Zwei-Faktor-Authentifikation mit Yubikey-Token

Ähnliche Dokumente
Zwei-Faktor-Authentisierung. Alles unter Kontrolle mit Open Source

u2f authentication Universal Second Factor Jan-Erik Rediger 20. Mai 2015

Einen sicheren Laptop mit Ubuntu einrichten

Aufgeschlossen. Zwei-Faktor-Authentifizierung für Linux und mobile Geräte

Security-Webinar. März Dr. Christopher Kunz, filoo GmbH

Zwei-Faktor-Authentifikationsverfahren

Two-factor authentication / one-time passwords

IT Sicherheit: Authentisierung

Internetsichere Kennwörter

Social Engineering und Security Awareness für Systemadministratoren

Netzwerksicherheit. Teil 10: Authentifikation und Autorisierung. Martin Mauve, Björn Scheuermann und Philipp Hagemeister

Kampf dem Passwort! Die Authentifizierung der Zukunft. Linux höchstpersönlich.

11 Instanzauthentisierung

ELZPIRATEN EMMENDINGEN

Ein Überblick über Security-Setups von E-Banking Websites

1 Einleitung. - KeePass - MiniKeyPass - KeePass2Android - LastPass - SecureSafe

Smartcards unter Linux

Technische Universität München

Ein Plädoyer für mehr Sicherheit

Mozilla Persona. Hauptseminar Web Engineering. Vortrag. an identity system for the web Nico Enderlein

KeePass Anleitung. 1.0Allgemeine Informationen zu Keepass. KeePass unter Windows7

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

ANGEWANDTE INFORMATIONSSICHERHEIT GEFAHREN UND RISIKEN

17 Ein Beispiel aus der realen Welt: Google Wallet

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Smartphone mit Nahfunk (NFC)

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer

Innovationen. EGIZ Inside Out. Andreas Fitzek Christian Maierhofer Wien,

Fraud Prevention Komplexe Bedrohungen erfordern flexible Sicherheitslösungen

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea

Jan Mönnich

IT-Sicherheit IAIK 1

CentOS release 5.5 (Final) Kernel el5 on an i686

Dieses Dokument beschreibt die Anwendung des Repa Copy Token.

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier

etoken unter Linux Frank Hofmann 16. April 2009 Berlin Frank Hofmann (Berlin) etoken unter Linux 16. April / 18

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Rechneranmeldung mit Smartcard oder USB-Token

Kurze Einführung in kryptographische Grundlagen.

IT-Sicherheitsmanagement Teil 6: Einführung in die Kryptographie

Informatik für Ökonomen II HS 09

KeePass :15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN

IT-Sicherheit Kapitel 13. Sicherheit

How to Public key authentication with freesshd

Smartcard Aktivierungsanleitung

Technische Universität München

Digitale Identitäten im Spannungsfeld von Sicherheit, Wirtschaftlichkeit, Datenschutz und Benutzerfreundlichkeit

-Verschlüsselung mit S/MIME

Seminar: Sicheres Online Banking Teil 1

GnuPG. Verschlüsselte Kommunikation. Beni Buess. Swiss Privacy Foundation

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

RADIUS (Remote Authentication Dial In User Service)

Konfigurationsbeispiel USG & ZyWALL

Merkblatt: HSM. Version Systemvoraussetzungen, Setup und Trouble Shooting.

HostAP WPA Workshop. 27. Dezember 2004 Jan Fiegert,

Moderne Authentifikationssysteme. XignQR

Nutzerauthentifizierung mit 802.1X. Torsten Kersting

Vorlesung Sicherheit

Programmiertechnik II

SSL/TLS: Ein Überblick

Die Idee des Jahres 2013: Kommunikation verschlüsseln

TK Admin - Java Probleme

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

Authentication im Web

Internet Datasafe Sicherheitstechnische Herausforderungen

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012

Remote Tools SFTP. Port X11. Proxy SSH SCP.

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

IT-Sicherheit BS 2008/09 IAIK 1

Wichtig: Punkt 1 und 2 müssen auf einem PC nur einmal durchgeführt werden!

KvBK: Basic Authentication, Digest Authentication, OAuth

Sicherheit und Mobilität ein lösbares Dilemma

meine-homematic.de Benutzerhandbuch

Was ist starke Authentisierung? Jens Bender Bundesamt für Sicherheit in der Informationstechnik

SSL-Protokoll und Internet-Sicherheit

etoken unter Mac OS X Seminar Betriebsadministration Stefan Wehrmeyer

Passwortwechsel mit Windows

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen

sslstrip und HSTS Sven Schleier OWASP Stammtisch München, 18. Februar 2014 sslstrip und HSTS sslstrip und HSTS Sven Schleier Der Angriff

Handbuch zur Bürgerkarte

Sichern Sie Ihre Daten mit der Zwei-Faktor-Authentifizierung

Near Field Communication (NFC) in Cell Phones

Handbuch zur Installation der Software für die Bürgerkarte

GnuPG. Verschlüsselte Kommunikation. Beni Buess. Swiss Privacy Foundation

IT-Sicherheit - Sicherheit vernetzter Systeme -

Kryptografische Protokolle

ANLEITUNG FÜR DEN ZUGANG ZU IHREM E-BANKING-BEREICH MIT LUXTRUST SCAN UND LUXTRUST MOBILE

Anleitung. Supplier Web Portal

IPADS IN DER SCHULE VPP VOLUME PURCHASE PROGRAM REFERAT 4.07 JULIKA KLINK, MANUEL HORTIAN (STAND: SEPTEMBER 2016)

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

TELIS FINANZ Login App

Wiederholung: Informationssicherheit Ziele

SSH Authentifizierung über Public Key

Anleitung: SuisseID Signing Service by QuoVadis

Martin Vorländer PDV-SYSTEME GmbH

Sichere Web-Authentifizierung. Schnelle Integration Stationär und mobil Kostenlose Software

Inhalt. Was ist die Zwei-Wege-Authentifizierung? 6. Vor- und Nachteile der Anmeldung in zwei Schritten 9

USB-Tokens. Technik und Einsatzgebiete

Mobile Banking - Verfahren,Sicherheit,Usability

INSTALLATION VON DR.WEB ENTERPRISE SECURITY SUITE V6

Transkript:

Zwei-Faktor-Authentifikation mit Yubikey- stefan.schumacher@ SLAC 2017 22.05.2017

Über Mich

Über Mich Geek, Nerd, Hacker seit mehr als 20 Jahren Berater für Finanzinstitute, Regierungen, Sicherheitsbehörden Direktor des Magdeburger Instituts für Sicherheitsforschung Forschungsprogramme zur Unternehmenssicherheit Herausgeber des Magdeburger Journals zur Sicherheitsforschung www.sicherheitsforschung-magdeburg.de

Authentifizierung Authentifizierung: Nachweis einer bestimmten Eigenschaft Bsp: Benutzername/Passwort; Anruf/Parole; Person/Personalausweis; Problem: Jeder der Benutzername und Passwort kennt, kann sich als der Benutzer ausgeben schwache Passwörter, schlechte Passwortsicherheit Stratfor-Hack: Kundendatenbank gestohlen, Passwörter als MD5 gehasht Thomas Roth: 1-6 stellige SHA1-Hashes in 50 Minuten/2$ auf Amazon EC2

Zwei-Faktor-Authentifizierung Zwei-Faktor-Authentifizierung: Einführung eines 2. Faktors zur Authentifizierung Einbrechern kann Passwort kennen, benötigt aber 2. Faktor () Schutz vor Shouldersurfing, schwachen Passwörtern, schlechten Datenbanken Schutz vor Man-in-the-Middle möglich

Wissen: Passwort, Pin, TAN Besitz: Schlüssel, EC-Karte,, Datei Sein: Fingerabdruck, Iris, Stimme, Gesicht Kombinationen: Benutzername+Passwort+; Benutzername+TAN+; Smartcard+ Nachteile: muss mitgeführt werden und kostet Geld

Wissen: Passwort, Pin, TAN Besitz: Schlüssel, EC-Karte,, Datei Sein: Fingerabdruck, Iris, Stimme, Gesicht Kombinationen: Benutzername+Passwort+; Benutzername+TAN+; Smartcard+ Nachteile: muss mitgeführt werden und kostet Geld

Inhaltsverzeichnis 1 Standards 2

OATH Initiative for Open Authentication (OATH) Industriezusammenschluss Mitgliedschaft kostet Geld HOTP: RFC4226 TOTP: RFC6238

FIDO Industrie-Konsortium mit 200 Mitgliedern, u.a. Google, Paypal, Lenovo, Alibaba, NTT DoCoMo, Samsung, Visa, RSA, Intel, ING, Yubico Spezifikationsrahmen u.a. für Biometrie, Trusted Platform Modules, Smart Cards, NFC Authentifikation mittels asymmetrischer Kryptographie U2F: Universal 2nd Factor, offener Standard für 2FA via USB oder NFC Integriert in Chrome seit 38, Firefox AddOn, Windows 10 und Edge

Inhaltsverzeichnis 1 Standards 2

Yubikey Yubikey Neo: 55e, USB+NFC, OTP, PIV, OpenPGP (2048bit), U2F Yubikey 4: 48e, USB, OTP, PIV, OpenPGP (4096bit), U2F, PKCS#11 Yubikey 4 Nano: 60e FIDO U2F Security Key: 17e, nur U2F Plug-up U2F: 5e Yubikey Neo/4: 2 Slots, müssen programmiert werden

Fähigkeiten Public-Key-basiertes Challenge-Response Protokoll Phishing und MitM-Schutz applikationsspezifische Schlüssel, Erkennung geklonter Beglaubigung von

One Time Passwort (OTP) Passwort, welches nur einmal gültig ist verfällt nach (missglücktem) Login-Vorgang passives Mithören, Replay-Attacken nicht möglich MitMA können funktionieren Alice und Bob müssen das gültige OTP kennen Kennwortliste oder Kennwortgenerator

One Time Passwort (OTP) Kennwortgeneratoren übertragen das Ergebnis eines Algorithmus Zeitgesteuerte Generatoren wohldefiniertes Zeitintervall, Uhren müssen synchron sein Ereignisgesteuerte Generatoren Ereignis löst Kennwortgenerator aus, keine Uhr/Strom nötig, OTP kann theoretisch gültig bleiben Challenge-Response-gesteuerte Generatoren Client berechnet OTP basierend auf Challenge, Challenge sollte Zufallsgeneriert sein HOTP: HMAC-SHA1 via Zähler und Seed, SHA1 + Key + Message +XOR (definierte Werte)

U2F Login Login auf Google.com Benutzername und Passwort eingeben wenn Passwort korrekt, einstecken (oder SMS) Kontaktschalter drücken authentifiziert sich via U2F Server Google akzeptiert Login wenn der eingetragen ist Browser kann per Cookie aktiviert bleiben

U2F Schema hat k priv und sendet k pub an Relying Party (RP) Schlüsselpaar wird im generiert, kann nicht manipuliert werden Browser kompiliert Informationen (URI, TLS Channel ID) über HTTP-Verbindung signiert diese Informationen und schickt sie an RP

U2F Schema generiert neues Schlüsselpaar mit App ID und Key Handle für jede Registrierung RP weiß nicht, dass Alice und Bob das selbe nutzen Authentifikationszähler inkrementiert bei jeder Authentifizierung, RP vergleicht Zähler mit gespeichertem Stand Z T > Z RP Beglaubigungs-Zertifikat kann vom Hersteller ausgefüllt und auf gespeichert werden RP kann nur bestimmte zulassen (z.b. Yubikey ja, RSA nein, oder spezielle Yubikeys)

U2F Unterstützung Übersicht: http://www.dongleauth.info Google, Dropbox, Github, PAM, Wordpress, Django, Ruby on Rails OpenSSH, Login, OpenVPN, FreeRADIUS via PAM LastPass, Dashlane, Password Safe, Passpack, Password Tote, pwsafe, KeePass

Google einrichten 1 Mein Konto, 2 Anmeldung und Sicherheit 3 Bestätigung in zwei Schritten 4 Sicherheitsschlüssel 5 Unter Bestätigungscodes: Handy registrieren und SMS einrichten oder Google Authenticator App einrichten 6 Zusätzlich: Ersatzcodes einrichten (TAN-Liste), ausdrucken und wegschließen

Web.de unterstützt U2F nicht OATH-HOTP im Yubikey Personalization Tool einrichten, Secret Key generieren KeePass installieren und einrichten, Plugin OtpKeyProv installieren, Secret Key hinterlegen sicheres Passwort für Keepass vergeben Zufallspasswort (256HEX Bit) generieren und bei Web.de eintragen 09137f0ac6627f9e94e2af2342d2610bf20ff0ee929114d27b3629e3823e11ea KeePass mit dem Webbrowser via Plugin verbinden KeePass-Datenbank mit Passwort und entschlüsseln, Browser holt User/Passwort für Web.de via Plugin aus DB.

Yubico für eigene Dienste Plugins existieren u.a. für Wordpress, Django etc. PAM-Modul (yubico-pam kann eingebunden werden Yubikey-Server existiert als Paket, YubiHSM als Hardwareerweiterung Online-Validierung via YubiCloud oder eigenem Validierungsserver seit 2.6 Offline-Validierung dank HMAC-SHA1 Challenge-Response PAM-Modul installieren und konfigurieren, Conf-Datei landet in $HOME, Obacht bei ECryptFS SSH (Passwort + ) per PAM OpenVPN und Radius via PAM

yubikey-luks System verschlüsselt installieren, mit sehr langem Zufallspasswort Das Zufallspasswort bleibt immer aktiviert, LUKS kann auch ohne Yubikey eingebunden werden cryptsetup luksdump /dev/sda2 Keyslots anzeigen lassen standardmäßig gibt es 8 Keyslots 8 Passwörter für ein LUKS apt-get install yubikey-luks yubikey-personalization

yubikey-luks ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible Challenge-Response Authentifikation mit HMAC-SHA1 aktivieren cryptsetup luksaddkey -key-slot 7 /dev/sdb2 yubikey-luks-enroll -d /dev/sdb2 -s 7 -c - neues Passwort für LUKS + Yubikey vergeben Neustart neues Passwort und Yubikey eingesteckt haben oder altes Passwort eingeben

stefan.schumacher@ / publikationen/journal.html youtube.de/ Sicherheitsforschung Twitter: 0xKaishakunin Xing: ZRTP: 0xKaishakunin@ostel.co

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback