Die Kunst ein starkes Passwort zu finden und zu schützen

Ähnliche Dokumente
Die Kunst ein starkes Passwort zu finden und zu schützen

Wie Hacker angreifen

Leitfaden zur IT-Sicherheit für Anwender. PRESS Professional Learning

Angriffe gegen Passwörter Ein sicheres Passwort Passwörter benutzen Passwörter sichern. Sichere Passwörter

ELZPIRATEN EMMENDINGEN

Techniken für starke Kennwörter

IT-Sicherheit IAIK 1

ANGEWANDTE INFORMATIONSSICHERHEIT GEFAHREN UND RISIKEN

Wahl eines sicheren Passworts

Übungen zur Vorlesung Systemsicherheit

Das Überall-Netz. Sicher unterwegs mit Smartphone, Tablet und Co. Stefan Schumacher. Magdeburger Institut für Sicherheitsforschung

Passwortsicherheit. Lehrstuhl für Mediensicherheit. Eik List. Cryptoparty Weimar

Reaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Public-Key-Infrastrukturen

Passwortschutz: Sicherheitsaspekte.

Wiederholung: Informationssicherheit Ziele

IT Sicherheit: Authentisierung

Anwendung kryptographischer Programme am Beispiel von NetBSD

Passwörter taugen nichts

Über die Sicherheit von Passwörtern

Big Brother is watching you

Geschichte und Überlick über Authentifizierungsmechanismen unter UNIX

Verschlüsselung und Signatur

Identity Theft Der richtige Schutz vor Identitätsdiebstahl

2 Wie sicher ist mein Passwort? *

Kryptographie oder Verschlüsselungstechniken

Herzlich Willkommen zur Live Hacking Demonstration. Ralf Wildvang und Thomas Pusch

Passwort HowTo. Landesakademie für Fortbildung u. Personalentwicklung an Schulen - Standort Esslingen. Michael Steinel / Martin Dörr

UPDATE IT-Sicherheit. Welche Voraussetzungen sollten Sie für die Sicherheit Ihrer Daten schaffen Y O U R L O G O

Absicherung von WLANs: Methoden

Zwei-Faktor-Authentifikation mit Yubikey-Token

Passwortsicherheit. vom sicheren Umgang mit Passwörtern. Helmut Schweinzer Erlanger Linuxtag

Social Engineering und Security Awareness für Systemadministratoren

IT-Sicherheit BS 2008/09 IAIK 1

etoken unter Mac OS X Seminar Betriebsadministration Stefan Wehrmeyer

Das Kerberos 5 Protokoll

Herzlich Willkommen zum Live Hacking. Die Hacker: Ralf Wildvang Thomas Pusch

Passwort-Management und Datensicherheit./. Jens Glutsch Manufaktur für digitale Selbstverteidigung

CYBER TELEKOM DR. MARKUS SCHMALL

Warum IT-Sicherheit im Kopf stattfinden muss

Technikseminar. Umgang mit Passwörter. Kushtrim Lulaj

Modulprüfung (Grundlagen der Informationsverarbeitung und -sicherheit) am um 14:00 15:30 Uhr im HS 1 (Tivoli) Viel Erfolg!

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl

Single Sign On: Passwörter in Zeiten von NSA Cloud Sync

Der Handytrojaner Flexispy im Praxistest

Mission Critical Mobile Solutions

Keynote: Ihr Passwort, bitte!

Vortragsnotizen. (deutsch) Chaostreff Siegen

Sicheres Verhalten im Internet. Sind wir einfach angreifbar? Was können wir dagegen tun?

Kenne deinen Feind. O'REILLY 8 Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Fortgeschrittene Sicherheitstechniken

Cyber Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

Modulprüfung (Grundlagen der Informationsverarbeitung und -sicherheit) am um 14:00 15:30 Uhr im HS 1 (Tivoli) Viel Erfolg!

Ideen der Informatik. Eine Vorlesung für Hörer aller Fakultäten

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

Security Desaster. Ein Drama. Ruediger Weis, Jens Ohlig. Chaos Computer Club

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Inhaltsverzeichnis. Web Hacking

Anleitung zum Umgang:

Grundlagen der Verschlüsselung

Angewandte Kryptographie. Mathematical Weaknesses of Cryptosystems

17 Ein Beispiel aus der realen Welt: Google Wallet

Sicherheit in Wireless LANs

Schwache, mittelstarke und starke Passworte

Unix-Encrypt Password System, shadow, Pluggable Authentication Module

Kryptographie und Fehlertoleranz für Digitale Magazine

PGP. Warum es gut ist. Sascha Hesseler [Datum]

IT-Handbuch. für die Verwaltung der Freien und Hansestadt Hamburg. Richtlinie zur Verwaltung von Passwörtern (Passwortrichtlinie - Passwort-RL)

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Grundlagen der Kryptographie

und proaktive IT-Sicherheit

SSL Secure Socket Layer Algorithmen und Anwendung

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

KURZANLEITUNG DUPLICITY MIT CLOUD OBJECT STORAGE

Einführung. zum Thema. Firewalls

Vernetzte (Un-)Sicherheit? Kommunikation bei Industrie 4.0 und IoT

Eigenleben und Sicherheit von Kennwörtern. Infotag,

Pass-the-Hash. Lösungsprofil

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012

Grundlagen der Kryptographie

Martin Vorländer PDV-SYSTEME GmbH

Aktuelle Probleme der IT Sicherheit

Vertraulichkeit für sensible Daten und Transparenz für ihre Prozesse

IT - Sicherheit und Firewalls

smstan Online-Banking mit smstan Der Leitaden für Online-Banking-Kunden

Web of Trust, PGP, GnuPG

Einleitung Verfahren Programme Schlüsselverwaltung Passwörter Ende. GPG-Einführung. Martin Schütte. 13. April 2008

ECC FILE TRANSFER SERVICE USER-GUIDE. Datum Leipzig. Ort. Document Release 004

IT-Sicherheit. Jun.-Prof. Dr. Gábor Erdélyi. Siegen, 5. Januar 2015 WS 2015/2016

Vernetzte (Un-)Sicherheit? Kommunikation bei Industrie 4.0 und IoT

ecambria experts Die Grenzen technischer Schutzmöglichkeiten Dr. Oliver Stiemerling* Diplom-Informatiker

Begrüßung & zur Sicherheitslage

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IT-Sicherheit. IT-Sicherheit. Axel Pemmann. 03. September 2007

Erste Schritte mit der Open Telekom Cloud. So gelingt Ihnen der Einstieg

MEIN SICHERES PASSWORT

Kryptographie. ein erprobter Lehrgang. AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ. LSR für NÖ, 28. April 2011 Alfred Nussbaumer

How to install freesshd

Transkript:

Die Kunst ein starkes Passwort zu finden und zu schützen Stefan Schumacher Magdeburger Institut für Sicherheitsforschung Brandenburger Linux-Infotag Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 1 / 24

Über mich Berater für Unternehmenssicherheit mit Schwerpunkt auf Social Engineering, Security Awareness und Counter Intelligence www.kaishakunin.com Direktor des Magdeburger Instituts für Sicherheitsforschung www.sicherheitsforschung-magdeburg.de Herausgeber des Magdeburger Journals zur Sicherheitsforschung im Meine Verlag www.wissens-werk.de/index.php/mjs Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 2 / 24

Übersicht 1 Motivation 2 Was gefährdet mein Passwort? 3 Sicherheitsregeln 4 Passwortgenerierung 5 Zusammenfassung Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 3 / 24

1 Motivation 2 Was gefährdet mein Passwort? 3 Sicherheitsregeln 4 Passwortgenerierung 5 Zusammenfassung Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 4 / 24

Wo ist das Problem? Passwort: das Authentifizierungsmerkmal schlechthin der Schlüssel zu einem Konto/System leider häufig unterschätzt interessanter Angriffspunkt sowohl technischer Mittel (Wörterbuchangriffe, Tastaturrekorder) als auch sozialer (Social Engineering) Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 4 / 24

Wo ist das Problem? Passwort: das Authentifizierungsmerkmal schlechthin der Schlüssel zu einem Konto/System leider häufig unterschätzt interessanter Angriffspunkt sowohl technischer Mittel (Wörterbuchangriffe, Tastaturrekorder) als auch sozialer (Social Engineering) Hinweise zur Erzeugung und zum Gebrauch von Passworten sowohl sozialer als auch technischer Natur Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 4 / 24

Wo ist das Problem? Passwort: das Authentifizierungsmerkmal schlechthin der Schlüssel zu einem Konto/System leider häufig unterschätzt interessanter Angriffspunkt sowohl technischer Mittel (Wörterbuchangriffe, Tastaturrekorder) als auch sozialer (Social Engineering) Hinweise zur Erzeugung und zum Gebrauch von Passworten sowohl sozialer als auch technischer Natur Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 4 / 24

1 Motivation 2 Was gefährdet mein Passwort? 3 Sicherheitsregeln 4 Passwortgenerierung 5 Zusammenfassung Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 5 / 24

soziale Ebene? technische Ebene? technische Ebene: alles was irgendwie mit Strom zu tun hat und wo man im Idealfall gegentreten kann soziale Ebene: Schnittstellen und Protokolle des menschlichen Miteinanders leider nicht debugbar Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 5 / 24

soziale Ebene? technische Ebene? technische Ebene: alles was irgendwie mit Strom zu tun hat und wo man im Idealfall gegentreten kann soziale Ebene: Schnittstellen und Protokolle des menschlichen Miteinanders leider nicht debugbar»if you think technology can solve your security problems, then you don t understand the problems and you don t understand the technology«- Bruce Schneier oder: Man kann soziale Probleme nicht mit technischen Mitteln lösen Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 5 / 24

soziale Ebene? technische Ebene? technische Ebene: alles was irgendwie mit Strom zu tun hat und wo man im Idealfall gegentreten kann soziale Ebene: Schnittstellen und Protokolle des menschlichen Miteinanders leider nicht debugbar»if you think technology can solve your security problems, then you don t understand the problems and you don t understand the technology«- Bruce Schneier oder: Man kann soziale Probleme nicht mit technischen Mitteln lösen Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 5 / 24

http://www.landschaftsmuseum.de/bilder/faustkeil_uro-2.jpg Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 6 / 24

Deus Ex Machina Verbindungsübernahme oder Abhörmaßnahmen Kryptographie (SSH, SSL, VPN, GPG...) vertrauenswürdige Kanäle Klartextpasswörter Dienste austauschen (telnet, rsh, ftp ssh) Tastaturrekorder, Wanzen, Kameras Rechner und Umgebung prüfen Sichtschutz Kompromittierende Strahlung gewollte Strahlung (Wlan, Bluetooth, IrDa) eingrenzen Schirmung (Faradayscher Käfig, Hühnerdraht) Kryptographie Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 7 / 24

Was ist Social Engineering jeder hält sich für unfehlbar und unbetrügbar darum funktioniert Betrug so wunderbar Social Engineering: Maßnahmen, um Menschen zu hacken, statt Maschinen oder schlicht: Trickbetrug Stefan Schumacher (2010) Psychologische Grundlagen des Social-Engineering in: Die Datenschleuder. Das wissenschaftliche Fachblatt für den Datenreisenden S. 52-59, 2010, Chaos Computer Club Hamburg, ISSN: 0930-1054 Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 8 / 24

Sicherheitsstrategie Verteidigung in der Tiefe: Verwundbare Teile des Netzwerkes abschotten und sichern Physikalischen Zugriff auf Rechner unterbinden. Rechte der Benutzer soweit es geht einschränken, dabei aber natürlich nicht übertreiben. Zu starke Einschränkungen werden gerne umgangen. Benutzer unbedingt über Social-Engineering-Angriffe informieren und von Gegenmaßnahmen in Kenntnis setzen. Proaktive Passwortprüfungen rechtliche Maßnahmen (Abmahnungen, Kündigungen etc.) gegen Verstöße Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 9 / 24

1 Motivation 2 Was gefährdet mein Passwort? 3 Sicherheitsregeln 4 Passwortgenerierung 5 Zusammenfassung Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 10 / 24

Feind hört mit! Passwörter müssen unbedingt geheimgehalten werden! nicht weitersagen nicht aufschreiben Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 10 / 24

Wie werden Passwörter gespeichert? Passwörter im Klartext können einfach ausgelesen werden Passwörter werden gehasht Mathematische Einwegfunktion: Hash über Passwort bilden ist einfach Passwort aus Hash rekonstruieren ist schwer Hash kann nicht zurückgerechnet werden CRC32, MD5, SHA1, RMD160, Blowfish... passworttest:$1$di2vqknm$vfbi9okgzkn5wxi0ypzet1: 1007:100::0:0::/home/passworttest:/bin/csh Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 11 / 24

Wie werden Passwörter gespeichert? Passwörter im Klartext können einfach ausgelesen werden Passwörter werden gehasht Mathematische Einwegfunktion: Hash über Passwort bilden ist einfach Passwort aus Hash rekonstruieren ist schwer Hash kann nicht zurückgerechnet werden CRC32, MD5, SHA1, RMD160, Blowfish... passworttest:$1$di2vqknm$vfbi9okgzkn5wxi0ypzet1: 1007:100::0:0::/home/passworttest:/bin/csh Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 11 / 24

Wörterbuchangriffe Passworthashes können zwar nicht erraten, aber verglichen werden Passwortdatei stehlen Hash auf Wörterbuch anwenden erzeugte Hashes mit erbeuteter Liste vergleichen Treffer heißt, Passwort geknackt Rainbowtables mit vorberechneten Hashes Thomas Roth: SHA-1-Hash aller 1-6 stelligen Passwörter erstellt, nutzte die GPU in Amazon Cloud Services, Dauer 50 Minuten, Kosten: 2 Euro Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 12 / 24

Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verfuegbare Buchstaben Passwortlaenge 26 Buchstaben (a-z), 5 Stellen: 26 5 = 11.881.376 99 Buchstaben, 10 Stellen: 99 10 = 90.438.207.500.880.449.001 Annahme: 5 Passwörter pro Sekunde 432000 pro Tag 26 5 432.000 = 27, 5 Tage (99 10 /432.000)/365000 570 Millionen Jahrtausende Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 13 / 24

Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verfuegbare Buchstaben Passwortlaenge 26 Buchstaben (a-z), 5 Stellen: 26 5 = 11.881.376 99 Buchstaben, 10 Stellen: 99 10 = 90.438.207.500.880.449.001 Annahme: 5 Passwörter pro Sekunde 432000 pro Tag 26 5 432.000 = 27, 5 Tage (99 10 /432.000)/365000 570 Millionen Jahrtausende Annahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag 26 5 432.000.000 40 Minuten (99 10 /432.000.55)/365000 570 Tausend Jahrtausende Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 13 / 24

Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verfuegbare Buchstaben Passwortlaenge 26 Buchstaben (a-z), 5 Stellen: 26 5 = 11.881.376 99 Buchstaben, 10 Stellen: 99 10 = 90.438.207.500.880.449.001 Annahme: 5 Passwörter pro Sekunde 432000 pro Tag 26 5 432.000 = 27, 5 Tage (99 10 /432.000)/365000 570 Millionen Jahrtausende Annahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag 26 5 432.000.000 40 Minuten (99 10 /432.000.55)/365000 570 Tausend Jahrtausende Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 13 / 24

Wörterbuchangriffe Gegenmaßnahme: Passwortwechsel zweischneidiges Schwert technisch erzwingbar, aber umgehbar (Post-It) überhaupt notwendig? (570 Tausend Jahrtausende) Wenn Passwort sicher, eigentlich nicht Ausspähen (Shoulder Surfing)? Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 14 / 24

Wörterbuchangriffe Gegenmaßnahme: Passwortwechsel zweischneidiges Schwert technisch erzwingbar, aber umgehbar (Post-It) überhaupt notwendig? (570 Tausend Jahrtausende) Wenn Passwort sicher, eigentlich nicht Ausspähen (Shoulder Surfing)? Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 14 / 24

Wörterbuchangriffe Gegenmaßnahme: langsamer Hash, hier: Blowfish RUNDEN ZEIT 10 0.48s 11 0.97s 12 1.92s 13 3.84s 14 7.68s 15 15.36s 16 31.42s 17 61.95s 18 123.06s 19 248.31s 20 639.28s Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 15 / 24

Passwörter raten beliebte Social-Engineering-Methode Passwortwahl sagt einiges über den Benutzer aus muss einfach merkbar sein naheliegendes Datum Name des Sohnes/Tochter/Ehemann/Hund/Katze/Maus... Postleitzahl, KFZ-Kennzeichen, Hochzeitstag, Geburtstag leicht herausfindbar (Pers-Akte, Lohnsteuerkarte, Blog, Homepage) Daher absolut verboten! Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 16 / 24

Passwörter raten beliebte Social-Engineering-Methode Passwortwahl sagt einiges über den Benutzer aus muss einfach merkbar sein naheliegendes Datum Name des Sohnes/Tochter/Ehemann/Hund/Katze/Maus... Postleitzahl, KFZ-Kennzeichen, Hochzeitstag, Geburtstag leicht herausfindbar (Pers-Akte, Lohnsteuerkarte, Blog, Homepage) Daher absolut verboten! Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 16 / 24

Passwörter recyclen? mehrere Passwörter nötig Recycling Webforen etc. werden oft angegriffen Ist das Webforum vertrauenswürdig? Technisch einwandfrei? Oder gar Honeypot? Auf keinen Fall überall das selbe Passwort verwenden! Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 17 / 24

Passwörter recyclen? mehrere Passwörter nötig Recycling Webforen etc. werden oft angegriffen Ist das Webforum vertrauenswürdig? Technisch einwandfrei? Oder gar Honeypot? Auf keinen Fall überall das selbe Passwort verwenden! Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 17 / 24

1 Motivation 2 Was gefährdet mein Passwort? 3 Sicherheitsregeln 4 Passwortgenerierung 5 Zusammenfassung Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24

Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24

Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, 1 8 0 5 Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24

Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, 1 8 0 5 Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24

Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, 1 8 0 5 Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in - 3r3 5pE4 < 31337? Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24

Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, 1 8 0 5 Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in - 3r3 5pE4 < 31337? Dialekte: Vocheljesank in Machteburch; Motschekiebschen Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24

Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, 1 8 0 5 Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in - 3r3 5pE4 < 31337? Dialekte: Vocheljesank in Machteburch; Motschekiebschen Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24

Passwörter automatisch generieren shuffle(1): zufällig permutierte Liste der Argumente $shuffle -0 -p 4 0 1 2 3 4 5 6 7 8 9 6492 NIST FIPS PUB 181: Standard for Automated Password Generator (APG) Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 19 / 24

Passwörter automatisch generieren shuffle(1): zufällig permutierte Liste der Argumente $shuffle -0 -p 4 0 1 2 3 4 5 6 7 8 9 6492 NIST FIPS PUB 181: Standard for Automated Password Generator (APG) apg(1), pkgsrc/security/apg, implementiert den Standard generiert zufällige und aussprechbare Passwörter Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 19 / 24

Passwörter automatisch generieren shuffle(1): zufällig permutierte Liste der Argumente $shuffle -0 -p 4 0 1 2 3 4 5 6 7 8 9 6492 NIST FIPS PUB 181: Standard for Automated Password Generator (APG) apg(1), pkgsrc/security/apg, implementiert den Standard generiert zufällige und aussprechbare Passwörter Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 19 / 24

Apg 10 aussprechbare Passwörter der Länge 8-12 $ apg -n 10 -a 0 -m 8 -x 12 DahyRijHypjo wriseij8 Nuphyeulvuk itsacughyd9 kribazguc Ot0knelun Elon!Quow. yulwebgie syflijyujig tubemdor Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 20 / 24

Apg Zufallspasswörter der Länge 10-14 aus Ziffern, Sonderzeichen, großen und kleine Buchstaben aber ohne 0, 1, 2, 3 ohne Vorkommen in»verbotenepasswörter«mit Zufallszahlen aus shuffle(1) als Initialisierungsvektor $ find /etc/ xargs md5 > /dev/null & $ apg -m 10 -x 14 black-m SNCL -E 0123 \ -r /home/stefan/verbotenepasswörter \ -c shuffle -0 -p 8 0 1... 8 9 a b c... X Y Z 5GapsUrEet= ral+opeapkawf4 EujOtEpOrp;Om8 8ofCotpyulyuf. devav5kriweb< Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 21 / 24

Multifaktor-Authentifikation Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 22 / 24

1 Motivation 2 Was gefährdet mein Passwort? 3 Sicherheitsregeln 4 Passwortgenerierung 5 Zusammenfassung Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24

Verwenden Sie kein Passwort das erraten werden kann! Verwenden Sie kein Passwort das in einem Wörterbuch steht! Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24

Verwenden Sie kein Passwort das erraten werden kann! Verwenden Sie kein Passwort das in einem Wörterbuch steht! Verwenden Sie ein langes Passwort mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen! Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24

Verwenden Sie kein Passwort das erraten werden kann! Verwenden Sie kein Passwort das in einem Wörterbuch steht! Verwenden Sie ein langes Passwort mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen! Das Passwort muss geheim bleiben! Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24

Verwenden Sie kein Passwort das erraten werden kann! Verwenden Sie kein Passwort das in einem Wörterbuch steht! Verwenden Sie ein langes Passwort mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen! Das Passwort muss geheim bleiben! Verwenden Sie nicht überall das selbe Passwort! Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24

Verwenden Sie kein Passwort das erraten werden kann! Verwenden Sie kein Passwort das in einem Wörterbuch steht! Verwenden Sie ein langes Passwort mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen! Das Passwort muss geheim bleiben! Verwenden Sie nicht überall das selbe Passwort! Wechseln Sie Ihre Passwörter! Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24

Verwenden Sie kein Passwort das erraten werden kann! Verwenden Sie kein Passwort das in einem Wörterbuch steht! Verwenden Sie ein langes Passwort mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen! Das Passwort muss geheim bleiben! Verwenden Sie nicht überall das selbe Passwort! Wechseln Sie Ihre Passwörter! Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24

Sicherheitsforschung-Magdeburg.de youtube.de/sicherheitsforschung Noch Fragen? stefan.schumacher@ sicherheitsforschung-magdeburg.de 9475 1687 4218 026F 6ACF 89EE 8B63 6058 D015 B8EF Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 24 / 24

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback