Benutzer-Werkzeuge

Webseiten-Werkzeuge


cryptoparty_13

CryptoParty 13: Authentifizierung, Passwörter

2013-09-30

Introvideo: Passwörter (0'22„)

Wie kann ich jemanden Authentifizieren?

  • Etwas was Du weisst.
  • Etwas was Du hast.
  • Etwas was Du bist.

Etwas was Du weisst: zB ein Passwort oder PIN Code.

Etwas was Du hast: Ein Token (zB RSA Secure Token)

Etwas was du bist: zB Finger, Iris, Venen

Passwort Stärke Check bei Webseiten

http://littlebigdetails.com/post/60075401204/dropbox-password-strength-is-indicated-by Gibt es auf vielen Webseiten inzwischen, wie gut dieser Check selbst ist wissen wir nicht. Daher, diesen Anzeigen nicht vertrauen, außer wenn sie ganz rot sind. :-)

Password Con

Dabei geht es um Authentifizierungsverfahren und -methoden sowie effiziente Angriffe gegen Authentifizierungsverfahren. Password Con Es gibt Computer die 348 Milliarden Passwörter pro Sekunde ausprobieren können. Passwort Cracki

Grundlegende Tipps für bessere Passwörter:

Passwörter niemals mehrfach verwenden

Wenn eine Email Adresse als Username/Account Name verwendet wird, nicht das Passwort von dieser Email Adresse auch für den Account dort verwenden.

Je länger ein Passwort ist, desto besser. Daher immer die maximale zugelassene Länge eines Passwortes ausnutzen

Eine schöne Geschichte die das erklärt. (englisch) http://www.popehat.com/2013/09/08/size-matters/

Erkenntnis: Ich muß mir nicht alle Passwörter merken!

Es gibt Rainbowtable mit allen möglichen Passwörter bis zur Länge 8. https://www.freerainbowtables.com/

Empfehlenswert

Password Safe Apps

password-safe? http://passwordsafe.sourceforge.net/ was denkt ihr? ( das is vom bruce schneier) Nur für Windows verfügbar.

1Password https://agilebits.com/onepassword (Windows, OS X, iOS) KeePass (Windows, OS X, iOS) http://keepass.info/ Apple Keychain UPM http://upm.sourceforge.net open source??

Die häufigsten Passwörter: https://xato.net/wp-content/xup/passwordscloud.png

Multi-Factor Authentication

Secure Tokens (zB RSA Token) RSA speichert seeds für die OTPs ( http://arstechnica.com/security/2011/06/rsa-finally-comes-clean-securid-is-compromised/ ) One time Pad Google Authenticator Twitter (Noch nicht in AT) Dropbox (via Google Authenticator) Gmail (via Google Authenticator) Microsoft (via Google Authenticator) Evernote (via Google Authenticator) LastPass (via Google Authenticator) Österreischiche Banken (RK, Erste, …) (Mobile TAN) Kreditkarte? Fallback Methoden? Passwort? Biometrische Verfahren: (Grundsätzlich als unsicher zu betrachten) Fingerabdruck Scanner Iris Scanner Venen Scanner == Nicht empfehlenswert == https://www.passwordcard.org/ Yubikey (Nur unter Windows sinnvoll einsetzbar) Wer verschickt Passwörter im Klartext (und unverschlüsselt) per Email? (Und speichert sich offensichtlich auch im Klartext) http://plaintextoffenders.com/ iPhone 5S, biometrie, gute Idee? (Finger abdruck am iPhone?, kann nicht revoziert werden) Biometrie ist grundsätzlich keine gute Idee. Demo: John the Ripper oder Hashcat Demo um zu zeigen wie schnell manche Passwörter gecrackt werden können. → kleine webapp basteln, datenbank herzeigen und md5 cracken? →GPU für hashcat?

cryptoparty_13.txt · Zuletzt geändert: 2013/09/17 19:21 von maclemon