleinbuchstaben, ein Sonderzeichen und eine Zahl enthält Wir wählen also ein Passwort, dass lang genug ist (gefühlt) aus mindesten einem Großbuchstaben, Kleinbuchstaben, Sonderzeichen und einer Zahl besteht wir uns merken können 3 Claudia Frohnhoff DETACK GmbH 7
Passwörter Pa$$w0r! Diese Passwort ist UN sicher! 3 Claudia Frohnhoff DETACK GmbH 8
Passwörter Wo liegt eigentlich das Problem bei Pa$$w0r!? Dictionaries Wörterbücher (in verschiedenen Sprachen) Bücher Passwörtsammlungen aus vergangenen Attacken, ect. Abwandlungen von bekannten Passwörtern Buchstaben werden mit Zahlen ersetzt Buchstabenfolge wird umgedreht Unser Beispiel: Passwort = Pa$$w0r! Hinweise auf Passwörter Email Adressen Telefonnummern Account Description, Account Informationen Brute Force Attacks / Ordered Brute Force 3 Claudia Frohnhoff DETACK GmbH 9
Passwörter Ih13@DFgudWw* Diese Passwort ist stark! https://demo.epas.eu.com:8445/ 3 Claudia Frohnhoff DETACK GmbH 10
Passwörter Warum ist Ih13@DFgudWw* ein starkes Passwort? Länge je länger das Passwort, desto sicherer Hohe Entropie aus nicht logischen, aufeinanderfolgenden Zeichen Kommt in keinem Wörterbuch vor Kann nicht aus Email, Telefonnummer, Account Informationen extrahiert werden Kann nicht durch Veränderung erraten werden A secure password is defined as a character string which is difficult to predict and which requires unrealistic resources in order to recover it from its cryptographic hash: d8e8fca2dc0f896fd7cb4cb0031ba249 3 Claudia Frohnhoff DETACK GmbH 11
Passwörter Hund Katze Karotte Maus Diese Passwort ist? - Policy-Konformität: 0/100 - Stärke: 100/100 https://demo.epas.eu.com:8445/ 3 Claudia Frohnhoff DETACK GmbH 12
epas Wieso? Fakt 1 Passwörter sind DAS Authentifizierungsinstrument Fakt 2 Wir wissen: Passwörter sind zu einem großen Teil schwach Fakt 3 Wir sehen sie aber nicht und wissen nicht, wie schwach 4 Claudia Frohnhoff DETACK GmbH 13
epas Wieso? Das, was wir nicht sehen, können wir nicht kontrollieren! 4 Claudia Frohnhoff DETACK GmbH 14
2-fach Authentifizierung 2-fach Authentifizierung ist teuer und langwierig in der Implementierung Tokens & SmartCards, biometrische Verfahren sollten als Ergänzung zu starken Passwörtern gesehen werden, nicht als Alternative Tokens & SmartCards, biometrische Verfahren helfen nicht bei technischen Accounts / Maschinen Belastung aller Resourcen (Helpdesk, Back Office, Finanziell, Infrastruktur, ) 4 Claudia Frohnhoff DETACK GmbH 15
Summe aller Passwörter Personal Accounts > Technical Accounts Technical Accounts Personal Accounts 4 Claudia Frohnhoff DETACK GmbH 16
Risiken aller Passwörter Technical Accounts >> Personal Accounts Personal Accounts Technical Accounts 4 Claudia Frohnhoff DETACK GmbH 17
1,3 Millionen getestete Passwörter 900.000 sind schwach 70%!! 4 Claudia Frohnhoff DETACK GmbH 18
Wie haben wir das getestet? 1,3 Millionen Account-Passwörter wurden auditiert gegen: Wörterbücher (Sprachen) Bücher / Literatur Dictionaries aus Vorkommnissen (Linked In / Stratfor / Adobe.) Abwandlungen / Derivations Brute Force 4 Claudia Frohnhoff DETACK GmbH 19
epas wie funktioniert das? Target Definition Data Retrieval Audit Job Definition & Scheduling Audit Profile Definition Password Audit Process 4 Claudia Frohnhoff DETACK GmbH 20
1,3 Millionen getestete Passwörter 900.000 sind schwach 70%!! 850.000 zwischen 5 & 11 stellig 65%!! 4 Claudia Frohnhoff DETACK GmbH 21
1,3 Millionen getestete Passwörter 900.000 sind schwach 70%!! 850.000 zwischen 5 & 11 stellig 65%!! 450.000 Policy-konform 35%!! 4 Claudia Frohnhoff DETACK GmbH 22
Mehrfachverwendung von Passwörtern Analysierte Passwörter: 73646 4 Claudia Frohnhoff DETACK GmbH 23
epas 90% schwache Passwörter 90% starke Passwörter Sichtbarkeit der Passwort-Landschaft rechtssicher! Sichtbarkeit der Passwort-Situation der technischen Accounts Sichtbarkeit der mehrfach-verwendeten Passwörter (z.b. Admin-Passwort = User-Passwort) 4 Claudia Frohnhoff DETACK GmbH 24
epas Einfach, Schnell & Sicher epas kann die Sicherheit bei Personen Accounts, wie auch bei technischen Accounts sofort signifikant steigern epas ist schnell und einfach in der Implementierung Komplizierte Policies und kurze Intervalle beim Passwortwechsel nicht mehr notwendig Entlastung der User Entlastung des Helpdesk 4 Claudia Frohnhoff DETACK GmbH 25
Clearly4vERY-StrongPassword@ Exzellentes Management ist, wenn man das Problem an der Wurzel packt, ohne den User mit noch komplexeren Prozessen zu belasten! Claudia Frohnhoff DETACK GmbH 26
Claudia Frohnhoff DETACK GmbH 27
Vielen Dank Merci Thank you Grazie Claudia Frohnhoff DETACK GmbH 28
Claudia Frohnhoff DETACK GmbH 29